La Suisse est en train de réviser sa Loi fédérale sur la protection des données (LPD) qui date de 1992. L’Office fédéral de la justice (OFJ) a publié à la fin de l’année dernière un avant-projet (que j’ai déjà largement commenté). L’OFJ a reçu les prises de position de 222 personnes et en a, en partie, tenu compte pour préparer le projet de loi (P-LPD) approuvé par le Conseil fédéral le 15 septembre dernier. Il devrait être traité par le Conseil National cet hiver déjà (objet 17.059) et la LPD révisée entrer en vigueur afin la fin 2018.

L’essentiel du projet demeure, avec comme fil conducteur le renforcement des droits des personnes concernées et l’augmentation des obligations du responsable du traitement, ainsi qu’un renforcement relatif des pouvoirs du Préposé. Le P-LPD apporte de nombreuses clarifications et corrige quelques erreurs. Il faut en revanche toujours regretter le système de sanctions qui en en décalage complet avec les pays qui nous entourent. Très favorable aux responsables du traitement, il ne vas pas inciter les mauvais élèves à se mettre en conformité et les résidents suisses devront espérer que les sanctions viennent d’Europe, ce qui est regrettable.

Voici les principales modifications apportées par le P-LPD par rapport à l’avant-projet présenté précédemment :

  • La notion de profilage est limitée aux traitements automatisés (art. 4 let. f P-LPD).
  • Le conseiller à la protection des données personnelles (DPO, art. 9 P-LPD) fait son apparition. Il est facultatif et son seul intérêt légal est d’éviter dans certains cas la consultation du Préposé lorsque l’analyse d’impact conclut à un risque élevé si le responsable du traitement ne prend pas de mesures pour atténuer ce risque. Cet ajout ne me semble guère utile, même s’il était évidemment fortement demandé par tous ceux qui proposent leurs services comme DPO.
  • Les recommandations de bonnes pratiques sont remplacées par des codes de conduite établis par les associations professionnelles et économiques, ainsi que les organes fédéraux (art. 10 P-LPD). Le Préposé se prononcera sur leur contenu, mais ils ne sont pas contraignants.
  • L’obligation de documenter tous les processus de traitement est remplacée par l’obligation pour les responsables du traitement et les sous-traitants de tenir un registre des activités de traitement dont le contenu est précisé (art. 11 P-LPD). Les organes fédéraux devront le déclarer au Préposé.
  • Le P-LPD introduit également une possibilité de se faire certifier par des organismes de certification agréés et indépendants (art. 12 P-LPD). C’est l’ordonnance qui précisera les conditions de certification et l’éventuelle introduction d’un label de qualité de protection des données. L’AP-LPD ne prévoit toutefois aucun avantage significatif à celui qui est certifié ou détient un label. On peut donc craindre qu’il s’agisse finalement plus d’un ajout intéressant pour les fournisseurs privés de solutions de certifications que d’un gain pour la protection des données. Un renforcement des pouvoirs du Préposé aurait été plus utile.
  • Les dispositions sur la communication de données à l’étranger sont clarifiées (art. 13ss P-LPD).
  • Les règles sur la consultation des données d’une personne décédée (post mortem privacy) sont clarifiées (art. 16 P-LPD). Le texte prévoit que celui qui a un lien de parenté directe avec le défunt, était marié, avait conclu un partenariat enregistré ou menait de fait une vie de couple avec lui au moment du décès puisse accéder aux données personnelles du défunt sans même avoir besoin d’un intérêt légitime. Etant donné que la personnalité prend fin avec la mort et que dans la conception classique les données ne sont plus protégées après le décès, l’introduction d’une disposition dans la LPD devrait au contraire protéger le défunt plutôt que faciliter l’accès de tiers.
  • L’obligation de communiquer activement l’identité des sous-traitants a été supprimée.
  • Les journalistes (s’agissant des données traitées exclusivement pour la publication dans la partie rédactionnelle) et les personnes privées soumises à une obligation légale de garder le secret (art. 18 P-LPD) sont dispensées des obligations d’information. Si cela exclut, comme on peut le comprendre, toutes les personnes tenues au secret professionnel, de fonction ou d’affaires, cette exception est beaucoup trop large.
