05.03.2021 / mise à jour le 27.10.2022 - Le secteur privé et les autorités fédérales devront adapter le traitement des données personnelles aux nouvelles dispositions prévues par la révision de la loi fédérale sur la protection des données. Le PFPDT met en évidence ci-après les principales nouveautés dont ils devront tenir compte à cette fin.
La LPD révisée vise exclusivement à protéger la personnalité des personnes physiques qui font l’objet d’un traitement de données. Elle ne concerne dorénavant plus les données des personnes morales (sociétés commerciales, associations, fondations, etc.), son champ d’application recouvrant ainsi celui du RGPD. Les entreprises, comme jusqu’ici, pourront toujours se référer à la protection de la personnalité prévue par l’art. 28 du code civil, à la protection du secret commercial et de fabrication prévue à l’art. 162 du code pénal et aux dispositions pertinentes de la loi fédérale contre la concurrence déloyale et de celle sur les cartels.
L’actuelle définition des données personnelles sensibles est étendue aux données génétiques et aux données biométriques si ces dernières identifient une personne physique de manière univoque.
Les principes de « Privacy by Design » (protection des données dès la conception) et de « Privacy by Default » (protection des données par défaut) sont nouvellement inscrits dans la LPD révisée. Ils contraignent les autorités et les entreprises à mettre en œuvre dès la conception des projets les principes de traitement prévus par la LPD en prenant des mesures de protection techniques et organisationnelles appropriées. Selon le principe de la protection des données dès la conception, elles devront concevoir leurs applications de sorte que, entre autres, les données soient systématiquement anonymisées ou effacées. La protection des données par défaut, quant à elle, préserve les utilisateurs d’offres en ligne privées qui ne prevoient pas de conditions d’utilisation ni les droits d’opposition qui en découlent : seules sont traitées les données absolument nécessaires à la finalité poursuivie tant que les utilisateurs ne deviennent pas actifs et n’autorisent pas de traitement plus poussé. Afin de garantir cette protection prévue par la nouvelle loi, les entreprises suisses devront vérifier leurs offres à temps et, si nécessaire, procéder à des modifications en utilisant des programmes conviviaux et respectueux de la protection des données.
Une entreprise privée pourra désigner un conseiller à la protection des données (art. 10). Elle a la possibilité, mais non l'obligation, de conclure un contrat de travail avec ce conseiller. Dans les deux cas, l’activité de conseil sera séparée des autres tâches de l’entreprise. Il est aussi recommandé de ne pas mélanger les dossiers du conseil sur la protection des données avec ceux des autres activités de conseil et de représentation juridique. Les conseillers pourront par ailleurs porter leur point de vue à la connaissance de la direction de l’entreprise en cas de divergence d’opinion (art. 23 let. c OPDo). Au contraire du RGPD européen, la désignation d’un conseiller restera facultative pour les personnes privées ; seuls les organes fédéraux y seront légalement tenus. Le conseiller sera non seulement l’interlocuteur à l’interne en matière de protection des données mais aussi l’intermédiaire pour la protection des données administrative et le premier contact du PFPDT. Outre le conseil général et la formation de l’entreprise en matière de protection des données, il aura pour tâche de participer à l’élaboration et à l’application de conditions d’utilisation et de dispositions de protection des données. Si le conseiller interne exerce sa fonction de manière indépendante et sans recevoir d’instruction et s’il n’exerce pas de tâches incompatibles avec sa fonction, l’entreprise pourra, après avoir effectué une analyse d’impact relative à la protection des données, se fonder uniquement sur le conseil interne même si un risque élevé persiste, sans avoir à consulter le PFPDT (cf. ci-dessous « Analyse d’impact relative à la protection des données personnelles »).
