Que signifie la révision pour les entreprises ?

Le Conseil fédéral a chargé le Département fédéral de justice et police (DFJP) de lui soumettre avant fin août 2016 un avant-projet de révision de la loi fédérale sur la protection des données (LPD). Celui-ci doit tenir compte des réformes décidées en la matière par le Conseil de l’Europe et par l’Union européenne. Pour évaluer les effets de la révision, le DFJP et le Secrétariat d’État à l’économie (Seco) ont chargé la société de conseil PricewaterhouseCoopers de réaliser une analyse approfondie de l’impact de la réglementation (AIR) en collaboration avec B,S,S. Volkswirtschaftliche Beratung. Les deux mandataires ont analysé les publications scientifiques traitant de ce domaine, mené une enquête auprès de diverses entreprises et consulté des experts.

Des coûts dépendant de l’architecture

Pour réaliser l’AIR, la loi en vigueur a été comparée au nouveau régime proposé, en se basant sur le rapport que le groupe d’accompagnement Révision LPD a présenté en octobre 2014 (« Esquisse d’acte normatif »^[1]). S’il présente les principaux objectifs de la révision, ce rapport ne comprend cependant pas les articles de la nouvelle loi tels qu’ils seront formulés dans l’avant-projet du DFJP.

L’étude a ainsi porté sur les devoirs d’information qui incombent aux entreprises traitant des données, envers les personnes concernées. Elle s’est aussi intéressée aux règles relatives à la maîtrise des données, à l’organisation interne des sociétés compétentes et au flux transfrontière d’informations. L’AIR a, enfin, évalué les bonnes pratiques, les différents mécanismes de règlement des litiges, l’autorité de contrôle, les instruments d’exercice collectif des droits et le champ d’application de la LPD.

Quiconque traite des données est soumis à la LPD. De ce fait, la totalité des entreprises actives en Suisse sont concernées et c’est sur celles-ci que l’AIR s’est concentrée. La loi ne les touche, toutefois, pas avec la même intensité. Cela dépend d’abord du type et de la quantité de données récoltées. La façon de les traiter importe aussi. L’AIR a donc classé les entreprises suisses suivant leur degré d’exposition à la loi, puis elle les ventilées par branche et par taille.

Quelque 335 000 sociétés, soit 55,1 % de celles relevant de l’AIR^[2], sont des petites entreprises locales, sans activité à l’étranger, qui ne traitent que les données de leurs clients, de leurs fournisseurs et de leur personnel. Citons en guise d’exemple une boucherie ou une ébénisterie (segment A). Environ 265 000 autres entreprises, soit 43,5 % du total, traitent les données de leurs clients, notamment pour leurs activités de marketing ou d’analyse du marché. Pour ce faire, elles recourent aux technologies du Web ou aux prestations du nuage informatique, en Suisse ou à l’étranger. Cette catégorie comprend, d’une part, les PME qui utilisent essentiellement des canaux numériques pour entrer en contact avec leur clientèle et, d’autre part, les grandes entreprises ainsi que celles traitant un gros volume de données personnelles sensibles. Songeons ici aux maisons de vente par Internet, aux banques, aux cabinets médicaux, aux études d’avocat et à la grande distribution (segment B). Un nombre bien plus réduit d’entreprises ont fait du traitement de données leur cœur de métier et leur principale source de revenus, comme les fournisseurs de services de mégadonnées (« big data »), les prestataires du nuage informatique, les profileurs ou encore les sociétés Web 2.0 (segment C). Elles sont environ 8000 de toutes tailles (1,4 %).

L’impact de la révision dépendra du niveau auquel les entreprises sont parvenues en matière de protection des données. Si elles y attachent déjà l’attention nécessaire et que le niveau atteint est suffisant, elles devraient dépenser relativement peu pour se mettre à niveau. Inversement, comme la révision renforcera la façon dont les données seront protégées, les entreprises qui se sont peu préoccupées de la question pourraient être davantage concernées.

Signalons que les données collectées grâce à l’enquête électronique réalisée auprès des entreprises étaient insuffisantes du point de vue quantitatif et qualitatif. De ce fait, nous n’avons pas pu étendre ses résultats à l’ensemble de l’économie. Les raisons du taux de réponse insuffisant sont à chercher en premier lieu dans la complexité de la loi. En outre, la plupart des entreprises suisses ne semblent guère sensibles à la question. Cela ne concerne pas seulement la révision, mais aussi les dispositions déjà en vigueur.

