Toutes les sociétés ne sont pas obligées de tenir le registre des activités de traitement prévu par la nLPD en remplacement de l’ancien registre de collecte des données: la loi stipule que les sociétés devant tenir ce registre sont celles qui emploient plus de 250 collaborateurs, et ce indépendamment du taux d’occupation de chaque personne. En Suisse, dans le secteur de la santé, cela ne concerne que les hôpitaux. En même temps toutefois, le législateur précise que les sociétés qui emploient moins de 250 collaborateurs, mais qui traitent de grands volumes de données personnelles particulièrement sensibles ou effectuent un profilage à haut risque doivent elles-aussi tenir ce registre.

L’avocat Roman Böhni déclare à ce propos: «Les cabinets médicaux suisses seront en règle générale soumis à cette obligation, car le traitement de données personnelles particulièrement sensibles représente une activité clé de ces institutions. En conséquence, chaque cabinet médical devrait tenir ce registre, ce qui est d’ailleurs recommandé par la Fédération des médecins suisses. Ce registre constitue le fondement juridique de la protection des données d’une entreprise. Sa création est associée à un certain effort initial, mais le registre sert de source d’information importante par la suite, par exemple dans le cadre de la réponse aux demandes d’information.»

Le registre des traitements, qui vient de la législation européenne, est une nouveauté en Suisse. L’objectif du législateur est d’augmenter la transparence des traitements de données au sein des entreprises: il s’agit d’identifier, de documenter et de rendre transparentes les procédures de traitement de données. Par ailleurs, en cas d’inspection par les autorités, ce registre tient lieu de preuve quant au respect des principes de protection des données. Le registre permet également de savoir clairement en interne qui traite quelles données, où et comment, et à qui elles sont destinées.

Que faut-il consigner dans ce registre des traitements?

En premier lieu, il s’agit d’identifier au sein de l’entreprise toutes les activités de traitement dans lesquelles sont traitées des données personnelles. Dans un deuxième temps, il faut saisir pour chaque activité de traitement identifiée les informations minimales exigées par le législateur à l’art. 12 de la nLPD. À cet effet, la Fédération des médecins suisses met à disposition un modèle et un guide pour aider les cabinets médicaux à s’acquitter de leurs obligations légales.

Le degré de précision avec lequel un cabinet saisira les différentes activités de traitement dans le registre des traitements est en grande partie laissé à sa discrétion. Selon Roman Böhni: «Dans les cabinets médicaux de petite taille, il faudra indiquer au moins les activités de traitement concernant les données personnelles particulièrement sensibles. Le choix de l’outil de documentation est lui aussi laissé à la discrétion des sociétés – Word et Excel sont tous deux possibles et autorisés. Il existe certes des outils professionnels que les sociétés peuvent acheter, mais en règle générale, les cabinets médicaux n’en ont pas besoin.

Le registre des traitements est un document interne qui peut également être porté à la connaissance des collaborateurs. Il faut toutefois déterminer clairement qui a le droit de modifier le présent document. «Sinon, c’est vite le chaos», prévient Roman Böhni.

Qui doit tenir le registre en interne?

Il est certainement judicieux que la personne qui s’occupe du registre des traitements ait une bonne vue d’ensemble de l’entreprise et de ses processus. La responsabilité finale revient à la direction, dans un petit cabinet c’est-à-dire,normalement, au médecin. Roman Böhni déclare à ce propos: «Bien évidemment, il n’est pas nécessaire d’être juriste pour tenir ce registre. Mais il faut s’intéresser de manière approfondie à la matière. Une formation continue ou une aide extérieure au début peut s’avérer utile.»

Les documents de la Fédération des médecins suisses relatifs au registre des activités de traitement sont disponibles sur le site web de la Fédération des médecins suisses:

https://www.fmh.ch/files/pdf28/guide-pour-le-registre-des-activites-de-traitement.pdf