{"id":145705,"date":"2015-10-26T07:00:42","date_gmt":"2015-10-26T07:00:42","guid":{"rendered":"https:\/\/dievolkswirtschaft.ch\/2015\/10\/dubois-11-2015-franz\/"},"modified":"2023-08-24T00:27:28","modified_gmt":"2023-08-23T22:27:28","slug":"dubois-11-2015-franz","status":"publish","type":"post","link":"https:\/\/dievolkswirtschaft.ch\/fr\/2015\/10\/dubois-11-2015-franz\/","title":{"rendered":"R\u00e9vision de la loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es : mettre l\u2019accent sur la transparence et le contr\u00f4le"},"content":{"rendered":"

La loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD ; RS 235.1) a \u00e9t\u00e9 adopt\u00e9e par le Parlement le 19 juin 1992. Il s’agissait alors de faire face \u00e0 l’augmentation des risques d’atteinte \u00e0 la personnalit\u00e9 que comportaient l’utilisation des technologies modernes de l\u2019information et de la communication ainsi que l’intensification massive des traitements de donn\u00e9es. Or, \u00e0 l’\u00e9poque, le paysage en mati\u00e8re de protection des donn\u00e9es \u00e9tait tr\u00e8s diff\u00e9rent de celui d\u2019aujourd\u2019hui. On ne parlait pas encore d’Internet pour tous et l’acc\u00e8s \u00e0 l’informatique ne s’\u00e9tait pas encore d\u00e9mocratis\u00e9. Aujourd’hui, tout le monde dispose d’un ordinateur, d’un t\u00e9l\u00e9phone portable ou d’une tablette connect\u00e9s ; il est question d’Internet des objets, de g\u00e9olocalisation, de m\u00e9gadonn\u00e9es (\u00ab big data \u00bb), de r\u00e9seaux sociaux ou encore d’informatique en nuage (\u00ab cloud computing \u00bb). <\/p>\n

Adapter la loi \u00e0 l\u2019\u00e9volution technologique et au droit europ\u00e9en<\/h2>\n


\nCompte tenu de ces d\u00e9veloppements technologiques et du grand nombre de personnes concern\u00e9es par la protection des donn\u00e9es, l’Office f\u00e9d\u00e9ral de la justice (OFJ) a d\u00e9cid\u00e9 en 2008 de faire \u00e9valuer la LPD, conform\u00e9ment \u00e0 l’article 170 de la Constitution f\u00e9d\u00e9rale. Le but \u00e9tait de mesurer l’efficacit\u00e9 de la loi[1]<\/a>. En raison du champ d’application tr\u00e8s vaste de la LPD et des ressources limit\u00e9es, l’\u00e9valuation s’est concentr\u00e9e sur certains des aspects de la loi, \u00e0 savoir sa notori\u00e9t\u00e9 et les m\u00e9canismes de mise en \u0153uvre. Il en r\u00e9sulte que le niveau de protection est bon dans les domaines o\u00f9 les d\u00e9fis \u00e9taient d\u00e9j\u00e0 connus lorsque le texte est entr\u00e9 en vigueur. Les d\u00e9veloppements technologiques et soci\u00e9taux intervenus depuis lors repr\u00e9sentent, toutefois, autant de nouvelles menaces pour la protection des donn\u00e9es que la loi ne peut plus palier dans certains contextes[2]<\/a>.