  • Le devoir d’informer la personne concernée en cas de décision individuelle automatisée (art. 19 P-LPD) est complété par un droit de la personne concernée de demander à ce que la décision soit revue par une personne physique. Ce droit et l’obligation d’information tombent si la personne avait préalablement consenti à ce que la décision soit prise de manière automatisée ou si la décision satisfait la demande de la personne concernée.
  • Une analyse d’impact relative à la protection des données personnelles (PIA) est exigée lorsque le traitement envisagé est susceptible d’entraîner un risque élevé (art. 20s P-LPD), en particulier en cas de traitement de données sensibles à grande échelle, de profilage ou de surveillance systématique de grandes parties du domaine public. Si l’analyse d’impact conclut que le traitement présenterait un risque élevé dans le cas où des mesures pour atténuer ce risque ne sont pas prise, le responsable de traitement devra consulter le Préposé qui peut proposer des mesures appropriées. Cette obligation devrait être limitée aux seuls cas où il n’est pas possible de prendre des mesures pour atténuer ces risques. La conséquence du non-respect des recommandations du Préposé devrait être clarifiée.
  • Les obligations d’annonce en cas de failles de sécurité sont désormais limitées à la sécurité des données et en cas de risques élevés seulement (art. 22 P-LPD). Le contenu de l’annonce est précisé et elle doit intervenir dans les meilleurs délais (et plus sans délais). Une annonce de faille de sécurité ne peut être utilisée dans le cadre d’une procédure pénale contre la personne tenue d’annoncer qu’avec son consentement. Il n’y a plus de sanction pénale contre celui qui intentionnellement n’annonce pas, mais seulement une sanction contre le non-respect d’une décision du Préposé qui lui ordonnerait d’annoncer sous menace de sanction en cas de non-exécution.
  • La réponse au droit d’accès (art. 23 P-LPD) devra indiquer, dans le cas d’une décision individuelle automatisée, la logique sur laquelle se base la décision.
  • Les pouvoirs d’enquête du Préposé sont clarifiés (art. 43ss P-LPD), de même que les mesures administratives. Il peut renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d’importance.
  • Une possibilité d’assortir la mesure administrative d’une menace de sanction en cas de non-respect est introduite (art. 57 P-LPD). Une fois encore on peut regretter qu’un juge pénal doive ensuite décider si une amende doit être infligée.
  • Le Préposé pourra percevoir des émoluments, notamment lorsqu’il donne des conseils, prend position sur des codes de conduite, approuve des clauses types, s’exprime suite à une analyse d’impact ou prononce des mesures.
  • Les sanctions pénales (art. 54ss P-LPD) sont encore réduites tant au niveau du montant maximal (CHF 250 000.-) que des cas visés soit principalement la violation intentionnelle d’obligations d’informer, de renseigner et de collaborer, ainsi que la violation intentionnelle de devoirs de diligence (en cas de communication de données personnelles à l’étranger, de recours à un sous-traitant ou de non-respect des exigences minimales en matière de sécurité édictées par le Conseil fédéral). La poursuite n’aura au surplus lieu que sur plainte. Une personne individuelle au sein de l’entreprise est visée, sauf cas exceptionnels et alors l’amende sera limitée à CHF 50 000.-. Une fois encore, il faut insister sur le fait que ces sanctions ne sont pas crédibles et que le Préposé doit être en mesure de prononcer directement des amendes, à l’image du système européen qui prévoit des amendes administratives pouvant s’élever jusqu’à EUR 20 000 000.-, voire jusqu’à 4 % du chiffre d’affaires annuel mondial.
  • Des dispositions transitoires sont prévues et les responsables du traitement auront deux ans depuis l’entrée en vigueur de la loi pour satisfaire aux nouvelles obligations (art. 62ss P-LPD).

Pour aller plus loin
Synthèse des résultats de la procédure de consultation
Message du CF
Projet de Loi fédérale
Projet d’Arrêté fédéral