Suite à deux motions parlementaires, le Conseil fédéral a adressé un message aux Chambres fédérales proposant une révision partielle de la loi fédérale du 19 juin 1992 sur la protection des données (LPD) et la ratification du protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Le projet de loi sur la transparence, également transmis au Parlement, entraînera aussi une modification de la LPD. Enfin selon l’avancement des négociations bilatérales entre la Suisse et l’Union européenne, une révision plus substantielle de la LPD pourrait rapidement s’avérer nécessaire. Le PFPD est dans l’ensemble d’accord avec les modifications proposées. Il regrette néanmoins que la révision ne soit pas plus ambitieuse.
Révision de la loi fédérale sur la protection des données
Donnant suite à la motion 98.3529 de la Commission de gestion du Conseil des Etats «Liaisons on-line: Renforcer la protection pour les données personnelles» et la motion 00.3000 de la Commission des affaires juridiques du Conseil des Etats «Renforcement de la transparence lors de la collecte des données personnelles», le Conseil fédéral a transmis aux Chambres fédérales le 19 février 2003, un message «relatif à la révision de la loi fédérale sur la protection des données (LPD) et à l’arrêté fédéral concernant l’adhésion de la Suisse au Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données.» (FF 2003 1915)
Le projet de révision renforce la position des personnes concernées, en particulier du fait de l’introduction d’une obligation de transparence lors de la collecte de données personnelles. Toute collecte de données devra ainsi à l’avenir être reconnaissable pour la personne concernée. Celle-ci devra au minimum connaître les finalités du traitement. Lors de la collecte de données sensibles ou de profils de la personnalité, le responsable du traitement devra informer activement les personnes concernées au moins de l’identité du maître du fichier, des finalités du traitement pour lequel les données sont collectées et des catégories de destinataire des données si la communication est envisagée. Tout comme pour le droit d’accès, l’information de la personne concernée peut être restreinte dans certaines conditions. Les personnes concernées devront également être expressément informées lorsqu’une décision produisant des effets juridiques à leur égard ou les affectant de manière significative est prise sur le seul fondement d’un traitement automatisé de données destiné à estimer certains aspects de leur personnalité. Dans le secteur privé, le droit de s’opposer à un traitement sera rendu plus effectif, notamment en incitant le responsable du traitement à se déterminer lors d’une requête d’une personne concernée.
Le régime des flux transfrontières de données sera revu. La déclaration préalable sera abandonnée. L’interdiction de transfert lorsque la personnalité des personnes concernées se trouve gravement menacée est maintenue. Le projet introduit cependant des dérogations, notamment lorsque des garanties appropriées (recours à des clauses contractuelles de protection des données, règlement de protection des données pour les groupements d’entreprises) sont fournies par le responsable de traitement. Ces garanties devront être annoncées au PFPD qui pourra le cas échéant intervenir. L’annonce des fichiers est maintenue tant pour les organes fédéraux que pour les personnes privées. Toutefois, des dérogations à l’annonce seront introduites dans la loi et la procédure d’annonce sera simplifiée, notamment par l’introduction, dans un avenir proche, de la possibilité pour le maître de fichier de déclarer ses fichiers en ligne. Le registre des fichiers sera publié sur Internet, ce qui facilitera sa consultation. Le projet innove en introduisant, sous forme de norme incitative, le recours à la certification des produits et des systèmes de traitement des données personnelles (audit, label de qualité de protection des données). Le PFPD pourra, dans le cadre de ses compétences, s’assurer que les entreprises certifiées respectent les exigences de protection des données et que les entreprises qui procèdent à la certification et à la «labelisation» agissent conformément aux exigences de la protection des données. Il pourra fixer le cadre des évaluations et émettre le cas échéant des recommandations.
