Le point sur la révision de la loi sur la protection des données

Publié le 14 février 2018 par Me Philippe Ehrenström

pexels-photo-257736.jpegLe projet de loi

La vénérable loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1) est en train d’être révisée de fond en comble (sur le projet de loi : Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565 ; https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059 ).

Le projet de loi sur la révision totale de la loi fédérale sur la protection des données vise de manière générale à renforcer la protection des données, au travers notamment d’une amélioration de la transparence des traitements et du contrôle que les personnes concernées peuvent exercer sur leurs données. Le projet a également pour objectif de responsabiliser les responsables du traitement en les incitant notamment à prendre en considération les enjeux de protection des données dès la mise en place de nouveaux traitements. Il vise de plus à renforcer la surveillance de l’application et du respect des dispositions fédérales de protection des données. Enfin, il a pour but de maintenir et de renforcer la compétitivité de la Suisse en créant un environnement propre à faciliter les flux transfrontières de données et en favorisant l’émergence de nouvelles activités économiques en lien avec la société numérique, ce qui passe par un standard de protection élevé, reconnu au plan international.

Le projet comprend tout d’abord une révision totale de la LPD.

La révision renonce à la protection des données des personnes morales, en adéquation avec les règles européennes de protection des données et la majorité des législations étrangères. Cette mesure facilite notamment les échanges de données avec l’étranger.

La transparence des traitements est améliorée: le devoir d’information lors de la collecte est étendu à tous les traitements dans le secteur privé. Il est assorti d’exceptions et peut être rempli de manière standardisée.

La révision introduit en outre un devoir spécifique d’information lors de décisions individuelles automatisées ainsi que le droit pour la personne concernée, à certaines conditions, de faire valoir son point de vue et de demander que la décision soit revue par une personne physique.

Elle étend également les informations à fournir à la personne concernée lorsque celle-ci exerce son droit d’accès.

La révision encourage le développement de l’autoréglementation, par le biais de codes de conduite qui visent à faciliter les activités des responsables du traitement et à contribuer au respect de la législation. Ces codes sont élaborés par les branches et peuvent être soumis au préposé.

Le statut et l’indépendance du préposé sont renforcés. La révision prévoit que celui-ci peut prendre, à l’instar de ses homologues européens, des décisions contraignantes à l’égard des responsables du traitement et des sous-traitants, au terme d’une enquête ouverte d’office ou sur dénonciation. Le volet pénal de la loi est renforcé à plusieurs égards, pour compenser notamment le fait que le préposé, contrairement à la quasi-totalité de ses homologues européens, n’a pas le pouvoir d’infliger des sanctions administratives.

En sus de la révision totale de la loi fédérale sur la protection des données, le projet comprend également une révision partielle d’autres lois fédérales, notamment afin de mettre en œuvre les exigences de la directive (UE) 2016/680. Il s’agit principalement du code pénal, du code de procédure pénale, de la loi sur l’entraide pénale internationale et de la loi sur l’échange d’information Schengen.

Une révision en deux étapes

La Commission des institutions politiques du Conseil national (CIP-N) est entrée en matière sans opposition sur le projet du Conseil fédéral concernant la révision totale de la loi sur la protection des données et la modification d’autres lois fédérales pertinentes (17.059). Parallèlement, elle a adopté, par 14 voix contre 8 et 2 abstentions, une motion d’ordre demandant la scission du projet. (Communique de presse de la CIP-N du 12 janvier 2018 : https://www.parlament.ch/press-releases/Pages/mm-spk-n-2018-01-12.aspx?lang=1036&langCheck=2 )

La Commission des institutions politiques du Conseil national reconnaît la nécessité d’adapter la protection des données aux évolutions technologiques et sociétales, comme le propose le Conseil fédéral. Elle souhaite toutefois échelonner la révision prévue: dans un premier temps, il faudra opérer les adaptations au droit européen qui s’imposent, avant de procéder, dans un deuxième temps, à la révision totale de la loi sur la protection des données.

Cette révision en deux temps permettra à la commission d’examiner tout d’abord la mise en œuvre du droit européen, plus précisément la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le domaine du droit pénal qui, en vertu des accords de Schengen, doit avoir lieu dans un délai donné. La CIP-N pourra ensuite s’atteler à l’examen de la révision totale de la loi sur la protection des données sans être contrainte par le temps; une telle procédure paraît judicieuse à la CIP-N compte tenu de la grande complexité du sujet. Une minorité de la commission s’oppose à la scission du projet, considérant que deux révisions de la loi sur la protection des données se suivant à peu d’intervalle entraîneraient un surcroît de travail et une insécurité juridique pour les acteurs concernés.

Cette manière de procéder, en deux étapes, est critiquée par le Préposé fédéral à la protection des données et à la transparence dans un communiqué du 12 janvier 2018 (PFPDT ; voir https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news/kommission-des-nationalrats-beschliesst-etappierung-der-dsg-revi.html). Le PFPDT exige en effet que la procédure échelonnée permette, outre une adoption accélérée des aspects relatifs aux accords de Schengen, une mise en œuvre rapide du texte révisé dans son intégralité.

La scission de la procédure induirait, selon le PFPDT, des difficultés considérables du point de vue de la technique législative, ainsi qu’un risque de retards supplémentaires. La protection des droits fondamentaux de la population, dont la sphère privée est exposée à des risques accrus en raison de la numérisation croissante, doit être garantie. Pour cela, la Suisse a besoin rapidement d’une législation sur la protection des données assurant la sauvegarde adéquate des droits fondamentaux, équivalente au niveau de protection des données garanti par le droit européen, et qui tienne compte des défis posés par la numérisation.

(En droit européen, sur le RGPD et ses conséquences en Suisse, on lira ceci).

Me Philippe Ehrenström, LL.M., avocat, Genève et Yverdon

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, est tagué , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s