\nSur la base de ce constat, le Conseil f\u00e9d\u00e9ral a charg\u00e9 le D\u00e9partement f\u00e9d\u00e9ral de justice et police (DFJP), dont d\u00e9pend l’OFJ, d’examiner les mesures l\u00e9gislatives qui permettraient de combler ces lacunes. Le DFJP, dans son examen, devait notamment tenir compte des r\u00e9formes en cours au niveau de l’UE, qui planche sur un projet de r\u00e8glement[3]<\/a> ainsi que de directive[4]<\/a>, et du Conseil de l’Europe qui proc\u00e8de \u00e0 une modernisation de sa Convention STE 108[5]<\/a>. Le contenu de ces textes est important pour la Suisse. Le projet de directive fait en effet partie du d\u00e9veloppement de l’acquis Schengen et devra \u00eatre transpos\u00e9 par la Suisse pour les traitements s\u2019inscrivant dans le cadre de la coop\u00e9ration polici\u00e8re et judiciaire qui d\u00e9coule des accords conclus. Quant au projet de r\u00e8glement, l\u2019UE pourrait le consid\u00e9rer comme faisant partie du d\u00e9veloppement de l’acquis Dublin et donc y lier la Suisse. M\u00eame si l\u2019on fait abstraction de ces consid\u00e9rations, la Suisse aurait tout int\u00e9r\u00eat \u00e0 s’inspirer de la l\u00e9gislation europ\u00e9enne si elle souhaite continuer de b\u00e9n\u00e9ficier d’une d\u00e9cision d’ad\u00e9quation[6]<\/a>. Ces r\u00e9formes devraient aboutir d’ici 2016. <\/p>\n

Le projet est sur les rails<\/h2>\n


\nAu printemps dernier, suite au rapport[7]<\/a> du groupe charg\u00e9 d’accompagner les travaux, le Conseil f\u00e9d\u00e9ral a confi\u00e9 au DJFP le soin d’\u00e9laborer un projet de r\u00e9vision d’ici fin ao\u00fbt 2016. Celui-ci devrait notamment permettre \u00e0 la Suisse de ratifier la nouvelle Convention STE 108 du Conseil de l’Europe, ainsi que de transposer la nouvelle directive et le nouveau r\u00e8glement de l\u2019UE dans la mesure o\u00f9 ils rel\u00e8vent de l’acquis de Schengen\/Dublin. La r\u00e9vision devrait aussi mettre en \u0153uvre la recommandation \u00e9mise par les experts europ\u00e9ens dans le cadre de l\u2019\u00e9valuation Schengen 2014 de doter le Pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es et \u00e0 la transparence (PFPDT). Le projet pourrait contenir des mesures qui tendront \u00e0 :
\n1. Promouvoir les bonnes pratiques et l\u2019autor\u00e9gulation<\/em>. Il s\u2019agirait notamment de confier \u00e0 un organe (par exemple un comit\u00e9 d\u2019experts) le soin d\u2019\u00e9dicter ou d\u2019approuver des r\u00e8gles de bonnes pratiques. Celles-ci pourraient aussi \u00eatre \u00e9labor\u00e9es par la branche. Sans \u00eatre contraignantes, ces r\u00e8gles serviraient de r\u00e9f\u00e9rence pour les responsables du traitement. Elles permettraient, entre autres, de trouver des solutions adapt\u00e9es aux nouveaux d\u00e9veloppements technologiques sans r\u00e9glementer de mani\u00e8re excessive. Les responsables du traitement disposeraient d\u2019une certaine latitude dans le choix des solutions, lesquelles pourraient \u00eatre modul\u00e9es selon les risques, le volume ou le type de donn\u00e9es trait\u00e9es.
\n2. Prendre en compte les exigences de protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut<\/em> (principe de la \u00ab privacy by design \u00bb et de la \u00ab privacy by default \u00bb). Il s’agirait, par exemple, d’introduire une obligation pour le responsable du traitement de proc\u00e9der \u00e0 une analyse d\u2019impact en cas de risque accru pour la personnalit\u00e9. Celui-l\u00e0 devrait mettre en place des mesures appropri\u00e9es notamment en fonction des risques encourus, de l\u2019\u00e9tat de la technique et des co\u00fbts. Par ailleurs, il devrait privil\u00e9gier les r\u00e9glages par d\u00e9faut qui sont les plus favorables \u00e0 la protection des donn\u00e9es. Une autre mesure serait de donner la possibilit\u00e9 au responsable de traitement d\u2019avertir le PFPDT, afin de s\u2019assurer qu\u2019il n\u2019existe pas d\u2019obstacle au traitement envisag\u00e9 et d’\u00e9viter d’\u00e9ventuelles sanctions.
