La Commission des institutions politiques du Conseil national (CIP-CN) a décidé lors de sa séance du 11 janvier 2018 par 14 voix contre 8 et 2 abstentions de scinder le projet de révision de la législation sur la protection des données en deux projets distincts: la transposition de la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le domaine du droit pénal (nécessaire en vertu des accords de Schengen) sera étudiée dans un premier temps. L’examen de la révision totale de la Loi sur la protection des données (LPD) aura lieu plus tard, sans autres précisions.
Un coup d’arrêt ?
C’est en 2011 déjà que le Conseil fédéral avait engagé la révision de la LPD en commandant un rapport sur l’opportunité de renforcer la législation en tenant compte des développements en cours au sein de l’UE et du Conseil de l’Europe. Le Parlement dispose maintenant d’un projet équilibré (même si certains points sont critiqués) renforçant significativement les droits des citoyens, et prenant en compte l’environnement numérique et les besoins des entreprises.
La CIP-CN veut d’abord reprendre les adaptations liées la Directive 2016/680 (Projet 2, FF 2017 6885). Il est central de préciser que ces adaptations, qui concernent principalement l’activité étatique (justice et police), ne sont pas liées au Règlement général de protection des données (RGPD). Sans des adaptations concernant le traitement des données par des personnes privées , la Suisse ne serait certainement plus considérée comme un pays offrant un niveau de protection équivalent à celui des États membres et ne serait pas conforme à la Convention 108 révisée du Conseil de l’Europe.
Les droits des citoyens ne seront pas plus protégés qu’aujourd’hui, les entreprises qui violent ces droits continueront d’être peu sanctionnées et celles qui les respectent ne seront pas récompensées. Pour les entreprises actives en Suisse et en Europe cela ne va pas changer grand-chose. Pour celles qui ne visent en revanche que le marché suisse, on distinguera celles qui sont respectueuses et vont spontanément appliquer le RGPD par analogie, de celles qui s’en tiendront au minimum légal. Pire, la Suisse risque bien d’attirer certaines sociétés douteuses en privilégiant un droit de la protection des données désuet. Être établi en Suisse ne sera ainsi plus une preuve de conformité et de respect de la sphère privée, ce qui sera néfaste tant pour l’économie, l’image générale du pays et les droits des individus.
Aucun calendrier n’est donné pour l’examen ultérieur du projet de révision de la LPD et l’on peut s’attendre au pire, car il est peu probable que deux révisions de la LPD soient menées dans un temps proche.
Un espoir au Conseil national ?
Une minorité de la commission s’est opposée à la scission du projet, considérant que deux révisions de LPD se suivant à peu d’intervalle entraîneraient un surcroît de travail et une insécurité juridique pour les acteurs concernés. On ose encore espérer que le Conseil national se ralliera à cette minorité et se rendra compte que cette révision complète et sans délai de la LPD est essentielle pour l’économie et chaque personne en Suisse.