Protéger les données et notre accès au grand marché européen

La loi fédérale sur la protection des données (LPD) du 19 juin 1992 est un texte de première génération. Elle a précédé l’arrivée d’Internet ainsi que l’émergence des technologies et des communications. Même si ce texte n’est en aucun cas obsolète, une révision s’impose pour répondre aux nouveaux défis de la société numérique et mieux garantir aux personnes concernées le respect de leurs droits et libertés fondamentales lors du traitement de leurs données personnelles. Elle est également indispensable pour répondre à la réforme du cadre juridique européen et notamment à la modernisation de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). C’est pour toutes ces raisons que le Conseil fédéral s’apprête à mettre en consultation un projet de révision totale de la LPD.

Uniformiser le droit suisse avec la législation européenne

La révision doit renforcer le droit à la protection des données, afin que tout un chacun retrouve une plus grande maîtrise sur les informations qui le concernent. Elle doit permettre aux individus de faire valoir effectivement leurs droits, y compris devant les tribunaux. Elle doit préciser les obligations des responsables de traitement et des sous-traitants. La révision renforcera également les compétences et les pouvoirs du préposé fédéral. Elle lui donnera la possibilité d’accomplir ses tâches et d’exercer ses pouvoirs avec suffisamment de flexibilité. Cela nécessitera des moyens et des ressources suffisantes, afin d’assumer de manière crédible et effective les tâches tant actuelles que futures.

La révision de la LPD doit permettre à la Suisse de ratifier, le moment venu, la Convention 108 révisée du Conseil de l’Europe. Elle jouera un rôle fondamental dans l’appréciation que les instances de l’UE auront du niveau de protection suisse. La révision devrait également permettre de transposer la directive 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation des données.

Cette directive fait partie de l’acquis Schengen, contrairement au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données. Nous estimons, néanmoins, que notre législation devrait se rapprocher étroitement de ce dernier règlement. Elle devrait en particulier reprendre la terminologie de la Convention et du règlement, donc de la directive européenne. Ce rapprochement permettra d’offrir une plus grande sécurité juridique. Cela serait non seulement à l’avantage des personnes concernées, mais aussi des responsables de traitement et de la place économique suisse.

Améliorer la transparence et faciliter la répression

Pour assurer aux individus une meilleure maîtrise des informations qui les concernent dans un environnement de plus en plus numérisé, nous attendons de la révision qu’elle permette une meilleure transparence en matière de traitement des données. Il convient notamment d’étendre l’obligation d’informer les personnes, lors de la collecte de données les concernant, à l’ensemble des données personnelles, qu’elles soient sensibles ou non. Il existe déjà des droits d’accès et de rectification ou d’effacement des données. La loi devrait en introduire d’autres et notamment :

• le droit de s’opposer au traitement ou d’en limiter la portée ;
• celui de ne pas être soumis à une décision automatisée sans pouvoir faire valoir son point de vue ;
• celui de connaître le raisonnement qui sous-tend le traitement de données lorsque les résultats sont appliqués à la personne concernée ;
• le droit à la portabilité et au déréférencement des données.

En cas de non-respect de leurs droits, les personnes concernées hésitent aujourd’hui à saisir les tribunaux en raison notamment de la complexité des procédures et de leurs coûts. La révision devrait apporter certains correctifs. Nous préconisons pour le moins le renversement du fardeau de la preuve en le mettant à la charge de celui qui traite les données et l’introduction d’une responsabilité objective du fait du traitement. S’il n’est pas certain qu’une forme d’action collective trouve sa place dans la loi, l’édifice devrait être complété par un accroissement des compétences et un renforcement des pouvoirs du préposé, notamment en lui attribuant un pouvoir de décision, ainsi que par l’introduction de sanctions dissuasives.

Assurer la conformité

Il s’agira également de compléter et préciser les obligations auxquelles le chef du responsable de traitement ou le sous-traitant devront faire face. Outre la transparence des traitements, la loi devrait prévoir une obligation de conformité aux exigences émises en matière de protection des données. Elle devrait introduire des obligations de notifier les violations de données et de procéder à l’évaluation des risques. La désignation d’un délégué à la protection des données et le recours aux technologies ad hoc (notamment la protection des données dès la conception et par défaut) devraient également faire partie du catalogue. Ces exigences pourront être modulées en fonction des risques et en tenant compte dans une certaine mesure de la taille de l’entreprise concernée. Le traitement de données sensibles, le profilage à partir de l’exploitation des mégadonnées ou les traitements et les applications entraînant la surveillance systématique des personnes devraient être soumis à des conditions renforcées, telles que l’obligation de certification.

Enfin, le développement de codes de bonne conduite serait utile pour préciser les exigences légales de manière sectorielle ou par rapport à certains types de traitement ou de technologie. Concernant le régime des flux transfrontières de données, le principe du niveau adéquat de protection devrait demeurer. En l’absence d’un tel niveau, des garanties spécifiques, comme les clauses contractuelles, permettent d’assurer un niveau approprié. Le recours aux règles d’entreprises contraignantes a fait ses preuves en Europe et devrait trouver sa place dans notre loi. Nous serions également favorables à ce que le Conseil fédéral adopte des décisions d’adéquation.

Une modernisation indispensable

La modernisation de notre législation aura certes un coût. Celui-ci devrait, néanmoins, être supportable. Il se justifie si nous voulons instaurer la confiance dans le numérique et préserver nos droits, nos libertés fondamentales et, au-delà, notre société démocratique. En reprenant largement le cadre européen et en transposant la Convention 108 révisée, la Suisse pourra ainsi se positionner comme un État fort en matière de traitement et de conservation des données. Elle créera les conditions d’une société moderne ouverte aux progrès et aux innovations technologiques, tout en garantissant à tous ses citoyens le respect de leurs droits. Nos entreprises resteront concurrentielles sur le marché européen, en évitant des entraves inutiles aux traitements et aux échanges de données.