\n3. Renforcer la transparence des traitements<\/em>. Les personnes concern\u00e9es doivent pouvoir utiliser les nouvelles technologies sans renoncer pour autant \u00e0 leur libert\u00e9 de d\u00e9cider quels donn\u00e9es personnelles elles entendent mettre \u00e0 disposition. Pour ce faire, la collecte et le traitement des donn\u00e9es doivent b\u00e9n\u00e9ficier d\u2019une meilleure transparence. Dans la loi actuelle, le devoir d\u2019information dans le secteur priv\u00e9 n\u2019existe que lorsque des donn\u00e9es sensibles sont collect\u00e9es et des profils de la personnalit\u00e9 constitu\u00e9s. Il s\u2019agirait d\u2019\u00e9tendre cette obligation \u00e0 toutes les cat\u00e9gories de donn\u00e9es, comme c’est d\u00e9j\u00e0 le cas dans le secteur public. La personne concern\u00e9e devrait \u00e9galement \u00eatre inform\u00e9e du fait qu\u2019une d\u00e9cision l\u2019affectant a \u00e9t\u00e9 prise de mani\u00e8re purement automatis\u00e9e, \u00e0 savoir sans intervention humaine, et pouvoir donner son point de vue. Le projet de r\u00e9vision devrait \u00e9galement introduire l\u2019obligation de notifier les violations de donn\u00e9es au PFPDT et d\u2019\u00e9tendre les informations \u00e0 fournir lorsque la personne concern\u00e9e exerce son droit d\u2019acc\u00e8s.
\n4. Assurer un meilleur contr\u00f4le et une meilleure ma\u00eetrise sur les donn\u00e9es une fois celles-ci divulgu\u00e9es<\/em>. Le droit \u00e0 l\u2019oubli, qui peut d\u00e9j\u00e0 \u00eatre d\u00e9duit implicitement des art.15 et 25 LPD, serait explicit\u00e9 en mentionnant express\u00e9ment un \u00ab droit \u00e0 l\u2019effacement \u00bb. Il est \u00e9galement envisag\u00e9 d\u2019\u00e9tablir un m\u00e9canisme alternatif de r\u00e8glement des conflits, qui permettrait aux personnes concern\u00e9es de faire valoir leurs droits sans n\u00e9cessairement devoir se lancer dans une proc\u00e9dure risqu\u00e9e et co\u00fbteuse.
\n5. Renforcer les pouvoirs du PFPDT<\/em>. Il est envisag\u00e9 de conf\u00e9rer au pr\u00e9pos\u00e9 le pouvoir de rendre des d\u00e9cisions, comme le pr\u00e9voient les r\u00e9formes au niveau europ\u00e9en et comme la Suisse y a \u00e9t\u00e9 invit\u00e9e dans le cadre de l’\u00e9valuation Schengen de 2014. Actuellement, le PFPDT ne peut \u00e9mettre que des recommandations. Il a ensuite la possibilit\u00e9 de les porter devant les autorit\u00e9s judiciaires si elles ne sont pas suivies. Ce sont l\u00e0 des comp\u00e9tences assez faibles, compar\u00e9es \u00e0 celles dont disposent les autorit\u00e9s de contr\u00f4le des autres pays europ\u00e9ens et les autres organes de surveillance de la Conf\u00e9d\u00e9ration, qui ont le plus souvent un pouvoir d\u00e9cisionnel. Le PFPDT pourrait ainsi rendre une d\u00e9cision interdisant ou suspendant le traitement, ou encore enjoignant \u00e0 son responsable de prendre les mesures qui conviennent. Il serait m\u00eame habilit\u00e9, dans certains cas, \u00e0 prononcer des sanctions. Ses d\u00e9cisions pourraient faire l\u2019objet d\u2019un recours.
