Message du 15 septembre 2017 concernant la révision totale de la loi fédérale sur la protection des données: appréciation du PFPDT

Buts

Le développement fulgurant des technologies d’information et de télécommunication et la numérisation de la société qu’il entraîne dans son sillage ont imposé une refonte des législations en matière de protection des données du Conseil de l’Europe et de l’Union européenne, refonte qui a à son tour nécessité la révision totale de la loi fédérale sur la protection des données, en vigueur depuis 1993. Le projet de loi présenté par le Conseil fédéral vise à renforcer la protection des données, au travers notamment d’une amélioration de la transparence des traitements et du contrôle que les personnes concernées peuvent exercer sur leurs données. Il vise en outre à assurer le maintien de l’équivalence du niveau de protection entre la Suisse et l’UE. L’adéquation de ce niveau de protection revêt une importance capitale notamment pour l’économie suisse, d’autant plus que le nouveau règlement général de l’UE sur la protection des données, qui entrera en vigueur le 25 mai 2018, aura des répercussions directes sur de nombreuses entreprises suisses.

Appréciation globale du PFPDT

Le PFPDT approuve les grandes lignes de la révision. Il émet toutefois quelques réserves, pour l’essentiel dues au fait que le projet du Conseil fédéral présente des différences terminologiques et matérielles par rapport au règlement général de l’UE sur la protection des données et à la convention STE 108 révisée du Conseil de l’Europe. Le PFPDT estime que nombre de ces différences ne sont pas judicieuses, notamment parce qu’elles compliquent inutilement la situation juridique des entreprises suisses et des services de l’administration qui seront directement soumis au règlement général de l’UE sur la protection des données.

Aspects positifs

Le PFPDT se félicite notamment de l’amélioration de la transparence en matière de traitement des données, le devoir d’information lors de la collecte étant étendu à tous les traitements dans le secteur privé, indépendamment de la sensibilité des données. Il salue également la mise en œuvre de l’analyse d’impact relative à la protection des données pour les projets, du secteur privé ou des autorités, qui présentent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L’extension de l‘obligation d’informer les personnes concernées sur leurs droits d’accès est également un point positif. Il en va de même de l’encouragement de l‘autoréglementation, par le biais de codes de conduite qui visent à faciliter les activités des responsables du traitement et à contribuer au respect de la législation. Le PFPDT se félicite également de la mention explicite des principes de la protection des données dès la conception et par défaut (privacy by design et privacy by default). L’indépendance et le rôle du PFPDT sont en outre renforcés. Le projet de loi prévoit que celui-ci peut prendre, à l’instar de ses homologues européens, des décisions contraignantes à l’égard des responsables du traitement et des sous-traitants, au terme d’une enquête ouverte d’office ou sur dénonciation. Le PFPDT prend acte du fait que le Conseil fédéral prévoit de lui allouer des moyens supplémentaires pour l’exécution de la nouvelle loi.

Divergences subsistantes

Le PFPDT aurait souhaité l’instauration d’un droit à la portabilité des données, qui renforcerait le contrôle de l’utilisateur sur ses données personnelles ainsi que le renversement du fardeau de la preuve en procédure civile. Il aurait également apprécié que la nouvelle loi, à l’instar du règlement général de l’UE sur la protection des données, s’applique expressément aussi aux entreprises n’ayant pas de siège en Suisse mais qui procèdent à des traitements ayant des effets en Suisse, afin que les personnes concernées puissent exercer plus facilement leurs droits. A cet effet, ces entreprises devraient avoir un interlocuteur en Suisse.
Le nouveau droit suisse devrait soumettre la désignation des conseillers à la protection des données en entreprise aux même conditions que celles que prévoit le règlement général de l’UE sur la protection des données en ce qui concerne les entreprises directement soumises à celui-ci. Il en va de même pour les codes de conduite. Les associations professionnelles et les associations économiques suisses devraient les soumettre au PFPDT selon les mêmes règles que celles qu’elles doivent respecter en vertu du règlement général de l’UE. Il serait en outre nécessaire que les entreprises dotées d’un conseiller à la protection des données soient également soumises aux obligations en matière d’analyses d’impact. De même les traitements de données présentant un risque particulièrement élevé devraient faire l’objet d’une certification.
Les sanctions prévues (amende de 250 000 francs au plus) semblent peu dissuasives au regard de celles fixées par le règlement général de l’UE sur la protection des données (20 millions d’euros ou 4 % du chiffre d’affaires annuel). Le PFPDT craint en outre que ce soit le personnel subalterne des entreprises, plutôt que celles-ci en tant que telles, qui soit sanctionné. Il déplore également l’absence de sanctions de droit pénal administratif.
Enfin, le budget du PFPDT ne devrait pas être approuvé par le Conseil fédéral mais par le Parlement, à l’instar du régime appliqué aux autres autorités de surveillance indépendantes telles que le Contrôle fédéral des finances et le Service de renseignement de la Confédération.

PFPDT, 15 septembre 2017

Informations complémentaires et documentation

Webmaster
Dernière modification 01.11.2017

Début de la page

https://www.edoeb.admin.ch/content/edoeb/fr/home/actualites/aktuell_news/zur-botschaft-ueber-die-totalrevision-des-datenschutzgesetzes-de.html