Le Conseil fédéral a mis en consultation jusqu’au 4 avril 2017 l’avant-projet de révision de la Loi fédérale sur la protection des données (LPD). Cette révision vise à remettre à jour la loi actuelle qui date de 1992 et s’aligner sur le niveau de protection garanti par le nouveau Règlement général européen de protection des données (RGPD), ainsi que d’intégrer l’acquis de Schengen.

Il s’agit d’un gros projet que je vais traiter sur plusieurs billets. Nous verrons d’abord ce que l’avant-projet n’a malheureusement pas retenu et les modifications prévues du Code pénal (CP), puis les droits des personnes dont les données sont traitées, les nombreuses nouvelles obligations imposées aux responsables du traitement, et finalement le rôle du Préposé fédéral à la protection des données et à la transparence (PFPDT) et les sanctions.

Ce projet renforce les droits des personnes concernées et surtout les obligations des responsables du traitement (notamment en termes d’information et de documentation des processus). Ces derniers verront également leur responsabilité augmenter. Le projet déçoit en revanche très clairement au niveau d’un pouvoir de sanction qui n’est toujours pas accordé au PFPDT. C’est la voie pénale qui a été choisie, et ce seront principalement des individus qui seront sanctionnés au lieu des entreprises. Le responsable du traitement pourrait donc devoir faire face simultanément à des procédures pénales, civiles et administratives pour un seul et même traitement de données.

La terminologie est adaptée au droit européen et la loi parlera de responsable du traitement (celui qui décide dans quels buts et par quels moyens les données sont traitées) au lieu de maître du fichier (celui qui décide du contenu du fichier). Les notions de profil de la personnalité et de fichier sont retirées, alors que celle de sous-traitant est ajoutée.

Ce que l’avant-projet n’apporte pas
L’avant-projet n’introduit pas de renversement du fardeau de la preuve en faveur de la personne dont les données sont traitées comme cela avait pu être évoqué précédemment. En cas de procédure judiciaire, c’est ainsi à celui qui allègue un fait de le prouver. Un renversement aurait obligé le responsable du traitement à démontrer qu’il traite les données de manière licite, comme dans le cas de la Loi sur la concurrence déloyale s’agissant de l’exactitude matérielle des données de fait contenues dans une publicité, plutôt que de laisser à charge de la personne dont les données sont traitées de démontrer la violation de la loi. L’avant-projet ne permettra pas non plus d’actions collectives. Sans aller jusqu’à une action collective, au moins un regroupement des procédures devant le PFPDT aurait à la fois simplifié le travail des responsables de traitement et rendu l’accès à un contrôle judiciaire plus facile. La défense des droits de la personne concernée continuera donc de reposer sur ses seules épaules. En cas d’enquête ouverte par le PFPDT, la personne dont les données sont traitées ne pourra pas non plus participer à la procédure. Elle sera seulement informée du résultat final.

Le droit à la portabilité, qui permet de récupérer ses données dans un format standard pour se tourner vers un autre fournisseur, est aussi enterré. Il aurait pourtant assuré à chacun un meilleur contrôle sur ses données, favorisé leur réutilisation et le développement de nouveaux services. De la même manière qu’il est quasiment impossible de changer de réseau social sans perdre toutes ses données, il sera dans un avenir proche tout aussi compliqué de changer de marque de voiture ou de n’importe quel appareil connecté.

L’occasion n’a pas non plus été saisie de clarifier le champ d’application territorial ou d’imposer une adresse ou un représentant en Suisse pour les responsables du traitement étrangers, d’instituer la fonction de conseiller à la protection des données (data protection officer), d’imposer des obligations aux fabricants et/ou détenteurs de drones, ni de préciser les exigences en matière de cookies.

Devoir de discrétion et soustraction de données
L’art. 52 est une infraction pénale qui complète la protection du secret professionnel de l’art. 321 CP en soumettant au devoir de discrétion certaines activités professionnelles non régies par l’art. 321 CP, mais dont l’exercice rend également la protection de la confidentialité indispensable. Le fait de révéler intentionnellement des données personnelles secrètes dont la connaissance a été acquise dans l’exercice d’une profession qui en requiert la connaissance ou qui sont traitées à des fins commerciales sera passible d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Malheureusement la disposition omet de préciser que la révélation à des auxiliaires (collaborateurs ou sous-traitants) n’est pas un délit.

L’art. 179novies sera modifié pour sanctionner désormais la soustraction de toutes les données personnelles, et plus seulement des données personnelles sensibles comme aujourd’hui.

Usurpation d’identité
Un nouvel art. 179decies sera introduit dans le Code pénal pour sanctionner l’usurpation d’identité dans le but d’obtenir un avantage illicite : quiconque utilise l’identité d’une autre personne sans son consentement dans le dessein de lui nuire ou de se procurer ou procurer à un tiers un avantage illicite sera, sur plainte, puni d’une peine privative de liberté d’un an au plus ou d’une peine pécuniaire.

Pour pouvoir être condamné, il faudra donc non seulement que l’auteur usurpe l’identité d’un tiers, mais en plus qu’il le fasse avec le dessein de nuire ou d’obtenir un avantage illicite. Cette disposition est technologiquement neutre et ne se limite pas à Internet. Selon le rapport explicatif, elle pourra être appliquée simultanément (concours parfait) à la calomnie et la soustraction de données personnelles. Si l’usurpation d’identité sert à commettre une escroquerie pour obtenir un avantage illicite, l’infraction d’escroquerie peut également englober celle d’usurpation (commise normalement en premier), de sorte que seule l’escroquerie sera retenue.

Les principaux documents
Rapport explicatif concernant l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales
Avant-projet LPD
Avant-projet modification d’autres actes législatifs relatifs à la protection des données
Arrêté fédéral portant approbation de l’échange de notes entre la Suisse et l’Union européenne
Tableau de concordance