Le Conseil fédéral a présenté le 15 septembre 2017 son projet de révision totale de la fédérale sur la protection des données. La Commission des institutions politiques du Conseil national (CIP-N) a terminé l’examen du projet de loi le 16 août 2019. Elle l’a adopté par neuf voix contre neuf (voix prépondérante du président) et sept absentions, ce qui montre bien l’absence de consensus autour de ce projet. Le dépliant avec les différentes propositions de modification que le parlement traitera dès le 24 septembre 2019 est maintenant publiquement accessible.
Le projet du Conseil fédéral fait l’objet d’un certain nombre de propositions de modifications, tantôt acceptées par la majorité de la CIP-N, tantôt soutenues seulement par une minorité. Nous nous concentrons ici seulement sur les modifications de la LPD (et laissons de côté la septantaine de lois impactées par le projet). Trois grandes tendances se dégagent :
-
La (faible) majorité qui adhère au projet du Conseil fédéral moyennant quelques modifications ;
- La Minorité I (Rutz Gregor, Addor, Brand, Buffat, Burgherr, Glarner, Pantani, Reimann Lukas, Steinemann) qui propose de renvoyer le projet au Conseil fédéral et de le charger d’épurer le projet autant que possible en accordant notamment un maximum de liberté et de souplesse aux entreprises et aux collectivités, en ne reprenant les prescriptions de l’Union européenne que lorsque cela est indispensable. Cela signifierait certes limiter les obligations à charges des entreprises, mais surtout réduire drastiquement la protection de la personnalité. Le nouveau projet tiendrai encore moins compte des besoins de protection des citoyens que le droit actuel.
- La Minorité II (Wermuth) qui propose de renvoyer le projet à la CIP-N pour élaborer un nouveau projet qui assure la compatibilité avec la Convention 108 du Conseil de l’Europe et les accords de Schengen, qui garantit le maintien de la reconnaissance de l’équivalence du niveau de protection dont bénéficie la Suisse et un niveau de protection au moins égal à celui conféré par la LPD actuellement en vigueur. Sans faire de zèle, un tel niveau de protection permettrait simplement à la Suisse de se mettre à jour et s’aligner sur les pays qui nous entourent ou qui ont une législation moderne. Malheureusement un renvoi en commission va encore retarder un projet qui a déjà pris trop de retard (le RGPD est entré en vigueur en 2016 déjà).
Des modifications dans tous les sens
Nous avions déjà largement présenté le projet du Conseil fédéral. Parmi les principales modifications proposées, on peut relever :
- le maintien comme dans le droit actuel de la protection des données des personnelles morales (ce qui est plus contraignant que le RGPD !),
- une modification de la notion de données sensibles pour exclure les opinions et activités syndicales et les données sur les mesures d’aide sociale,
- l’interdiction du traitement de données à des fins de contrôle de la solvabilité (sauf informations contenues dans des registres avec une base légale),
- la suppression des dispositions sur l’accès aux données de personnes décédées,
- l’introduction du droit à la portabilité,
- l’augmentation des amendes pénales à 500 000.- ou 20 000 000.- pour la personne individuelle, mais l’amende reste plafonnée à 50 000.- lorsque l’entreprise est condamnée,
- la nomination du préposé par l’Assemblé fédérale au lieu du Conseil fédéral,
- une extension du champ d’application aux états de faits qui se produisent à l’étranger et qui déploient de effets en Suisse,
- l’obligation de nommer un représentant en Suisse lorsqu’un responsable du traitement étranger traite régulièrement des données à grande échelle en rapport avec une offre de biens ou de services ou un suivi du comportement en Suisse et que ce traitement présente un risque élevé,
- la suppression du caractère express du consentement en cas de traitement de données sensibles ou de profilage,
- l’introduction d’une présomption d’atteinte en cas de communication de données à des tiers ou au contraire une limitation de la présomption à la communication de données sensibles ou à des fins de prospection publicitaire,
- la suppression de la condition de ne pas transmettre les données à un tiers pour pouvoir faire valoir un intérêt prépondérant s’opposant à la réponse à un droit d’accès,
- un élargissement possible de l’exception à la tenue d’un registre pour les entreprises comptant moins 500 collaborateurs (au lieu de moins de 50),
- l’extension du registre du préposé aux responsables du traitement privé (et pas seulement à l’administration),
- l’exigence d’indices suffisants ou d’éléments probants pour ouvrir une enquête par le préposé,
- l’introduction d’un délai de 24 mois entre l’expiration du délai référendaire (ou la votation) et son entrée en vigueur.
À noter que pour presque chaque proposition, il y a un nombre de membres important de la CIP-N qui s’y oppose. Les débats au parlement risquent donc d’être compliqués.