Révision de la loi fédérale sur la protection des données

Le 21 décembre 2016, le Conseil fédéral a mis en consultation l’avant-projet de révision de la loi fédérale sur la protection des données. L’objectif de cette révision est d’adapter notre législation aux nouvelles technologies, de renforcer la protection des données et l’attractivité de la Suisse pour le numérique.

La loi révisée doit en particulier se rapprocher des nouveaux standards européens et maintenir la reconnaissance d'un niveau de protection des données adéquat. Pour nous, il important que cette révision aboutisse rapidement.

La loi fédérale sur la protection de données (LPD) fait partie des législations de protection des données de la première génération. Elle précède l'arrivée d'Internet, des téléphones intelligents et de l'internet des objets. Même si ce texte n'est en aucun cas dépassé, une révision s'impose pour répondre aux nouveaux défis de la société numérique et mieux garantir le respect des droits et des libertés fondamentales des personnes lors du traitement de données personnelles les concernant. Une révision est également fondamentale pour répondre à la réforme du cadre juridique européen et notamment la modernisation de la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108). Sur mandat du Conseil fédéral, l'Office fédéral de la justice a préparé un projet de révision totale de la LPD. Ce projet a été mis en consultation par le Conseil fédéral le 21 décembre 2016.

Nous avons participé aux travaux de révision et fait valoir notre point de vue au sein du groupe de travail et lors de la procédure de consultation des offices. Le projet répond largement à nos attentes. Toutefois certains points devront être revus pour que notre législation soit parfaitement conforme à la Convention 108 révisée et pour permettre un plus grand rapprochement avec le cadre juridique européen. Un tel rapprochement permettrait d'offrir une plus grande sécurité juridique. Ce serait non seulement à l'avantage des personnes concernées, mais aussi des responsables de traitement et de la place économique suisse.

La révision doit renforcer le droit à la protection des données afin que tout un chacun puisse disposer d'une plus grande maîtrise sur les informations qui le concernent. Cela passe par une plus grande transparence des traitements et l'octroi de nouveaux droits tel que le droit de pouvoir faire valoir son point de vue avant d'être soumis à une décision automatisée ou le droit de connaître la manière dont de telles décisions sont prises. La révision vise à renforcer et concrétiser les obligations des responsables de traitement. Elle prévoit d'introduire notamment une obligation d'annonce des violations de la protection des données, l'obligation de procéder à des études d'impact de protection des données et une obligation de documenter les traitements. Elle introduit les principes de la protection des données dès la conception (privacy by design) et de la protection des données par défaut (privacy by default).

La révision doit renforcer les compétences du PFPDT qui se verra conférer un pouvoir de décision. Le préposé devrait à l'avenir pouvoir émettre des recommandations de bonnes pratiques (Best practices) élaborées en coopération avec les milieux intéressés; il pourra également approuver ou reconnaître des règles contraignantes d'entreprises (Binding corporate rules, BCR) dans le cadre des transferts de données à l'étranger. De même, il pourra édicter, reconnaître ou approuver des clauses contractuelles standards. Par contre, il incombera au Conseil fédéral de prendre à l'avenir des décisions concernant le niveau de protection adéquat d'un État tiers.

Les possibilités de coopération avec d'autres autorités de protection des données en Suisse et à l'étranger et d'entraide administrative sont également améliorées. Pour que le PFPDT puisse assumer de manière crédible et effective ses tâches actuelles et futures, il devra cependant disposer de ressources et de moyens supplémentaires conséquents, comme le souligne le rapport explicatif concernant l'avant-projet. Il devrait également disposer d'un budget propre similaire au modèle adopté pour le contrôle fédéral des finances ou la nouvelle autorité de surveillance sur le service de renseignement de la Confédération. La révision permet aussi un renforcement significatif des sanctions pénales, même si le projet reste en retrait par rapport aux montants des sanctions prévus dans le règlement européen. Enfin, l'obligation d'annoncer les fichiers ou les traitements dans le secteur privé sera supprimé. Le registre des fichiers ne recensera à l'avenir que les traitements des organes fédéraux.

Tout en saluant la qualité du projet de révision, nous estimons qu'il devrait néanmoins être complété. Ainsi, nous avons proposé lors de la procédure de consultation des offices, entre autres, de renforcer encore la position des personnes concernées, notamment avec un droit de portabilité des données et un droit au déréférencement complétant le droit à l'effacement. Les responsables de traitements qui présentent un risque particulier d'atteinte à la vie privée devraient être tenus de nommer un conseiller à la protection des données. Cette fonction est déjà largement implémentée dans de nombreuses entreprises, fait l'objet de formations ad 'hoc et constitue un instrument effectif de la mise en œuvre de la protection dans l'entreprise ou l'administration.

Enfin, la LPD devrait pouvoir aussi s'appliquer à des responsables de traitement qui n'ont pas de siège en Suisse mais qui procèdent à des traitements y déployant des effets et qui concernent des personnes y résidant. Ces responsables de traitement devraient avoir un répondant en Suisse, notamment pour faciliter l'exercice des droits des personnes concernées. La relation entre notre législation et le règlement européen, notamment ses effets en Suisse ou pour des responsables de traitement suisses ayant des activités de traitement en Europe suscitent de nombreuses interrogations légitimes en Suisse et en Europe. En ce sens, nous saluons la motion 16.3752 du Groupe radical libéral «Contre les doublons en matière de protection des données» qui demande au Conseil fédéral d'approcher l'Union européenne en vue d'un accord de coopération concernant l'application des législations respectives.
Nous allons suivre activement l'évolution du projet de révision également suite à la procédure de consultation externe.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/24e-rapport-d-activites-2016-2017/revision-de-la-loi-federale-sur-la-protection-des-donnees.html