Afin de renforcer les droits des personnes concernées, l’avant-projet de révision de la LPD mis en consultation à fin 2016 prévoit de nombreuses nouvelles obligations. Même si les responsables du traitement et les sous-traitants disposeront d’un délai de deux ans dès la date d’entrée en vigueur de la loi pour effectuer une analyse d’impact, intégrer la protection des données dès la conception et la protection des données par défaut, ainsi que prendre les mesures de documentation, il est essentiel d’y penser dès maintenant et d’anticiper ces changements importants.

Un devoir d’information étendu
Alors qu’aujourd’hui il suffit dans la plupart des cas qu’un traitement soit reconnaissable lorsque des données personnelles sont traitées par une personne privée, une information sera requise dans tous les cas (art. 13). Le responsable du traitement doit informer activement, c’est-à-dire que la personne concernée doit être rendue attentive sans intervention de sa part, sans devoir chercher ou demander. L’information pourra cependant encore être communiquée dans des conditions générales ou par une déclaration standard s’affichant sur un site web. Les informations minimales à donner dans tous les cas sont l’identité et les coordonnées du responsable du traitement, les données ou catégories de données traitées et les finalités du traitement. Les organes fédéraux devront aussi indiquer la base juridique du traitement.

Pour satisfaire ces obligations, les responsables du traitement devront faire des efforts significatifs. Il ne sera plus possible de traiter ces questions à la légère mais elles devront être intégrées dans la gestion des risques de l’entreprise. Les personnes concernées risquent d’être noyées sous un lot de notices (un peu à la manière des informations sur les cookies en Europe) et n’en prendront souvent pas réellement connaissance.

Un devoir de documentation
L’obligation de déclarer les fichiers et d’avoir un règlement de traitement est supprimée pour toutes les personnes privées. Elle est remplacée par un devoir de documentation de tous les processus de traitement (art. 19). Les obligations exactes ne figurent pas dans la loi mais seront précisées dans une ordonnance à venir.

Si des données sont communiquées, le responsable du traitement et le sous-traitant sont tenus d’informer les destinataires des données personnelles de toute rectification, effacement, destruction ou violation de la protection des données (art. 19 al. 2). Une telle obligation est extrêmement difficile à mettre en pratique. Elle nécessite la mise en place de processus précis.

Un devoir d’annonce des failles de sécurité
Le responsable du traitement devra notifier au PFPDT tout traitement non autorisé de données et toute perte de données, à moins que la violation ne présente vraisemblablement pas de risques pour la personnalité et les droits fondamentaux de la personne concernée (art. 17). Cette dernière sera aussi informée si le PFPDT l’exige ou si cela est nécessaire à sa protection. La loi ne dit pas si la communication doit être individualisée ou si une communication publique suffit. Elle ne fixe pas non plus de délai, même si le rapport explicatif indique que ce devrait être le cas dès que le responsable du traitement en a connaissance.

L’analyse d’impact préalable
Une analyse d’impact préalable (art. 16) est exigée chaque fois que le traitement envisagé est susceptible d’entraîner un risque accru pour la personnalité et les droits fondamentaux de la personne concernée (nature et ampleur de l’impact).

Il y a un risque accru notamment lorsque le traitement envisagé restreint considérablement la liberté de la personne de disposer de ses données (grand volume de données, données personnelles sensibles, profilage, transmission dans des pays à risque, données rendues accessibles à un grand nombre de personnes, voire à tout le monde). Il y a aussi un risque accru si une utilisation abusive des données pourrait porter atteinte à la personnalité, à la dignité ou au bien-être de la personne, ce qui est une notion très (trop ?) large. Une surveillance systématique de la personne et de son comportement ou de l’espace public peut aussi représenter un risque accru.

L’analyse d’impact devra exposer les différents processus, le but du traitement et la durée de conservation des données personnelles, les risques pour la personne dont les données sont concernées, ainsi que les mesures prises pour réduire ces risques. L’analyse sera transmise au PFPDT qui dispose d’un délai de trois mois pour faire valoir d’éventuelles objections. Le responsable du traitement n’a apparemment pas d’obligation de tenir compte de remarques du PFPDT. Plus regrettable également, l’accord du PFPDT ne donne aucune garantie au responsable du traitement.

Protection des données par défaut
Les notions de protection des données dès la conception et protection des données par défaut sont ancrées dans la loi (art. 18). Ces principes sont évidemment essentiels et leur non-respect est une infraction pénale.

Outsourcing
En matière de sous-traitance, l’avant-projet apporte deux nouveautés. Premièrement, la personne dont les données sont sous-traitées doit être informée de l’identité et des coordonnées du sous-traitant, ainsi que des données ou catégories de données concernées. Deuxièmement, le sous-traitant ne peut à son tour déléguer le traitement qu’avec l’accord du responsable du traitement.

Transfert à l’étranger
En ce qui concerne le transfert à l’étranger, ce ne sera plus au responsable du traitement de prendre la responsabilité de savoir si un pays tiers est sûr ou non mais le Conseil fédéral publiera sous forme d’ordonnance la liste des pays dits sûrs et vers lesquels les données peuvent être exportées. Dans les autres cas, le transfert devra être justifié par d’autres mesures, telles que des garanties contractuelles spécifiques préalablement approuvées par le PFPDT, ou des garanties contractuelles standardisées établies par le PFPDT ou préalablement approuvées par le PFPDT. L’avant-projet reconnait également les règles d’entreprises contraignantes (BCR) approuvées par le PFPDT ou une autorité étrangère d’un pays sûr.