Révision de la loi fédérale sur la protection des données

En réponse à deux motions parlementaires, le Conseil fédéral a adressé aux Chambres fédérales le 19 février 2003 le message relatif à la révision de la loi fédérale sur la protection des données (LPD) et à l’arrêté fédéral concernant l’adhésion de la Suisse au Protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Ces projets sont en cours d’examen au Parlement fédéral.

En réponse à la motion 98.3529 de la Commission de gestion du Conseil des Etats «liaisons on-line: renforcer la protection pour les données personnelles» et à la motion 00.3000 de la Commission des affaires juridiques du Conseil des Etats «renforcement de la transparence lors de la collecte des données personnelles», le Conseil fédéral a adressé aux Chambres fédérales le 19 février 2003 le message relatif à la révision de la loi fédérale sur la protection des données (LPD) et à l’arrêté fédéral concernant l’adhésion de la Suisse au Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données (FF 2003 1915) (voir aussi 10ème rapport d’activités 2002/2003, chiffre 1.1). Lors de la session de printemps 2004, le Conseil national a accepté d’entrer en matière sur ce projet. Il a toutefois décidé de renvoyer le dossier au Conseil fédéral en le chargeant de préparer un projet moins ambitieux. La majorité du Conseil était en effet d’avis que le projet du Conseil fédéral allait au-delà de l’objectif des deux motions. Elle souhaitait que l’on s’en tienne aux motions et aux modifications nécessaires à la ratification du protocole additionnel. Le Conseil des Etats n’a pas suivi le Conseil national et a estimé que le projet présenté par le Conseil fédéral pouvait être traité par les commissions compétentes. Finalement, le Conseil national s’est rallié et la commission des affaires juridiques va reprendre le dossier. Nous nous réjouissons de cette décision qui évite de retarder l’adoption de ce projet. Nous soutenons dans l’ensemble le projet de révision de la LPD et la ratification du protocole additionnel. Nous aurions souhaité une révision plus étendue et notamment un rapprochement plus conséquent avec le droit européen. Nous estimons cependant qu’il est préférable d’agir par étapes. Le projet du Conseil fédéral est la réponse aux deux motions précitées et le préalable indispensable à la ratification du protocole additionnel. Le projet se limite à l’essentiel. La plupart des propositions sont la conséquence directe de la réalisation des deux motions (transparence, droit des personnes concernées, registre des fichiers, surveillance du PFPD, traitement sur mandat, etc.) ou de la ratification du protocole additionnel (flux transfrontières de données, droit de recours du PFPD, surveillance du PFPD). La révision tient largement compte de la procédure de consultation. En particulier, nous saluons l’introduction de la certification et du label de qualité de protection des données qui permettra de renforcer l’autonomie et la responsabilité des maîtres de fichier et d’encourager l’autoréglementation. Nous maintenons cependant nos réserves concernant la réglementation des projets-pilotes. Nous espérons que les débats permettront de revoir cette question.

Parmi les critiques adressées au projet figure l’obligation d’information. On craint que cette obligation n’aille trop loin et provoque une charge administrative supplémentaire. Ainsi que l’exige la motion de la Commission des affaires juridiques du Conseil des Etats, le projet de loi prévoit une obligation détaillée d’informer lors de la collecte de données sensibles ou de profils de la personnalité. En outre, le projet de loi prévoit en outre que la collecte de données personnelles et les finalités du traitement doivent être reconnaissables pour la personne concernée. Cette disposition concrétise le principe de la bonne foi et reflète l’intérêt des personnes concernées à l’existence d’un minimum de transparence lors de la collecte de données non sensibles. Le coût de la transparence ne doit pas être exagéré. Le principe de proportionnalité s’applique également dans ce contexte. Ainsi, une information détaillée n’est pas nécessaire lors de chaque collecte de données. La forme et le contenu de l’information vont dépendre de différents critères, en particulier du but, des méthodes et des circonstances du traitement, ainsi que de l’information dont dispose déjà la personne concernée. L’information peut être donnée de manière générale (publication, Internet, conditions générales, information standardisée, etc.). Plusieurs entreprises respectent aujourd’hui déjà le principe de transparence. La transparence est non seulement dans l’intérêt de la personne concernée, mais également dans l’intérêt de l’économie. Le Parlement a déjà reconnu le besoin de transparence dans d’autres domaines, par exemple dans le cadre de la révision de la loi fédérale sur le contrat d’assurances qui prévoit un devoir d’information plus large pour le traitement de données personnelles. Nous ne pouvons pas suivre les critiques selon lesquelles l’obligation d’information coûterait trop cher et que de toute façon les personnes concernées ne seraient pas intéressées à leurs données, du fait que très peu d’entre elles feraient usage de leur droit d’accès. En effet, nous recevons quotidiennement des demandes de citoyens qui s’informent de leurs droits et qui souhaitent recevoir des informations sur les traitements les concernant. Le citoyen ignore souvent qui traite des données à son sujet et quels sont ses droits. Il a souvent trop de respect à l’égard des maîtres de fichier. Il hésite à introduire une procédure pouvant s’avérer contraignante. Dans d’autres Etats dotés d’une loi de protection des données équivalente, le principe de transparence est également reconnu. Dans ces pays, l’obligation d’informer est bien acceptée par les responsables de traitement et n’est plus sujette à discussions. Pour l’économie et les entreprises, il est également plus avantageux d’avoir affaire à des clients informés. La transparence permet également de renforcer la confiance entre les entreprises et leurs clients.

Un autre point du projet de révision est l’objet de critiques, à savoir celui des compétences de surveillance du PFPD dans le secteur privé. On craint qu’il n’intervienne dans chaque cas d’espèce. D’une part, une telle interprétation serait contraire à l’esprit et à la lettre de la disposition proposée. D’autre part, le PFPD n’a pas les ressources nécessaires pour s’occuper de chaque cas d’espèce. Les modifications proposées allègent la procédure d’annonce des fichiers. Elles ne créent pas de nouvelles compétences. Actuellement, le PFPD peut déjà intervenir lors de traitements de données sensibles ou de profils de la personnalité. En effet, l’individu n’est souvent pas en mesure d’introduire une procédure, faute de moyens. Le PFPD doit ainsi avoir la possibilité d’intervenir dans les cas qui comportent un risque particulier d’atteinte aux droits de la personnalité. Les traitements de données sensibles ou de profils de la personnalité qui touchent un grand nombre de personnes constituent de tels cas.

[juillet 2005]

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/12e-rapport-d-activites-2004-2005/revision-de-la-loi-federale-sur-la-protection-des-donnees.html