Le Conseil National et le Conseil des États ont adopté aujourd’hui la nouvelle Loi fédérale sur la protection des données (LPD). Le chemin a été long puisque le projet du Conseil fédéral a été présenté le 15 septembre 2017 et que les chambres ont failli ne pas entrer en matière, puis ne pas trouver d’accord. Le texte est maintenant adopté et il faut aller de l’avant.

Est-ce que c’est une bonne loi?

C’est la question du verre à moitié vide ou à moitié plein. La loi actuelle datait de 1992 (soit avant Internet) et devait être modernisée. Le parlement fédéral avait aussi accepté la Convention 108 révisée du Conseil de l’Europe et la plupart des pays (dont l’UE avec le RGPD) ont ou sont en train de mettre à jour leurs lois. La Suisse disposera désormais d’une loi moderne, qui même si elle n’est pas parfaite, est le résultat d’un compromis politique entre ceux qui veulent des droits pour les citoyens et ceux qui ne veulent pas d’obligations pour les entreprises. Elle reste inférieure à la protection offerte par le droit européen, mais va un peu plus loin que le droit actuelle.

Personnellement, je pense que dans l’intérêt des entreprises et des résidents suisses, on aurait pu faire plus. Je regrette en particulier l’absence de sanctions administratives qui donne à la loi un caractère peu dissuasif.

Quand est-ce qu’elle entrera en vigueur?

L’entrée en vigueur n’est pas immédiate, non seulement parce que comme toute loi elle est soumise au referendum facultatif, mais aussi parce qu’il faut que les ordonnances d’application soient adoptées et que les entreprises puissent s’y adapter. Une mise en consultation (interne puis externe) des ordonnances est attendue pour fin 2020 ou début 2021, et la loi ne devrait donc pas entrer en vigueur avant le 1er janvier 2022.

Qu’est-ce que cela change pour celui qui traite des données?

Le responsable du traitement (anciennement appelé maître du fichier) devra remplir de nouvelles formalités comme la tenue d’un registre des traitements (à la place de la déclaration actuelle de certains fichiers), la nomination d’un représentant en Suisse pour les responsables du traitement étranger qui visent le marché suisse, la réalisation d’une analyse d’impact préalable en cas de risque élevé,  et l’annonce de violations de sécurité au Préposé. Il doit également informer les personnes concernées lorsqu’il traite des données personnelles.

Qu’est-ce que cela change pour les personnes concernées?

Les personnes dont les données sont traitées se voient accorder de nouveaux droits, en particulier le droit à la portabilité et le droit de faire revoir par une personne physique une décision automatisée. Elles bénéficient aussi des principes de protection des données dès la conception et par défaut qui doivent leur assurer, sans démarche de leur part, un traitement de donné aussi limité que possible.

En revanche, les données de personnes morales ne sont plus des données personnelles au sens de la LPD. Elles restent protégées par l’art. 28 CC.

Qu’est-ce que cela change pour le Préposé?

Le Préposé fédéral à la protection des données obtient des pouvoirs d’enquêtes renforcés et il pourra rendre des décisions contraignantes (évidemment sujettes à recours). Les règles qui lui sont applicables sont également clarifiées. Il aura aussi de nouvelles missions liées aux annonces de violation de sécurité ou à la consultation lors d’études d’impact préalables.

Et l’adéquation?

La Suisse est reconnue comme un pays adéquat par l’UE, ce qui signifie que les entreprises qui traitent en Suisse des données pour des société européennes ne doivent pas remplir de formalités particulières pour importer ces données. La Commission européenne est en train de revoir si la Suisse offre un niveau de protection suffisant pour continuer à être au bénéfice de la décision d’adéquation.

L’adoption de la nouvelle loi est un élément important en faveur du renouvellement de l’adéquation, mais ce n’est pas non plus une garantie. Les pouvoirs du Préposé demeurent limités en comparaison internationale et il n’a pas de pouvoir de sanction. Au final, la décision sera aussi fortement influencée par des considérations politiques.

Et quoi d’autre?

La révision de la LPD a aussi été l’occasion d’introduire une nouvelle infraction pénale d’usurpation d’identité. Ainsi celui qui aura utilisé l’identité d’une autre personne sans son consentement dans le dessein de lui nuire ou de se procurer ou de procurer à un tiers un avantage illicite pourra être condamné à une peine privative de liberté d’un an au plus ou à une peine pécuniaire (art. 179 decies CP). L’infraction sera poursuivie sur plainte.

En conclusion?

Celui qui traite des données en Suisse ou en visant le marché suisse doit examiner la manière dont il le fait et se mettre en conformé d’ici l’entrée en vigueur de la loi. S’il s’est déjà adapté au RGPD, l’exercice ne devrait pas être douloureux. Si, au contraire, il ne respecte pas encore le droit suisse actuel, le travail sera important et mieux vaut ne pas trop attendre.

Partage