La nouvelle loi sur la protection des données (nLPD) entrera en vigueur le 1er septembre 2023. Elle instaurera des nouveautés non seulement pour les personnes traitant des données et pour les personnes concernées, mais aussi pour le PFPDT, dont elle modifie les tâches et les pouvoirs, et qui va donc intensifier son activité de surveillance et augmenter le nombre d'enquêtes.
Rôle du PFPDT
Le chef du PFPDT, donc le préposé, sera à l’avenir élu par le Parlement. Jusqu’ici, il était nommé par le Conseil fédéral et sa nomination était soumise à l’approbation de l’Assemblée fédérale. Cette nouvelle règle renforcera l’indépendance de l’office par rapport à l’exécutif et sa légitimité démocratique. Le préposé engagera lui-même son personnel et disposera de son propre budget, qui sera transmis tel quel à l’Assemblée fédérale.
Le PFPDT restera rattaché administrativement à la Chancellerie fédérale, d’autant que le chancelier de la Confédération sert d’intermédiaire entre le Conseil fédéral et lui. La Chancellerie fédérale assure d’ailleurs, en vertu d’une convention de prestations, un certain nombre de services pour le PFPDT dans les domaines de la gestion du personnel, des finances et de la bureautique.
Le Conseil fédéral déterminera à l’avenir si la législation d’un États tiers garantit un niveau de protection adéquat pour permettre le transfert de données de Suisse vers l’étranger sans mesures de précaution supplémentaires. La liste des États concernés figure en annexe de la nouvelle ordonnance sur la protection des données.
Lorsque le traitement de données envisagé sera susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement devra procéder au préalable à une analyse d’impact relative à la protection des données personnelles. Si cette analyse révèle que, malgré la mise en place de mesures appropriées, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement devra consulter le PFPDT préalablement au traitement. Le PFPDT examinera l’analyse et communiquera au responsable du traitement ses objections éventuelles dans un délai de deux mois. L’avis du PFPDT ne constituera en rien une « autorisation » du traitement prévu. Il ne sera pas attaquable, et sera fourni contre un émolument.
La nouvelle loi conférera au PFPDT de nouvelles tâches. Les associations professionnelles, sectorielles ou économiques pourront élaborer leur propre code de conduite et le soumettre au PFPDT pour avis. Le PFPDT publiera ses prises de position sur les codes de conduite. Il publiera aussi une liste des clauses type de protection des données approuvées, établies ou reconnues par lui. La nLPD lui permettra de percevoir des émoluments pour ses prises de position sur les codes de conduite, pour l’approbation des clauses type de protection des données et pour ses conseils en matière de protection des données.
Les responsables du traitement devront à l’avenir annoncer au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Le PFPDT a mis en place un portail à cet effet sur son site internet.
Le PFPDT doit veiller, en tant qu’autorité de surveillance, à ce que les organes fédéraux et les personnes privées respectent les dispositions fédérales de protection des données, notamment la loi sur la protection des données. Si des indices suffisants font penser qu’un traitement de données pourrait être contraire à des dispositions de protection des données, le PFPDT ouvrira une enquête, mais il pourra y renoncer lorsque la violation sera de peu d’importance. Dans le cadre de l’enquête, le PFPDT déterminera de quelle manière un organe fédéral, une personne privée ou une entreprise privée traite des données personnelles se rapportant à une personne physique. Sur la base de l’état de fait constaté, il déterminera s’il y a eu violation des dispositions fédérales de protection des données.
Avec l’entrée en vigueur de la nLPD, la Suisse ratifiera la Convention 108+ du Conseil de l’Europe. Il s’agit d’un instrument multilatéral contraignant relevant de la protection des données dont la version initiale, de 1981, a été modernisée et adaptée aux défis de l’ère numérique. Pour satisfaire aux exigences de la Convention 108+, le législateur a étendu les pouvoirs d’enquête du PFPDT. Alors qu’il ne pouvait jusqu’ici, s’agissant du traitement de données par des personnes privées, n’ouvrir une procédure d’établissement des faits que si une méthode de traitement était susceptible de porter atteinte à la personnalité d’un nombre important de personnes (erreur de système), cette réserve n’existe plus dans la loi révisée.
