Un des principaux buts de la révision de la LPD était de renforcer les droits de la personne concernée, ce qui va de pair avec une augmentation des obligations des responsables du traitement. Si les droits procéduraux n’ont pas été beaucoup renforcés et que la portabilité des données n’a pas été prévue, une plus grande transparence est de mise comme nous l’avons déjà vu.
Le droit d’accès
Le droit d’accès (art. 20) permet de connaître gratuitement l’identité et les coordonnées du responsable du traitement (let. a), les données traitées (let. b) et la finalité du traitement (let. c), la durée de la conservation des données ou les critères pour fixer cette dernière (let. d) et les informations disponibles sur l’origine des données (let. f). La communication d’informations concernant la durée de conservation va poser problèmes à beaucoup de responsables du traitement, ce point étant souvent peu pris en compte.
Les traitements automatisés
La personne concernée devra être informée en cas de décision individuelle automatisée (art. 15). Ce sera le cas chaque fois que la décision est prise sans intervention humaine et que le résultat a des effets juridiques ou affecte significativement la personne. Le fait que la décision soit finalement communiquée par une personne humaine ne change rien.
Le responsable du traitement doit donner la possibilité à la personne concernée de faire valoir son point de vue sur la décision et les données traitées. Cela peut avoir lieu avant ou après que la décision ne soit prise. Il n’y en revanche aucune obligation de modifier ou justifier la décision si elle est basée sur des informations fausses. On risque donc d’aboutir simplement à une information générale de la décision automatisée, sans que le point de vue de la personne visée ne soit pris en considération. S’il s’agit d’une erreur manifeste, le responsable du traitement aura évidemment tout intérêt à la corriger.
Protection des données post-mortem
Des règles précisent désormais que les données d’une personne décédée peuvent être consultées en cas d’intérêts prépondérants (ceux-ci sont présumés pour les proches) et pour autant que le défunt ne s’y soit pas opposé de son vivant ou qu’un intérêt prépondérant du défunt ou d’un tiers s’y oppose. Les héritiers peuvent également demander la destruction des données du défunt (sauf si celui-ci l’a interdit de son vivant).
Les données de personnes morales
La révision supprime la protection des personnes morales, en particulier pour faciliter les échanges de données avec l’étranger. Actuellement, la Suisse est un des seul pays au monde à considérer les données de personnes morales comme des données personnelles. Pour qu’un transfert à l’étranger (par exemple un hébergement de données en Allemagne ou une sous-traitance en France) soit légal, l’exportateur de données doit aujourd’hui obtenir des garanties particulières, notamment sous la forme de clauses contractuelles. Cela est rarement respecté en pratique.
Même si cela paraît comme un affaiblissement, la portée pratique de cette protection est assez limitée et les obligations, notamment liées au transfert à l’étranger, ne sont que rarement respectées en pratique. Y renoncer paraît être un compromis acceptable vu les gains pratiques que cela représente. Il faudra néanmoins s’assurer que la protection de la personnalité des entreprises soit correctement prise en compte dans le cadre de l’application de la Loi sur la transparence.
Les droits découlant de la protection de la personnalité, du droit d’auteur et de la loi sur la concurrence déloyal ne sont en revanche pas remis en cause.
Les prétentions
Les prétentions de la personne dont les données sont traitées et les moyens de les faire valoir ne changent guère. On peut néanmoins relever l’ajout de la mention du droit à l’effacement (appelé souvent à tort droit à l’oubli).
L’avant-projet n’introduit pas de renversement du fardeau de la preuve ni n’ouvre la voie à des actions collectives. Le Code de procédure civil sera en revanche modifié pour supprimer les frais de justice pour les actions civiles en matière de protection des données. Cela devrait faciliter l’accès aux tribunaux des personnes dont les données sont traitées et permettre aux tribunaux de rendre plus de décisions de principe. La jurisprudence devrait donc à l’avenir être plus riche. La partie qui succombe sera cependant toujours tenue de verser des dépens et d’assumer ses propres frais de représentation. Si elle a agi de façon téméraire ou de mauvaise foi, des frais judiciaires pourront tout de même lui être imputés. Il n’y aura finalement ni frais ni dépens en procédure de conciliation.