Attendu depuis très longtemps, le projet de révision de la Loi cantonale vaudoise sur la protection des données personnelles (P-LPrD) a été publié et fait l’objet d’une procédure de consultation jusqu’au 8 juin 2026. C’est l’occasion de revenir sur les principaux changements envisagés et d’apporter un regard critique sur certains choix du Conseil d’État.
Parallèlement, le Conseil d’État propose également une nouvelle Loi sur la vidéosurveillance, une adaptation de la Loi sur l’information (LInfo) ainsi que la modification de diverses lois spéciales en lien avec les révisions menées.
Le contexte
Le Canton de Vaud est l’un des derniers cantons à mettre à jour sa loi, dans le prolongement de la révision de la Loi fédérale sur la protection des données (LPD) qui est entrée en vigueur en septembre 2023.
L’objectif annoncé consiste principalement à aligner le droit cantonal sur les normes supérieures en matière de protection des données (en particulier la Convention 108+). Cette adaptation implique notamment une définition plus précise des droits des personnes concernées, un renforcement des obligations pesant sur les responsables du traitement et un renforcement du statut et de l’indépendance de l’autorité compétente en matière de protection des données.
Sans changement, le P-LPrD continue de viser l’administration cantonale et communale au sens large (y c. les privés à qui des tâches publiques sont déléguées), alors que les privés restent soumis à la LPD.
Les principales nouveautés
De manière similaire à la LPD et aux droits cantonaux, le P-LPrD étend la notion de données sensibles aux données génétiques et biométriques identifiant une personne physique de manière unique, et consacre le profilage comme une catégorie spécifique de traitement (art. 5), sans pour autant reprendre la distinction opérée au niveau fédéral entre profilage « ordinaire » et profilage « à risque élevé ». Il introduit également une procédure d’analyse d’impact préalable en cas de traitement à risque élevé (art. 18), une obligation d’annoncer les violations de la sécurité des données (art. 22), la possibilité de traiter des données dans le cadre d’un essai pilote avant l’adoption d’une base légale (art. 23), une obligation d’intégrer la protection des données dès la conception et par défaut, ainsi qu’une obligation pour chaque département d’avoir une personne de référence (art. 4). Le registre des fichiers est remplacé par un registre des traitements (art. 49) et quelques erreurs de terminologie qui existent dans la LPrD actuelle sont corrigées.
Le P-LPrD prévoit aussi une obligation d’informer en cas de décision individuelle automatisée (art. 17), mais sans intégrer des dispositions spécifiques à ce sujet dans la Loi sur la procédure administrative (LPA-VD).
Le principe de légalité (art. 6) reste essentiellement basé sur les règles actuelles. Contrairement à d’autres lois, la P-LPrD maintient une approche favorable à l’administration en conservant des exigences peu élevées quant à la base légale requise pour le traitement. Il sera ainsi toujours possible de traiter des données personnelles nécessaires à l’accomplissement d’une tâche légale, même si la loi ne prévoit pas le traitement, ou alternativement d’y procéder avec le consentement de la personne concernée (art. 6).
Une autorité à revoir
Le P-LPrD voulait renforcer les pouvoirs et l’indépendance de l’autorité de protection des données. Le modèle choisi est celui d’une autorité nommée et révocable par le Conseil d’État, ce qui est très problématique. Une telle compétence doit revenir au pouvoir législatif pour garantir un minimum d’indépendance vis-à-vis de l’administration.
L’autorité est renforcée en ce sens qu’elle peut ouvrir des enquêtes et rendre des décisions contraignantes (art. 40-42), et n’intervient plus comme autorité de recours contre les décisions rendues par les responsables du traitement. En revanche, et c’est regrettable, elle ne peut plus recourir elle-même contre les décisions rendues par des entités en application de la LPrD. Elle perd aussi toute compétence de conciliation. Cela risque d’augmenter sensiblement le nombre de recours devant le Tribunal cantonal (CDAP).
En retenant un modèle à une seule autorité (plutôt qu’une commission qui décide et un préposé qui conseille), l’autorité se retrouve à conseiller et surveiller les responsables du traitement, ce qui n’est pas adéquat. En l’absence de soupçons, la seule compétence de surveillance est une procédure particulière d’audit (art. 47) qui paraît lourde et peu utile.
Ce choix est aussi peu convainquant vu qu’en matière de transparence, le projet de Loi sur l’information (P-LInfo) prévoit que les décisions des autorités cantonales font l’objet d’un recours au Tribunal cantonal et celles des autorités communales peuvent faire l’objet d’un recours devant le préposé au droit à l’information (qui fait partie de l’Autorité de protection des données et de droit à l’information) qui tente alors la conciliation avant de rendre une décision, ou directement au Tribunal cantonal.
Un conseiller à la protection des données ?
L’art. 4 introduit une obligation pour chaque département de désigner une personne de référence, tantôt présentée comme un point de contact et de conseil interne, tantôt comme un délégué indépendant à la protection des données (DPO) avec ses propres compétences de conseil et de surveillance. Rien n’est prévu pour les communes et les privés à qui une tâche publique est déléguée.
S’il y a évidemment un intérêt à avoir un point de contact pour chaque responsable du traitement, le recours à un délégué indépendant semble aussi lourd qu’inutile. Quant à l’existence d’une sorte d’autorité interne de surveillance supplémentaire à chaque département, on peut là aussi douter de son utilité.
L’obligation d’informer, un pas en arrière
Actuellement, le droit vaudois impose une obligation large d’informer les personnes concernées, y compris de leur droit d’accéder aux données et de la possibilité de refuser de fournir des données. Non seulement le P-LPrD réduit les informations à fournir (art. 15), mais il prévoit une exception pour tous les traitements qui « ressortent » de la loi. Cette exception est problématique car le principe est qu’un traitement doit sur le principe être prévu par une loi. Le risque est réel que les autorités soumises à la LPrD n’aient tout simplement plus à informer les personnes concernées des traitements de données effectués (sauf dans les cas rares où le traitement reposerait par exemple sur un consentement), ce qui semble contraire à un renforcement des droits des personnes concernées et non conforme à la Convention 108+.
En conclusion
La révision est nécessaire et bienvenue. Les entités auront quelques obligations supplémentaires, mais rien d’insurmontable. En revanche, la structure de l’autorité de protection des données doit être revue, de même que ses compétences. La procédure doit être uniformisée avec celle qui s’applique dans le cadre du droit à l’information. Enfin, les obligations d’information doivent être revues afin d’éviter qu’elles ne restent lettre morte.
Merci pour cette analyse limpide.