Dès l'entrée en vigueur de la nouvelle loi, le préposé va donc intensifier l'activité de surveillance du PFPDT et augmenter progressivement le nombre d'enquêtes formelles. L'autorité a été dotée de ressources en personnel supplémentaires pour l'exécution de la nouvelle loi et a pu mener à bien les recrutements correspondants au printemps 2023.
Les indices de violation potentielle des prescriptions de protection des données peuvent surgir des activités de surveillance courantes ou être signalés au PFPDT par les personnes concernées ou par des tiers tels que des médias ou des organisations de protection des consommateurs. Lorsqu’il a connaissance de tels indices, le PFPDT commence par mener une enquête préliminaire informelle pour vérifier s’il est compétent, si les indices sont suffisants et si la violation en question est suffisamment importante. Il peut, à ce stade, demander de manière informelle au responsable du traitement de répondre volontairement à ses questions, par exemple s’il n’est pas certain d’être compétent ou s’il estime qu’un premier contact avec lui peut permettre d’écarter la nécessité d’une enquête. Tel est notamment le cas lorsque le responsable du traitement est en mesure de désamorcer immédiatement les premiers indices de violation ou de prendre en temps utile des mesures volontaires pour garantir le respect des prescriptions de protection des données.
Selon le droit en vigueur, l’établissement des faits et de la violation des prescriptions font l’objet d’une procédure que le PFPDT peut, si nécessaire, clore par une recommandation non contraignante, dans laquelle il conseille la modification ou l’arrêt d’un certain traitement de données. Selon le nouveau droit, la procédure d’enquête sera régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA). Si le PFPDT constate que des dispositions de protection des données sont violées, il pourra rendre une décision au sens de l’art. 5 PA, que le responsable du traitement devra contester devant le Tribunal administratif fédéral s’il refuse de s’y soumettre. Le PFPDT pourra ordonner la modification, la suspension ou la cessation d’un traitement de données ou l’effacement de données personnelles.
La loi révisée contient deux dispositions spécifiques concernant la collaboration du PFPDT avec les autorités suisses et avec les autorités étrangères . Les autorités suisses devront l’assistance administrative au PFPDT tandis que lui ne la devra qu’à celles d’entre elles qui sont chargées de la protection des données, aux autorités de poursuite pénale compétentes pour traiter les infractions qu’il aura dénoncées et aux autorités fédérales ainsi qu’aux organes de police chargés d’exécuter les mesures qu’il aura ordonnées.
Le PFPDT pourra par ailleurs échanger des informations ou des données personnelles avec des autorités étrangères chargées de la protection des données personnelles pour l’accomplissement de leurs tâches légales respectives. Un certain nombre de conditions devront être réunies, notamment la réciprocité en matière d’assistance administrative, la préservation du secret et l’engagement des deux parties à n’utiliser les informations qu’aux fins prévues.
Contrairement aux autorités de surveillance de l’UE, le PFPDT restera privé de tout pouvoir de sanction. Les dispositions de droit pénal accessoire de la LPD ont par contre été étoffées dans la nLPD. Seront à l’avenir punissables la violation intentionnelle des obligations d’informer, de renseigner et de collaborer et la violation intentionnelle des devoirs de diligence, notamment lors de la communication de données personnelles à l’étranger, d’une sous-traitance et de la fourniture de la sécurité des données. Les amendes seront plafonnées à 250 000 francs et infligées à la personne privée responsable du traitement. L’amende subsidiaire prévue pour les personnes morales sera quant à elle plafonnée à 50 000 francs.
Lors des délibérations parlementaires relatives à la nLPD, le Conseil fédéral avait dit envisager la possibilité d’instaurer, dans une loi fédérale nouvelle, des sanctions administratives à l’encontre des entreprises fautives.
Dernière modification 11.05.2023