En outre, le projet précise la réglementation relative au traitement des données sur mandat, notamment lorsque des organes fédéraux font traiter des données par des tiers. Dans ce cas, les organes fédéraux pourront effectuer des contrôles auprès de ces tiers. En réponse à la motion «liaisons on-line», le Conseil fédéral pourra autoriser, pour une durée limitée, le traitement automatisé de données sensibles ou de profils de la personnalité dans le cadre de projets «pilotes», avant que la base légale formelle y relative ne soit entrée en vigueur. Le projet de révision fixe également les exigences minimales auxquelles la législation cantonale doit répondre lorsqu’un canton traite des données en exécution du droit fédéral. Enfin, le PFPD pourra recourir auprès de la Commission fédérale de la protection des données contre une décision d’un département ou de la Chancellerie fédérale qui ne donne pas suite à une recommandation adressée à un organe fédéral qui l’a refusée ou qui ne l’a pas suivie. Dans le secteur privé, le PFPD voit son pouvoir d’intervention renforcé. Il pourra en effet à l’avenir enquêter sur des traitements de données sensibles ou de profils de la personnalité, ainsi que sur des communications régulières de données indépendamment du fait que les fichiers concernés par ces traitements font l’objet d’une annonce en vue de leur enregistrement dans le registre des fichiers.
Zusatzprotokoll zum Übereinkommen 108
Le premier protocole additionnel à la Convention 108 a été adopté par le Comité des Ministres du Conseil de l’Europe, le 23 mai 2001 et ouvert à la signature des Etats, le 8 novembre 2001. A ce jour, trois Etats parties à la Convention 108 ont ratifié le protocole additionnel et 18 autres l’ont signé. Suite aux résultats positifs de la procédure de consultation, la Suisse a signé le protocole le 17 octobre 2002. L’objectif poursuivi par ce protocole est de renforcer la mise en œuvre des principes contenus dans la Convention 108 et en particulier de tenir compte de l’augmentation croissante des flux transfrontières de données, notamment vers des destinataires établis dans un Etat non contractant. Le protocole règle tout d’abord l’obligation des Etats contractants de se doter d’une ou de plusieurs autorités chargées de veiller au respect des dispositions nationales de protection de données. Ces autorités doivent agir de manière indépendante et bénéficiées de compétences effectives, notamment d’investigation et d’intervention. Elles sont une partie intégrante du système de contrôle de la protection des données dans une société démocratique. Du fait de la dimension internationale des transferts de données personnelles et afin d’améliorer l’harmonisation des solutions de protection des données, les autorités de contrôle des Etats contractants sont appelées à coopérer entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant des informations.
Le protocole règle ensuite les flux transfrontières de données vers des pays tiers. Ainsi, le transfert de données personnelles vers un destinataire soumis à la juridiction d’un Etat ou d’une organisation qui n’est pas Partie à la Convention 108 ne peut être effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le transfert considéré. Le protocole aménage cependant des dérogations à l’exigence du niveau de protection adéquat. Le transfert peut ainsi être autorisé si le droit interne de l’Etat contractant d’où les données sont communiquées, le prévoit pour des intérêts spécifiques de la personne concernée ou pour des intérêts légitimes prévalant les intérêts de la personne concernée. Le transfert est également possible si des garanties résultant notamment de clauses contractuelles sont prises par le responsable du transfert. Ces garanties doivent inclure les éléments pertinents de la protection des données et préserver les droits des personnes concernées. Elles doivent avoir été jugées suffisantes par les autorités de protection des données compétentes.
Le projet de révision de la LPD permet de mettre la législation fédérale en conformité avec les exigences du protocole additionnel et à la Suisse de le ratifier. La ratification du protocole est importante pour la Suisse notamment du fait des nombreux échanges d’informations avec les pays membres de l’Union européenne. Le respect des exigences de la Convention 108 et de son protocole additionnel constituera à l’avenir un élément déterminant dans l’appréciation du niveau adéquat de protection des Etats tiers. Les cantons devront également adapter leur législation et pour certains renforcer les compétences et l’indépendance de leurs autorités de contrôle.