\nLes travaux l\u00e9gislatifs sont actuellement en cours. Le catalogue de mesures ci-dessus n\u2019est nullement exhaustif ou d\u00e9finitif. Le DFJP reste notamment libre d’examiner d’autres possibilit\u00e9s ou d’en abandonner certaines, en fonction des r\u00e9formes europ\u00e9ennes. Relevons par ailleurs, au vu du nombre d’interventions parlementaires d\u00e9pos\u00e9es au niveau f\u00e9d\u00e9ral (initiatives parlementaires, motions, postulats), que la probl\u00e9matique de la protection des donn\u00e9es trouve un relais important dans le monde politique depuis quelques ann\u00e9es.<\/p>\n

  1. Certaines dispositions, soit celles introduites au 1er janvier 2008 (RO 2007 4983) et au 1er d\u00e9cembre 2010 (RO 2010 3387), ont express\u00e9ment \u00e9t\u00e9 exclues du champ d\u2019application de l\u2019\u00e9valuation, en raison de l\u2019absence de recul quant \u00e0 leurs effets. [<\/span>]<\/a><\/li>
  2. Evaluation des Bundesgesetzes \u00fcber den Datenschutz \u2013 Schlussbericht<\/i>, 10 mars 2011, pp. 172 et 213s.; disponible en ligne sur le site de l\u2019OFJ (www.ofj.admin.ch)[https:\/\/www.bj.admin.ch\/dam\/data\/bj\/staat\/evaluation\/schlussber-datenschutzeval-d.pdf] ; (Rapport du Conseil f\u00e9d\u00e9ral du 9 d\u00e9cembre 2011 sur l\u2019\u00e9valuation de la loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es<\/i> (FF 2012 255))[https:\/\/www.admin.ch\/opc\/fr\/federal-gazette\/2012\/255.pdf]. [<\/span>]<\/a><\/li>
  3. Projet de r\u00e8glement relatif \u00e0 la protection des donn\u00e9es des personnes physiques \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel. Il est destin\u00e9 \u00e0 remplacer l\u2019actuelle (directive 95\/46\/CE)[http:\/\/eur-lex.europa.eu\/LexUriServ\/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML] du Parlement europ\u00e9en et du Conseil du 24 octobre 1995 relative \u00e0 la protection des personnes physiques \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es (JO L 281. p. 31 \u2013 50). [<\/span>]<\/a><\/li>
  4. Projet de directive relative \u00e0 la protection des personnes physiques \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es \u00e0 des fins de pr\u00e9vention et de d\u00e9tection des infractions p\u00e9nales, d\u2019enqu\u00eates et de poursuite en la mati\u00e8re ou d\u2019ex\u00e9cution de sanctions p\u00e9nales. Cette directive est destin\u00e9e \u00e0 remplacer l\u2019actuelle {d\u00e9cision-cadre 2008\/977\/JAI](http:\/\/eur-lex.europa.eu\/LexUriServ\/LexUriServ.do?uri=OJ:L:2008:350:0060:0071:fr:PDF) du Conseil du 27 novembre 2008 relative \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel trait\u00e9es dans le cadre de la coop\u00e9ration polici\u00e8re et judiciaire en mati\u00e8re p\u00e9nale (JO L 350\/60, p. 60 \u2013 71). [<\/span>]<\/a><\/li>
  5. Convention du 28 janvier 1981 pour la protection des personnes \u00e0 l\u2019\u00e9gard du traitement automatis\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel (RS 0.235.1). [<\/span>]<\/a><\/li>
  6. Dans les domaines qui ne rel\u00e8vent pas des accords de Schengen\/Dublin, la Suisse est consid\u00e9r\u00e9e comme un \u00c9tat tiers. L\u2019\u00e9change de donn\u00e9es avec l\u2019UE est en principe soumis \u00e0 la condition que cette derni\u00e8re reconnaisse \u00e0 la l\u00e9gislation suisse en mati\u00e8re de protection des donn\u00e9es un niveau de protection \u00e9quivalent. [<\/span>]<\/a><\/li>
  7. Esquisse d\u2019acte normatif relative \u00e0 la r\u00e9vision de la loi sur la protection des donn\u00e9es \u2013 Rapport du groupe d\u2019accompagnement R\u00e9vision LPD du 29 octobre 2014<\/i><\/a>. [<\/span>]<\/a><\/li><\/ol>","protected":false},"excerpt":{"rendered":"

