Révision de la législation fédérale en matière de protection des données : état des lieux

En avril 2015, le Conseil fédéral a chargé le Département fédéral de justice et police (DFJP) de préparer un avant-projet de révision de la législation fédérale en matière de protection des données[1]. Le DFJP collabore à cette fin avec le Préposé fédéral à la protection des données et à la transparence (PFPDT), le Département fédéral de l’économie, de la formation et de la recherche (DEFR), le Département fédéral des finances (DFF) et le Département fédéral de l’intérieur (DFI). L’avant-projet devait, d’une part, tenir compte des conclusions du rapport du 29 octobre 2014 intitulé « Esquisse d’acte normatif relative à la révision de la loi sur la protection des données »[2] et, d’autre part, des réformes du Conseil de l’Europe (projet de modernisation de la Convention STE 108[3]) et de l’Union européenne (règlement (UE) 2016/679[4] et directive (UE) 2016/680[5]).

Les travaux de rédaction sont actuellement en cours. L’avant-projet devrait être mis en consultation externe auprès des milieux concernés fin novembre. Il a été élaboré dans le cadre d’un groupe de rédaction composé de représentants de l’Office fédéral de la justice (OFJ) et de la Chancellerie fédérale, ainsi que du PFPDT suppléant. Par ailleurs, afin de mesurer les effets des mesures envisagées sur l’économie privée, l’OFJ, conjointement avec le Secrétariat d’État à l’économie, a chargé l’entreprise PwC de procéder à une étude d’impact de la réglementation[6].

Transposer en droit les engagements suisses

L’avant-projet contient d’abord des dispositions permettant à la Suisse de respecter ses engagements internationaux. Celles-ci concernent les points suivants :

• transposition par la Suisse de la directive (UE) 2016/680 ; celle-ci constitue un développement de l’acquis de Schengen que la Suisse s’est engagée à reprendre dans le cadre de l’accord d’association conclu avec l’UE ;
• mise en œuvre de la recommandation émise par l’UE en 2014, qui consiste à doter le PFPDT de compétences décisionnelles ;
• transposition dans la législation suisse du projet de modernisation de la convention STE 108 du Conseil de l’Europe.

L’avant-projet entend, par ailleurs, rapprocher la législation suisse du règlement (UE) 2016/679. Il s’agit, par-là, de reprendre les dispositions qui permettront à notre pays de continuer à être en adéquation avec la législation européenne. L’avant-projet contient enfin une série de mesures issues de réflexions internes.

Améliorer la protection des personnes

Plus concrètement, l’avant-projet permettra d’améliorer la transparence des traitements et la maîtrise des personnes concernées sur leurs données. Il est ainsi prévu d’étendre le devoir d’information (art. 14 LPD), de renforcer le droit d’accès (art. 8 LPD), de clarifier les droits des personnes concernées (mention expresse du droit à l’effacement des données par exemple) et de faciliter l’accès à la justice de ces dernières en supprimant les frais judiciaires. L’avant-projet encourage par ailleurs le développement de l’autorégulation, par le recours possible à des recommandations de bonnes pratiques. Il prévoit aussi de renforcer les pouvoirs du PFPDT afin que celui-ci puisse, comme ses homologues européens, rendre des décisions contraignantes. Enfin, l’avant-projet renforce le volet pénal de la LPD.

Au niveau formel, la réforme implique de réviser totalement la LPD. Elle demande également une révision partielle des lois sectorielles applicables au domaine de la coopération policière et judiciaire instaurée par Schengen. La révision totale de la LPD entraînera, enfin, celle de certaines lois fédérales.

1. Pour un historique de la révision, voir Camille Dubois, « Révision de la loi fédérale sur la protection des données : mettre l’accent sur la transparence et le contrôle », La Vie économique, 11-2015, pp. 14ss. []
2. Voir Office fédéral de la justice, Esquisse d’acte normatif relative à la révision de la loi sur la protection des données. Rapport du groupe d’accompagnement Révision LPD, 29 octobre 2014. []
3. Convention du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; RS 0.235.1. []
4. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, JO L 119 du 4.5.2016, p. 1. []
5. Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016, p. 89. []
6. Voir l’article suivant de Susanne Hofmann et de Michael Adrian Meyer. []