Négociations bilatérales II entre la Suisse et l’Union européenne
La Suisse et l’Union européenne ont entamé de nouvelles négociations bilatérales. Ces négociations ont trait en particulier aux services, à la fiscalité de l’épargne, aux accords de Schengen et à la Convention de Dublin sur l’asile. Si ces négociations aboutissent à un accord, la Suisse devra reprendre une partie de l’acquis européen. Parmi cet acquis figure la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. La reprise de cet acquis implique une révision plus conséquente de la LPD que celle présentée par le Conseil fédéral. Les principales différences avec le droit européen concernent en particulier les définitions et la terminologie utilisée, le champ d’application de la directive qui est plus large que celui de la LPD, le régime des données sensibles qui, dans le secteur privé, est plus sévère en droit européen, l’information explicite des personnes concernées lors de la collecte des données, qui couvre toutes les données personnelles indépendamment de leur nature, le droit de ne pas être soumis à une décision individuelle automatisée, absent de notre législation et le droit d’accès qui est plus large dans la directive européenne. Le régime de la notification des traitements en droit européen diffère également du droit suisse, notamment quant aux informations à fournir, à l’étendue de la notification et à l’examen préalable des traitements à risque. Enfin, les compétences et les pouvoirs des autorités de contrôle de la protection des données paraissent plus étendues dans la directive européenne. Plusieurs législations des Etats membres de l‘Union européenne attribuent des pouvoirs de décision et de sanctions à leurs autorités de protection des données. Les cantons devront également revoir leur législation. La question se pose de savoir si la Confédération ne devait pas disposer d’une compétence permettant une application de la LPD, du moins à titre supplétif, à l’ensemble des traitements de données effectués par des organes cantonaux ou communaux en l’absence d’un niveau de protection des données adéquat.
La transposition de la directive européenne ne serait pas désavantageuse pour la Suisse. Même si dans un premier temps, on peut éventuellement s’attendre à des réactions négatives de l’économie privée, les entreprises suisses actives en Europe trouveraient également des avantages substantiels à une harmonisation plus complète de notre droit avec le droit européen. Cette transposition permettra d’éviter des obstacles à la circulation des données avec les Etats européens et offrira aux personnes concernées un niveau de protection équivalent et des droits identiques à ceux des ressortissants de l’Union européenne. Elle assurera une plus grande homogénéité des pratiques et de la jurisprudence et une participation au développement du droit européen. Elle devrait nous permettre également de participer aux travaux du groupe de travail mis en place par la directive européenne.
Projet de loi sur la transparence de l’administration
Le Conseil fédéral a également adopté le 12 février 2003 un message relatif à la loi fédérale sur la transparence (LTrans; FF 2003 1807) et l’a transmis aux Chambres fédérales. Ce projet de loi vise à garantir l’accès du public aux documents officiels et à promouvoir la transparence de l’administration. L’accès aux documents officiels porte également sur des données personnelles. En règle générale, ces documents seront anonymisés avant d’être transmis aux personnes qui les requièrent. Toutefois, l’anonymisation n’est pas toujours possible et dans certaines situations, l’administration pourrait être amenée à transmettre des données personnelles à des tiers. Dans ces cas, la LPD sera applicable et en particulier la licéité de l’accès sera régie par les dispositions régissant la communication de données personnelles. La personne concernée pourra demander à être consultée préalablement à la communication des données requises. Elle devra être consultée si la demande porte sur des données sensibles ou des profils de la personnalité. Le projet de loi institue un médiateur en cas de conflit entre l’administration et l’administré au sujet d’une demande d’accès. La médiation sera assurée par le PFPD qui se voit ainsi attribuer de nouvelles tâches. Ce système correspond à la position prise par le PFPD lors de la procédure de consultation (voir 7ème rapport d’activités, chapitre II.7). La LTrans prévoit également une modification de la LPD permettant de communiquer des données personnelles qui sont rendues accessibles dans le cadre de l’information du public effectuée d’office par les autorités ou en vertu de la LTrans pour autant que les données soient en rapport avec l’accomplissement de tâches publiques et qu’il existe un intérêt prépondérant à communiquer ces données. En outre, ces données pourront également être publiées sur Internet. La diffusion sur Internet sera également envisageable lorsqu’une base légale prévoit la publication des données. Toutefois, le recours à Internet ne doit pas être automatique du fait de la publication ou de l’accessibilité des données à tout un chacun. Le principe de proportionnalité devra être respecté. En outre, les données devront être effacées une fois que le but d’intérêt public ayant justifié la publication aura été atteint, notamment pour assurer le droit à l’oubli. Dans certains cas, il conviendra de limiter l’accès aux données, notamment en restreignant les mécanismes de recherche des données.