    La loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD ; RS 235.1) a \u00e9t\u00e9 adopt\u00e9e par le Parlement le 19 juin 1992. Il s’agissait alors de faire face \u00e0 l’augmentation des risques d’atteinte \u00e0 la personnalit\u00e9 que comportaient l’utilisation des technologies modernes de l\u2019information et de la communication ainsi que l’intensification massive des traitements de donn\u00e9es. […]<\/p>","protected":false},"author":4307,"featured_media":31870,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[81,83],"post_opinion":[],"post_serie":[],"post_content_category":[105],"post_content_subject":[],"acf":{"seco_author":4307,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Fachbereich Rechtsetzungsprojekte und -methodik, Bundesamt f\u00fcr Justiz (BJ), Bern","seco_author_post_occupation_fr":"Unit\u00e9 organisationnelle Projets et m\u00e9thode l\u00e9gislatifs, Office f\u00e9d\u00e9ral de la justice (OFJ), Berne","seco_co_authors_post_ocupation":null,"short_title":"R\u00e9viser la loi sur la protection des donn\u00e9es","post_lead":"La technologie et la r\u00e9glementation au plan europ\u00e9en \u00e9voluent. La l\u00e9gislation suisse doit s\u2019adapter.","post_hero_image_description":"Le mandat de la Conf\u00e9d\u00e9ration en mati\u00e8re de protection des donn\u00e9es devrait aboutir \u00e0 une r\u00e9vision qui \u00e9largirait les comp\u00e9tences de la loi. le pr\u00e9pos\u00e9 Hanspeter Th\u00fcr s'exprime devant des journalistes.","post_hero_image_description_copyright_de":"Keystone","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":145708,"main_focus":[156573,157216],"serie_email":null,"frontpage_slider_bild":145712,"artikel_bild-slider":null,"legacy_id":"37814","post_abstract":"La loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD) date de 1992. La technologie ayant progress\u00e9 rapidement, l\u2019Office f\u00e9d\u00e9ral de la justice (OFJ) a d\u00e9cid\u00e9 en 2008 de faire \u00e9valuer la loi, afin de savoir si elle offrait toujours une protection suffisante. Il ressort de cette \u00e9valuation ainsi que des travaux du D\u00e9partement f\u00e9d\u00e9ral de justice et police (DJFP) qui ont suivi que ce n\u2019est, dans certaines situations, pas le cas. Le Conseil f\u00e9d\u00e9ral a, d\u00e8s lors, charg\u00e9 le DJFP d'\u00e9laborer un projet de r\u00e9vision. Celui-ci devrait notamment permettre \u00e0 la Suisse de ratifier la nouvelle convention STE 108 du Conseil de l'Europe et de transposer les prochaines dispositions de l\u2019UE en la mati\u00e8re, dans la mesure o\u00f9 elles rel\u00e8vent de l'acquis de Schengen\/Dublin. Il est, entre autres, envisag\u00e9 d'am\u00e9liorer la transparence des traitement de donn\u00e9es ainsi que la ma\u00eetrise et le contr\u00f4le de ces derni\u00e8res, de renforcer les pouvoirs du Pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es et \u00e0 la transparence (PFPDT) et de promouvoir les bonnes pratiques et l'autor\u00e9gulation. Le projet destin\u00e9 \u00e0 la consultation externe doit \u00eatre soumis au Conseil f\u00e9d\u00e9ral fin ao\u00fbt 2016 au plus tard.","magazine_issue":"20151101","seco_author_reccomended_post":null,"redaktoren":[4127,0],"korrektor":4139,"planned_publication_date":"20151026","original_files":null,"external_release_for_author":"19700101","external_release_for_author_time":"00:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/55eee8672ace0"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/145705"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/4307"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/comments?post=145705"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/145705\/revisions"}],"predecessor-version":[{"id":188554,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/145705\/revisions\/188554"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/4139"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/0"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/4127"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/4307"}],"acf:post":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/main_focus_post\/157216"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/main_focus_post\/156573"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/media\/31870"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/media?parent=145705"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post__type?post=145705"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_opinion?post=145705"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_serie?post=145705"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_category?post=145705"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_subject?post=145705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}