Les analyses d’impact ne sont pas nouvelles dans le droit suisse sur la protection des données, et les organes fédéraux y sont déjà tenus. Si le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, la nouvelle loi prévoit que le responsable du traitement privé devra désormais également procéder au préalable à une analyse d’impact (art. 22). L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe surtout lorsqu’un profilage à risque élevé ou un traitement à grande échelle de données sensibles est prévu. Lorsqu’un système, un produit ou un service est certifié au sens de la LPD ou lorsqu’un code de conduite reposant sur une analyse d’impact est observé, il sera possible de renoncer à une telle analyse. S’il ressort d’une analyse d’impact que le traitement envisagé présente encore, malgré les mesures prévues par le responsable du traitement, un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement consultera le PFPDT préalablement au traitement. Au cas où le PFPDT aurait des objections concernant l’analyse d’impact elle-même, il suggérera au responsable du traitement des précisions ou des ajouts. Ce devrait surtout être le cas lorsque le texte est si général qu’il ne décrit qu’insuffisamment les risques prévisibles ou les mesures. Si les objections concernent le traitement envisagé en soi, le PFPDT proposera des mesures de modification appropriées au responsable du traitement (cf. ci-dessous « Consultations »). Contrairement aux codes de conduite, les prises de position du PFPDT ne devront pas être publiées. En leur qualité de documents officiels toutefois, elles seront soumises à la loi sur la transparence. Le responsable du traitement privé pourra renoncer à consulter le PFPDT s’il a consulté à l’interne son conseiller à la protection des données (cf. ci-dessus « Conseillers à la protection des données »).
L'art. 11 de la nouvelle LPD incite les associations professionnelles, sectorielles et économiques à rédiger leur propre code de conduite et à le soumettre au PFPDT afin qu’il prenne position. Ces prises de position seront publiées. Elles pourront contenir des objections ou suggérer des modifications ou des précisions. Un avis positif du PFPDT justifiera la présomption légale que le comportement défini dans le code est conforme à la protection des données. Les codes trop généraux n’exonéreront toutefois pas des risques qui ne sont pas détaillés dans le texte. S’ils sont soumis à un code de conduite, les membres d’associations pourront être dispensés de l’élaboration d’aides et de directives propres pour l’application de la nouvelle LPD. Autre avantage pour eux de cette forme d’autorégulation : ils ne devront pas effectuer d’analyse d’impact s’ils observent un code de conduite reposant sur une analyse d’impact déjà effectuée et toujours actuelle, prévoyant des mesures de protection de la personnalité et des droits fondamentaux et ayant été soumise au PFPDT.
Les services et les processus peuvent désormais eux aussi être certifiés, en plus des systèmes de gestion et des produits (art. 13). Une certification permettra par exemple aux entreprises de prouver qu’elles respectent le principe de la protection des données par défaut et qu’elles disposent d’un système de gestion de la protection des données adéquat. Si un responsable du traitement privé utilise un système, un produit ou un service certifié, il sera dispensé d’établir une analyse d’impact relative à la protection des données. Le Conseil fédéral a édicté par voie d’ordonnance (OCPD) de plus amples dispositions sur les procédures de certification et sur le label de qualité.
Les responsables du traitement et les sous-traitants devront désormais tenir chacun un registre de toutes leurs activités de traitement (art. 12). La nouvelle loi énumère les indications que ce registre devra au moins contenir, lequel devra constamment être à jour. Le Conseil fédéral a prévu dans l’ordonnance des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées (art. 24 OPDo). Alors que les organes fédéraux seront tenus de déclarer leur registre au PFPDT, les personnes privées traitant des données n’y seront plus tenues selon le nouveau droit.
Conformément à l’article 16 de la LPD révisée, des données pourront être communiquées à l’étranger si le Conseil fédéral a constaté que l’État tiers dispose d’une législation assurant un niveau de protection adéquat. La liste tenue jusqu’ici par le PFPDT est désormais intégrée à l’OPDo (annexe 1). Si l’État destinataire concerné n’y figure pas, les données pourront toujours être communiquées, comme selon le droit en vigueur, à condition qu’une protection adéquate des données soit garantie d’une autre manière, par exemple par un traité international, des clauses de protection des données, qui devront être préalablement soumises au PFPDT, ou des règles d’entreprise contraignantes (binding corporate rules). Les clauses type déjà approuvées par la Commission européenne en vertu du RGPD seront reconnues par le PFPDT.
Si une communication à l’étranger est prévue – l’enregistrement sur des systèmes étrangers (cloud) étant aussi concerné –, les pays devront être indiqués aux personnes concernées, qu’ils offrent ou non un niveau de protection des données approprié. Ici, la LPD va plus loin que le RGPD. Il faudra aussi indiquer quelles garanties entrent éventuellement en compte (par ex. clauses contractuelles type européennes) ou à quelles exceptions le responsable du traitement se réfère éventuellement ; là aussi, la LPD s’écarte du RGPD.