Position du PFPD concernant la révision de la LPD
Le PFPD soutient dans l’ensemble les propositions de modification de la LPD figurant dans les deux messages susmentionnés. Comme nous l’avions déjà relevé dans notre 8ème rapport d’activités (chapitre I.12), nous aurions souhaité une révision plus étendue de la LPD et notamment un rapprochement plus conséquent avec le droit européen. En particulier, nous saluons l’introduction de la certification et du label de qualité de protection des données qui contribuent à renforcer l’autonomie et la responsabilité des maîtres de fichier. Nous relevons également l’équilibre qui a été trouvé dans la LTrans entre l’accès aux documents officiels et les exigences de la vie privée. Par contre, nous avons des réserves quant à l’introduction d’une disposition permettant au Conseil fédéral d’autoriser, avant l’entrée en vigueur d’une loi au sens formel, le traitement automatisé de données sensibles ou de profils de la personnalité. Nous estimons tout d’abord que cette disposition va au-delà de la motion «liaisons on-line» qui demande une base légale uniquement pour les accès en ligne. Ensuite, tout en reconnaissant la nécessité d’aménager le principe de légalité, notamment pour tenir compte de la complexité des systèmes de traitement de données personnelles et de l’évolution dans l’accomplissement des tâches des organes fédéraux, nous aurions souhaité une réflexion plus approfondie sur les exigences du principe de légalité et les modalités de sa mise en œuvre. En particulier à l’instar de certaines législations européennes, certains traitements pourraient être soumis à l’autorisation préalable du Préposé fédéral à la protection des données. Dans une étape ultérieure, nous estimons nécessaire de renforcer les droits de la personne concernée et notamment d’alléger la procédure dans le secteur privé pour permettre aux individus de faire valoir leurs droits, ainsi que d’encourager le recours aux technologies de la vie privée, en imposant par exemple aux responsables de traitement l’obligation de développer des outils permettant aux individus d’exercer leurs droits lorsqu’ils recourent à des services en ligne. L’autoréglementation pourrait également être développée. Toutefois, une plus grande autonomie des responsables de traitement doit avoir pour conséquence la mise en place de moyens de contrôle préventifs et répressifs en cas d’abus. Cela implique qu’à l’avenir, le PFPD ait un rôle plus proactif. L’objectif ainsi poursuivi est d’éviter que les individus se trouvent dépourvus de toute protection lorsque des données les concernant font l’objet d’un traitement. Il est dès lors nécessaire de développer une politique qui promeut la reconnaissance et le respect des principes de la protection des données et qui permet aux personnes concernées d’exercer effectivement leurs droits. Le PFPD doit ainsi veiller à ce que ces règles soient respectées et intégrées dans les processus de traitements des données. Cette approche nécessite de revoir les compétences du PFPD. Il doit non seulement contrôler le respect des exigences légales. En cas de violation, il doit aussi pouvoir prendre les mesures adéquates qui s’imposent et le cas échéant prononcer des sanctions. L’effectivité de la surveillance nécessite des ressources, qui aujourd’hui sont insuffisantes (voir aussi paragraphe 12.1 du présent rapport) et des pouvoirs de décisions. A l’instar d’autres autorités de protection des données en Europe et d’autres autorités de surveillance en Suisse, par exemple la Commission fédérale de la concurrence, il serait souhaitable que le PFPD soit doté du pouvoir de prononcer des sanctions. En outre, un droit de recours contre les décisions des organes fédéraux, similaire à celui prévu dans la loi sur la protection des données du canton de Glaris, pourrait être introduit.
[juillet 2003]