Coûts entraînés par les devoirs d’information et la maîtrise des données

Les entreprises appartenant au segment A n’ont que peu d’obligations, de sorte que la révision leur imposera des charges assez faibles. Lors des entretiens, quelques experts ont toutefois signalé que les PME, pour un volume de données traitées égal, sont davantage concernées que les grandes entreprises par les obligations découlant du droit de la protection des données. En effet, elles ne disposent souvent pas encore des services de conformité nécessaires, relativement plus chers pour elles que pour les grandes entreprises. Les milieux interrogés s’attendent à ce que les devoirs d’information étendus constituent une lourde charge pour ce segment, car les entreprises devraient prendre l’initiative de signaler aux personnes qu’elles recueillent des données personnelles et leur indiquer dans quel but elles le font. Les modalités de cette communication ne sont pour l’heure pas définies ; une solution globale, prenant la forme d’une déclaration sur le site ou d’une mention dans les conditions générales des entreprises, n’est pas exclue. La majorité des experts consultés jugent que les coûts occasionnés par cette modalité ne sont pas particulièrement élevés, alors qu’ils seraient considérables si chaque personne devait être informée à titre individuel.

Les entreprises devront aussi fournir des informations sur la façon dont les données sont traitées. Ainsi, chaque individu aura désormais le droit de connaître les données et les mécanismes auxquels une banque ou une agence de notation a recours pour lui attribuer un certain degré de solvabilité. Les experts ne sont pas unanimes sur les coûts de cette mesure, car les effets des nouvelles dispositions dépendront, ici aussi, de leurs modalités concrètes. La maîtrise des données – donc leur rectification ou leur effacement – peut aussi se révéler lourde. Ainsi, dans le cas où quelqu’un userait de ce droit, l’entreprise devrait s’assurer que ces données seront rectifiées ou supprimées non seulement dans ses structures, mais aussi dans tous les autres établissements auxquelles elle les a transmises. Cette obligation est susceptible d’occasionner des frais considérables aux entreprises qui transmettent des données à des tiers, quelle que soit la catégorie à laquelle elles appartiennent.

Les sociétés appartenant aux segments B et C sont davantage concernées que celles du segment A. Pourtant, les obligations réelles dépendent, une fois encore, de la façon dont le législateur mettra en œuvre les intentions recueillies dans l’esquisse d’acte normatif sur laquelle s’est fondée cette AIR. Ces firmes seront particulièrement mises à contribution par le principe de maîtrise des données, dont il est question ci-dessus. Si les coûts entraînés par ce devoir au sein de l’entreprise sont comparables à ceux acquittés actuellement, l’obligation de s’assurer que toutes les autres sociétés rectifient ou suppriment les données reçues risque d’occasionner des frais exorbitants.

Plus de droits, moins de prestations gratuites

Comme c’est le cas actuellement, la future loi sur la protection des données, loin d’imposer des obligations aux personnes dont les données sont traitées, renforce leur position. Les experts consultés sont convaincus que les mesures prévues sont appropriées pour aider les personnes concernées, formellement du moins, à mieux exercer leurs droits à l’autodétermination en matière d’information. Les mécanismes utiles à cet égard sont les suivants : droit élargi de demander des renseignements aux entreprises traitant des données, transparence et clarté accrues des méthodes de traitement et d’analyse des données, droit de transférer ses données d’un lieu ou d’un prestataire à l’autre (portabilité, droit nouveau) et meilleures possibilités de faire valoir les prétentions découlant du droit de la protection des données.

Les avantages que les personnes concernées retireront des nouveautés dépendront au premier chef de l’importance qu’elles attachent à la protection de leurs données. À cet égard, le paramétrage « vie privée par défaut » peut être important. Il faut s’attendre, à l’opposé, à ce que les entreprises soient moins en mesure de proposer des prestations gratuites, comme des services de messagerie, puisqu’elles ne pourront plus récolter et traiter autant de données.

Préserver l’accès au marché étranger

Les entretiens que nous avons eus avec les experts concernant les conséquences macroéconomiques de la LPD ont porté essentiellement sur la concurrence. La Suisse risque d’être gravement lésée à double titre. En premier lieu, l’Union européenne pourrait la priver du statut de pays présentant un niveau de protection équivalent. Deuxièmement, les nouvelles dispositions pourraient ne s’appliquer qu’en Suisse ou être plus strictes que celles de l’Union européenne, occasionnant ainsi des coûts supplémentaires aux entreprises.

Les experts estiment pour la plupart que les obligations prévues n’auront aucun effet sur la concurrence intérieure, car toutes les entreprises du même segment y sont soumises dans la même mesure. L’AIR n’a cependant pas permis d’établir à quel point le renforcement de la protection des données pourrait fournir un avantage concurrentiel à une entreprise donnée. Quelques experts supposent aussi que ce renforcement serait à même d’améliorer la confiance des particuliers dans le système et de les rendre plus enclins à communiquer des données.

1. Esquisse d’acte normatif relative à la révision de la loi sur la protection des données, rapport du 29 octobre 2014 du groupe d’accompagnement Révision LPD. Le rapport complet peut être consulté sur le site du DFJP. []
2. Le total de ces catégories n’atteint pas celui de l’ensemble des entreprises en Suisse, car certaines ont été exclues du calcul lors de la segmentation. []