Afin d’atteindre l’objectif de transparence visé par la révision, l’article 19 de la nouvelle LPD consolide le devoir d’information er pour les entreprises. Pour toute collecte envisagée de données personnelles, le responsable du traitement privé devra informer au préalable la personne concernée de manière adéquate, que la collecte de données soit directement effectuée auprès d’elle ou non. L’actuelle LPD ne prévoit ce devoir d’informationer que pour les données personnelles sensibles et les profils de la personnalité. Concrètement, l’identité et les coordonnées du responsable du traitement devront être communiquées, de même que la finalité du traitement et, le cas échéant, les destinataires des données personnelles. Autrement que dans leContrairement au RGPD, des informations devront aussi être fournies sur l’État destinataire et sur les garanties éventuelles d’un niveau approprié de protection des données (cf. en hautsupra, Communication de données personnelles à l’étranger). Les entreprises devront ainsi vérifier et actualiser leur déclaration relative à la protection des données. Le devoir d’informer ne s’appliquera pas aux données personnelles qui ne sont saisies qu’accessoirement ou par hasard. Il sera par ailleurs limité ou supprimé par les nombreuses exceptions mentionnées à l’art. 20, . Ce sera par exemple le cas si la personne concernée dispose déjà des informations ou si le traitement des données personnelles est prévu par la loi. Si le traitement entraîne une décision individuelle automatisée, le responsable du traitement, en vertu de l’art. 21, devra informer la personne concernée et lui accorder le droit d’être entendue et celui de vérifier qui lui reviennentles données.
Le droit d’une personne concernée de demander si des données personnelles la concernant sont traitées est consolidé dans la nouvelle LPD. Le nouveau article 25 dresse une liste étendue des informations que le responsable du traitement devra au moins transmettre (par ex. la durée de conservation des données personnelles traitées). Il prévoit également que la personne concernée devra recevoir toutes les informations nécessaires pour qu’elle puisse faire valoir les droits qui lui sont accordés selon la nouvelle LPD et pour que la transparence du traitement soit garantie. Dans certains cas, le responsable du traitement pourra refuser, restreindre ou différer la communication des renseignements, ce que prévoit déjà le droit en vigueur.
En vertu du nouveau article 24, le responsable du traitement devra nouvellement annoncer au PFPDT les cas de violation de la sécurité des données entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Cette disposition s’appliquera aussi bien aux responsables du traitement privés qu’aux organes fédéraux. L’annonce au PFPDT devra être faite dans les meilleurs délais. Le responsable du traitement effectuera au préalable une prévision des conséquences possibles de la violation ainsi qu’une première évaluation afin de déterminer s’il pourrait y avoir péril en la demeure, si la personne concernée doit être informée de l’événement et de quelle manière. Même s’il estime que le risque n’est pas élevé, le responsable du traitement pourra faire volontairement une annonce au PFPDT. Seules devront être signalées au PFPDT les violations de la personnalité et des droits fondamentaux, et non les cyberattaques déjouées ou impossibles. Le RGPD européen prévoit lui aussi une obligation de notifier les autorités de protection des données de l’UE et indique des délais concrets. Le seuil d’annonce en vertu du droit européen est d’ailleurs plus bas, puisqu’il s’applique déjà à un risque simple.
Le droit à la remise ou à la transmission des données personnelles prévu à l’article 28 de la LPD révisée donne la possibilité à la personne concernée de demander au responsable du traitement privé qu’il lui remette sous un format électronique couramment utilisé les données personnelles la concernant qu’elle lui a communiquées ou de les transmettre à un tiers. Les conditions suivantes devront être réunies : le responsable du traitement traite les données de manière automatisée et avec le consentement de la personne concernée ou en relation directe avec un contrat. La personne concernée pourra faire valoir ce droit gratuitement, sauf si la remise ou la transmission des données exige des efforts disproportionnés. S’agissant de données de communication, les efforts sont réputés disproportionnés notamment lorsqu’un tri complexe entre les propres propos et ceux de tiers est nécessaire.
Le PFPDT devra ouvrir d’office une enquête contre un organe fédéral ou une personne privée qui aura enfreint la nouvelle LPD (art. 49, al. 1). L’actuelle LPD prévoit que le PFPDT ne peut mener une enquête d’office contre des personnes privées, y compris établissement des faits, que si la méthode de traitement est susceptible de porter atteinte à la personnalité d’un nombre important de personnes. Ce seuil d’intervention, appelé « erreur de système », sera supprimé. Le nouveau droit prévoit toutefois lui aussi que le PFPDT pourra renoncer à ouvrir une enquête lorsque la violation est de peu d’importance (art. 49, al. 2). Comme jusqu’ici, le PFPDT pourra toujours renoncer à engager de premières étapes formelles s’il s’avère, après un premier contact avec le responsable du traitement, que celui-ci reconnaît les insuffisances qui lui ont été signalées et y remédie en temps utile.
