Révision de la loi suisse de protection des données: sur la bonne voie, mais l’objectif n’est pas encore atteint
Le Conseil fédéral a présenté son message relatif au projet de loi sur la protection des données le 15 septembre dernier. Cette révision s’explique par des évolutions internationales et technologiques. La Suisse est ainsi tenue de reprendre des prescriptions internationales en lien avec la convention 108 du Conseil de l’Europe et la directive (UE) 2016/680. De plus, la protection suisse des données devrait converger avec le nouveau règlement européen sur la protection des données (RGPD) pour que la Suisse reste reconnue comme un pays avec un «niveau de protection adéquat». Pour autant, les prescriptions de l’UE ne peuvent pas être reprises telles quelles: il importe de préserver la marge de manœuvre et la flexibilité des entreprises qui ne sont pas actives au sein de l’UE – celles actives à l’international devront appliquer les dispositions européennes.
PRÉOCCUPATIONS DE L'ÉCONOMIE
Vu l’importance des données, les milieux économiques ont besoin d’une protection des données moderne et adéquate. Dans le cadre de la consultation, economiesuisse avait estimé que l’avant-projet contenait des dispositions allant au-delà de l’objectif («Swiss finish») dans plusieurs domaines et qu’il entraverait la concurrence et les capacités d’innovation. L’organisation déplorait plus particulièrement les dispositions relatives au profilage, la position du Préposé fédéral à la protection des données et à la transparence (PFPDT) en matière de bonnes pratiques, l’absence de possibilités d’autorégulation, des devoirs d’information et d’annonce excessifs ainsi qu’un système de sanction disproportionné et contre-productif.
UN PROJET MODÉRÉ
Les préoccupations des milieux économiques ont été, en grande partie, prises en considération. Le projet prévoit maintenant un responsable du traitement et un code de conduite, donc des instruments pour l’autorégulation des entreprises. Il prévoit des allègements du côté des obligations. Des adaptations des devoirs d’information et d’annonce, en particulier pour des décisions au cas par cas automatisées et l’analyse d’impact relative à la protection des données, entraînent des allègements pour les milieux économiques. Par ailleurs, il est désormais possible de réagir à des demandes d’information abusives et, selon les circonstances, de facturer les coûts occasionnés. En ce qui concerne les sanctions, le Conseil fédéral maintient les sanctions pénales. Les conséquences pour les employés d’entreprises sont toutefois allégées, avec une réduction du nombre de situations punissables et la suppression des délits commis par négligence. L’amende maximale se montera à 250 000 francs, contre 500 000 francs dans l’avant-projet. Les dispositions transitoires ont également été adaptées et étoffées, ce qui mérite d’être salué.
Dans d’autres domaines, les critiques des milieux économiques n’ont cependant pas été entendues: cela concerne entre autres la définition des «données sensibles», les conditions à satisfaire pour un consentement valable et la prise en compte des «droits fondamentaux» en présence de risques. Le projet contient toujours des dispositions superflues en lien avec les données de personnes décédées.
Il convient d’analyser minutieusement le projet et de définir les adaptations concrètes nécessaires en vue des délibérations parlementaires.
