Depuis l’entrée en vigueur de la Loi fédérale sur la protection des données du 25 septembre 2020 (LPD), la notion de données personnelles ne vise plus que les données concernant des personnes physiques. Les données des personnes morales ne sont plus soumises à la LPD. La notion de données personnelles couvre exclusivement les personnes concernant des personnes physiques.
Pour les responsables du traitement et sous-traitants privés, ce sont simplement les règles générales des art. 28ss du Code civil qui s’appliquent et qui pourront, si nécessaire, être interprétées à la lumière de la LPD. D’autres normes peuvent également s’appliquer, par exemple en matière de secrets, de propriété intellectuelle ou de concurrence déloyale.
Pour les organes fédéraux, c’est plus compliqué. En effet, le droit à la protection de la sphère privée et le droit à l’autodétermination informationnelle (art. 13 Cst) s’appliquent autant aux personnes physiques qu’aux personnes morales et les restrictions aux droits fondamentaux doivent reposer sur une base légale (art. 36 Cst).
La situation actuelle pour le traitement des données de personnes morales
Pour éviter de se retrouver dans un vide légal, la LPD a prévu une disposition transitoire concernant les données concernant des personnes morales (art. 71 LPD) qui prévoit que pour les organes fédéraux, les dispositions d’autres actes de droit fédéral qui font référence à des données personnelles continuent de s’appliquer au traitement des données concernant des personnes morales jusqu’au 31 août 2028. Quelques dispositions figurent également aux art. 57r ss de la Loi fédérale sur l’organisation du gouvernement et de l’administration (LOGA).
Le Conseil fédéral a mis en consultation un avant-projet de révision de la LOGA (AP-LOGA) dont le but est de pérenniser la situation actuelle, tout en clarifiant les droits des personnes morales.
La base légale
La première question concerne l’exigence de la base légale. La disposition transitoire de l’art. 71 LPD sera reprise de manière permanente dans la LOGA à l’art. 57sbis AP-LOGA. Ainsi, l’AP-LOGA prévoit que pour les organes fédéraux, les dispositions spéciales consacrées à la protection des données personnelles s’appliquent au traitement des données concernant des personnes morales si l’acte législatif spécial ne contient pas de disposition particulière sur la protection des données concernant des personnes morales. Cela signifie que lorsque des dispositions spéciales permettent le traitement et la communication de données personnelles par des organes fédéraux, elles permettent également le traitement et la communication des données des personnes morales.
A noter toutefois que l’art. 57sbis al. 1 AP-LOGA ne se limite pas aux dispositions qui autorisent un organe fédéral à traiter ou à communiquer des données personnelles. Il s’applique à toutes les dispositions relatives à la protection des données (hors LPD) qui concernent les données personnelles. Si une loi prévoit un devoir d’informer en cas de collecte de données personnelles ou un droit d’accès particulier, alors cela s’appliquera aussi aux données de personnes morales.
Quant à la précision du type de base légale exigée (ce que prévoit l’art. 34 LPD pour les données personnelles), il figure à l’art. 57r AP-LOGA. Des dispositions spéciales sont prévues pour le traitement automatique de données dans le cadre d’essais pilotes (art. 57rbis AP-LOGA), pour la proposition de documents aux Archives fédérales (art. 57squater AP-LOGA) et pour les traitements à des fins ne se rapportant pas à des personnes (art. 57squniquies AP-LOGA).
Les droits
Les droits dont disposent les personnes morales vis-à-vis des organes fédéraux traitant leurs données sont garantis par l’art. 13 al. 2 Cst. Ils sont précisés dans l’AP-LOGA. Il s’agit du droit d’accès (art. 57t et 57u AP-LOGA) et du droit de s’opposer au traitement, y compris le droit de demander la rectification, l’effacement ou la destruction de données (art. 57v AP-LOGA). Il y a également des règles sur la sous-traitance des données concernant des personnes morales (art.57ster AP-LOGA).
Ce qui manque
Comme c’était attendu (c’était une des raisons principales pour sortir les données des personnes morales de la LPD), les dispositions spéciales qui concernent le niveau de protection adéquat pour la communication de données personnelles à l’étranger ne s’appliquent pas, comme le précise bien l’art. 57sbis al. 2 AP-LOGA. Les autres dispositions, qui posent des exigences plus élevées pour la communication de données personnelles à l’étranger (p. ex. dans le domaine de l’entraide) continuent de s’appliquer tant aux données personnelles qu’aux données des personnes morales. La formulation de l’art. 57sbis al. 2 AP-LOGA pourrait toutefois être améliorée, car en l’état il n ‘est pas clair si les règles qui imposent un traitement de données personnelles en Suisse s’appliquent aussi aux données des personnes morales.
En revanche et de manière plus surprenante, l’AP-LOGA ne reprend pas les obligations de sécurité, de protection des données dès la conception, de tenue d’un registre des activités de traitement, d’analyse d’impact, ni de droit à la remise et à la transmission des données. Ce sont pourtant des éléments importants, qui ne présenteraient pas une charge importante pour l’administration fédérale.
La question de l’applicabilité des dispositions relatives à la sécurité des données personnelles aux données concernant des personnes morales est laissé à l’appréciation du Conseil fédéral. Si on comprend bien que les détails seront réglés par voie d’ordonnance, l’obligation de sécurité devrait quand même figurer dans la loi.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) n’a finalement aucune compétence en matière de surveillance du traitement des données concernant des personnes morales par l’administration fédérale. C’est regrettable. Comme la majorité des traitements concerneront également des données personnelles, la charge de travail supplémentaire ne certainement pas très importante.
Pour aller plus loin
Rapport explicatif relatif à l’ouverture de la procédure de consultation
Avant-projet
Tableau synoptique des modifications prévues et du droit en vigueur