Le PFPDT pourra désormais mener des procédures conformément à la loi fédérale sur la procédure administrative et formellement ordonner à un organe fédéral ou à un responsable du traitement privé la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction des données personnelles (art. 51, al.1). Il pourra par exemple ordonner qu’une entreprise informe les personnes concernées d’une violation signalée de la sécurité des données. Aujourd’hui, il a seulement la compétence de faire des recommandations et d’ouvrir une action en justice auprès du Tribunal administratif fédéral en cas de non-observation de ces dernières.
Les personnes qui font l'objet d'une décision du PFPDT pourront faire recours devant le Tribunal administratif fédéral puis devant le Tribunal fédéral. Le PFPDT aura aussi qualité pour recourir contre les décisions sur recours du Tribunal administratif fédéral (art. 52, al. 3).
Le PFPDT n’est ni une autorité d’approbation ni un organisme d’homologation des applications, des produits, des réglementations et des projets. La nouvelle loi prévoit cependant à plusieurs reprises que le responsable du traitement devra consulter le PFPDT avant la clôture définitive des travaux et la réalisation des projets. Les codes de conduite et, en cas de risques résiduels élevés, les analyses d’impact devront lui être présentés pour qu’il prenne position. Vu la nature abstraite de ces objets soumis à consultation, les prises de position du PFPDT n’auront généralement pas valeur de décision, et les mesures et charges qu’il recommandera ne seront pas sujettes à recours. En revanche, si le responsable du traitement ne les respecte pas, il devra s’attendre à ce que des traitements concrets liés à des recommandations du PFPDT fassent ultérieurement l’objet de décisions. Ces décisions pourront aller jusqu’à l’interdiction de traitements entiers, le responsable du traitement pouvant toutefois ici recourir aux voies de droit ordinaires de la procédure administrative.
Excepté les prises de position dans le cadre de consultations formelles, le PFPDT restera libre de s’exprimer spontanément sur des nouvelles technologies, des phénomènes de numérisation ou des pratiques de traitement de certaines branches et de publier ses opinions et évaluations. S’il en va de l’intérêt général, il informera le public, comme il le fait déjà suivant le droit en vigueur, de ses mesures et de ses constatations. Il en ira de même des constatations et des décisions rendues dans le cadre d’enquêtes formelles du PFPDT (art. 57, al. 2).
La nouvelle loi énumère les prestations pour lesquelles le PFPDT percevra des émoluments auprès des personnes privées (art. 59). Il en percevra par exemples pour des prises de position concernant les codes de conduite ou les analyses d’impact et pour l’approbation des clauses type de protection des données et de celle des règles d’entreprise contraignantes. Les conseils généraux que le PFPDT fournira à des personnes privées seront eux aussi soumis à des émoluments. Les modalités sont réglées dans l'article 44 OPDo.
La nouvelle LPD prévoit des amendes de 250 000 francs au plus à l’encontre de personnes privées (art. 60). Seul les comportements et les omissions intentionnels seront punis, et non la négligence. Le non-respect du devoir d’informer, de renseigner et d’annoncer et la violation des devoirs de diligence et celle du devoir de discrétion seront punis sur plainte seulement. L’insoumission à une décision du PFPDT sera en revanche poursuivie d’office. C’est en principe la personne physique responsable qui sera punie. L’entreprise elle-même pourra toutefois nouvellement l’être aussi, à hauteur de 50 000 francs maximum, si l’identification de la personne punissable au sein de l’entreprise ou de l’organisation nécessite des actes d’enquête disproportionnés. Le nouveau droit n’accorde toujours pas de pouvoir de sanction au PFPDT, alors que les autorités européennes de protection des données en sont désormais pourvues. Les contrevenants seront punis par les autorités cantonales de poursuite pénale. Le PFPDT pourra dénoncer des infractions et faire valoir les droits d’une partie plaignante dans la procédure (art. 65, al. 2), mais il n’aura pas le droit de porter plainte. Contrairement à la nouvelle LPD, le RGPD dispose que les sanctions administratives ne sont prononcées qu’à l’encontre de personnes morales. Les autorités européennes de protection des données peuvent condamner des entreprises fautives à des amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Dernière modification 24.04.2024