Outre le renforcement des obligations des responsables du traitement et des droits des personnes concernées, la révision de la LPD devait aussi renforcer les pouvoirs du PFPDT. Cet objectif ne paraît guère rempli, puisque les sanctions (relativement peu importantes en comparaison internationale) ne seront pas imposées par le PFPDT mais dans le cadre de procédures pénales. Ce seront au surplus surtout des individus plutôt que des entreprises qui seront visés.

Le PFPDT
Le PFPDT conserve un rôle d’information et de conseil. Ses pouvoirs sont en partie renforcés et il pourra prendre des décisions contraignantes, ce qui n’est pas le cas aujourd’hui. Il ne pourra en revanche pas imposer lui-même des sanctions,

ni adopter de recommandations générales ou d’ordonnances contraignantes. Tout au plus peut-il adopter des recommandations de bonnes pratiques en associant les milieux intéressés, mais toujours sans force obligatoire. On aurait pu s’attendre à plus de compétences, ce qui aurait permis au PFPDT de jouer un rôle de sanction similaire par exemple à la Commission de la concurrence (COMCO).

La fonction de Préposé sera désormais limitée à trois mandats (douze ans), mais il n’y a pas de limitation pour l’adjoint ou d’autres postes. Si le PFPDT dispose de son propre budget, rien ne le lui garantit et le parlement pourrait le réduire drastiquement sans qu’il puisse s’y opposer ni même le défendre. Son indépendance n’est donc pas tellement renforcée. La révision ne prévoit pas de renforcement clair de son budget et de son personnel. Tout au plus l’octroi de ressources supplémentaires à concurrence d’un poste voire deux au maximum est-il évoqué, ce qui est insuffisant au vu des nouvelles tâches qui lui reviennent.

Les enquêtes
Le PFPDT pourra désormais ouvrir une enquête contre un organe fédéral ou une personne privée si des indices font penser qu’un traitement de données pourrait être contraire à des dispositions de protection des données (art. 41), alors qu’il était jusqu’à présent limité principalement aux méthodes de traitement susceptibles de porter atteinte à la personnalité d’un nombre important de personnes (erreur de système). Les enquêtes du PFPDT seront toutefois limitées dans les faits aux questions soulevant un intérêt public, la personne concernée continuant à devoir agir contre une personne privée par la voie civile ou recourir contre la décision de l’organe fédéral pour défendre ses droits.

La personne visée par une enquête est tenue de fournir les documents et renseignements nécessaires. L’audition de témoins et l’inspection de locaux est aussi prévue, mais ce n’est que si la personne visée ne coopère pas que le PFPDT peut inspecter des locaux et exiger la production de documents. Si l’assistance de la police est prévue pour faire exécuter des mesures provisoires, elle n’est étonnamment pas envisagée s’agissant de la récolte de preuves.

Les mesures administratives
Le PFPDT pourra ordonner la suspension, la modification ou la cessation de tout ou partie du traitement ainsi que la destruction de tout ou partie des données en cas de violation des dispositions de protection des données, ainsi que suspendre ou interdire la communication de données personnelles à l’étranger (art. 43). Cette décision est sujette à recours au Tribunal administratif fédéral. Le PFPDT pourra évidemment toujours conseiller une mise en conformité préalablement à la prise d’une décision contraignante.

Contrairement à ce que prévoit le droit européen, le Conseil fédéral ne souhaite pas que le PFPDT puisse prononcer d’amendes. Le rapport explicatif indique pourtant que ce choix est à contre-courant par rapport à la grande majorité des autorités étrangères. En cas de non-respect d’une de ses décisions, le PFPDT aurait l’obligation d’informer le ministère public qui pourrait alors ouvrir une procédure pénale.

Le dénonciateur sera informé de l’issue de la procédure administrative mais n’a pas qualité de partie. Il ne peut pas intervenir ni recourir contre la décision. Il devrait donc ouvrir une procédure civile parallèle. Il y aurait ainsi une procédure civile et une procédure administrative, voire une procédure pénale, portant à chaque fois sur le même objet et avec les mêmes buts.

Les sanctions pénales
Le Conseil fédéral a préféré des infractions pénales qui viseront prioritairement les personnes individuelles au sein des entreprises privées. Alors que certaines des infractions prévues peuvent être commises intentionnellement ou par négligence, les peines maximales étant différentes selon l’hypothèse, la violation du devoir de discrétion (art. 52) ne vise qu’un cas intentionnel. Les organes fédéraux ne semblent pas visés.

Le PFPDT a l’obligation de dénoncer les infractions pénales poursuivies d’office dont il a connaissance (art. 45). Il s’agit d’une obligation et non d’une faculté. Un responsable du traitement va donc faire face à une procédure pénale, conduite par une autorité qui n’est pas spécialisée dans ces questions. On imagine assez mal comment l’autorité pénale va juger si le principe de la protection des données dès la conception a été ou non bien intégré dans un projet. La sanction n’étant pas prononcée par le PFPDT, il n’aura aucune maîtrise sur elle et la mise en conformité ne sera pas forcément prise en compte. La sanction pénale ne sera pas liée à la procédure administrative, ni à la procédure civile. Il s’agit d’une situation bien compliquée dont la seule justification est de ne pas donner trop de pouvoirs au PFPDT. Une fois encore, on constate la difficulté pour l’administration d’admettre et de faire confiance à cette autorité indépendante dont les pouvoirs sont régulièrement remis en cause.

Les principaux comportements visés par les infractions pénales sont la violation d’obligations de renseigner (en fournissant intentionnellement des renseignements inexacts ou incomplets dans le cadre du devoir d’information et du droit d’accès, en ne fournissant pas les informations requises sur le traitement de données, en n’informant pas en cas de décision individuelle automatisée, en n’informant pas le PFPDT en cas de faille de sécurité, ou encore en ne transmettant pas l’analyse d’impact au PFPDT), la violation des devoirs de diligence (communiquer des données à l’étranger malgré l’absence de niveau de protection adéquat et sans autres garanties, ne pas respecter les règles sur la sous-traitance, ne pas prendre les mesures nécessaires pour assurer la sécurité des données, ne pas procéder à une analyse d’impact, ne pas respecter les principes de protection des données par défaut et dès la conception, ne pas documenter les traitements de données). Un très grand nombre de violations peut donc désormais être sanctionnée pénalement.

Le montant maximal théorique de l’amende est de CHF 500 000.- (CHF 250 000.- en cas de négligence), mais on peut douter qu’il soit atteint en pratique. Il ne s’agit en effet pas d’un montant en lien avec le chiffre d’affaires, puisqu’il sanctionne une personne individuelle en fonction notamment de ses moyens pécuniaires et de la gravité de sa faute. Une inscription au casier judiciaire sera en revanche fréquente, puisqu’elle a lieu chaque fois que l’amende dépasse CHF 5 000.-. C’est seulement dans le cas où l’amende prononcée est inférieure à CHF 100 000.- et que l’enquête impliquerait des mesures d’instruction hors de proportion pour identifier les personnes responsables au sein de l’entreprise que l’entreprise elle-même pourrait être amendée.

En comparaison, le RGDP prévoit des amendes administratives allant jusqu’à EUR 20 000 000.-, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent si ce montant dépasse EUR 20 000 000.-.