Tant la vie profes­sion­nelle que la vie privée s’organisent aujourd’hui autour des outils numé­riques, porteurs de progrès, mais égale­ment de risques pour les liber­tés et les droits des indi­vi­dus, notam­ment face à l’appétit crois­sant pour les données person­nelles des indi­vi­dus. Face à ce constat, et vu la rapi­dité du progrès tech­no­lo­gique, l’Office fédé­ral de la justice (OFJ) s’est lancé entre mai 2010 et février 2011 à l’évaluation de la Loi fédé­rale du 19 juin 1992 sur la protec­tion des données (LPD). De cette évalua­tion est ressorti un rapport approuvé par le Conseil fédé­ral (Rapport du Conseil fédé­ral sur l’évaluation de la loi fédé­rale sur la protec­tion des données ; FF 2012 255).

Il est impor­tant de souli­gner que, paral­lè­le­ment au travail de l’OFJ, le Parlement fédé­ral n’a pas été en reste. Deux postu­lats ont été dépo­sés, respec­ti­ve­ment par les Conseillers natio­naux Antonio Hodgers (postu­lat 10.3383 « Adapter la loi sur la protec­tion des données aux nouvelles tech­no­lo­gies du 8 juin 2019) et Jean-Pierre Graber (postu­lat 10.3651 « Atteintes à la sphère privée et menaces indi­rectes sur les liber­tés indi­vi­duelles » du 14 septembre 2010).

Faisant suite à l’évaluation, le Conseil fédé­ral a chargé l’OFJ d’examiner l’opportunité de renfor­cer la légis­la­tion en matière de protec­tion des données. L’OFJ a donc instauré un groupe d’accompagnement qui s’est penché, de septembre 2012 à octobre 2014, sur les mesures légis­la­tives à prendre et dont les conclu­sions ont été détaillées au sein d’un rapport publié le 29 octobre 2014.

Pour l’anecdote, une mino­rité du groupe d’accompagnement propo­sait, à l’instar de ce qui est prévu dans la légis­la­tion britan­nique, l’introduction d’une taxe, dont le montant aurait pu dépendre de la taille de l’entreprise, comme source alter­na­tive au budget ordi­naire de la Confédération, afin d’assurer une source de finan­ce­ment supplé­men­taire et renfor­cer ainsi les moyens finan­ciers à la dispo­si­tion de l’autorité de contrôle fédé­ral (p. 46–47 du rapport). Il nous paraît essen­tiel de souli­gner cet aspect tant il est récur­rent de lire le désar­roi des auto­ri­tés de protec­tion des données face au manque de moyens (Le Préposé à la protec­tion des données appelle à l’aide ; Les préposé(e)s canto­naux à la protec­tion des données réclament plus de moyens).

Faisant suite aux recom­man­da­tions du groupe d’accompagnement, le Conseil fédé­ral a, le 1^er avril 2015, chargé cette fois-ci le DFJP d’examiner les mesures légis­la­tives à prendre pour renfor­cer la protec­tion des données et de lui trans­mettre un avant-projet de loi au plus tard à la fin août 2016. Cet avant-projet devait impé­ra­ti­ve­ment prendre en compte, d’une part, les réformes qui avaient lieu au sein de l’Union euro­péenne avec le Règlement géné­ral sur la protec­tion des données (RGPD) et, d’autre part, les réformes menées par le Conseil de l’Europe pour moder­ni­ser la Convention pour la protec­tion des personnes à l’égard du trai­te­ment auto­ma­tisé des données à carac­tère person­nel (Convention 108).

Le 21 décembre 2016, le Conseil fédé­ral a envoyé en consul­ta­tion l’avant-projet de révi­sion totale de la LPD jusqu’au 4 avril 2017, tout en dévoi­lant le rapport expli­ca­tif dressé par l’OFJ. L’avant-projet appor­tait des préci­sions bien­ve­nues à des prin­cipes déjà bien acquis ainsi que des nouveau­tés comme le concept de Privacy by design et Privacy by default (art. 18 AP-LPD), l’analyse d’impact rela­tive à la protec­tion des données (art. 16 AP-LPD) voire encore la noti­fi­ca­tion des viola­tions de la protec­tion des données (art. 17 AP-LPD). Nous regret­tons toute­fois la timi­dité de l’avant-projet en lien avec l’instauration d’éventuelles mesures admi­nis­tra­tives pour renfor­cer les moyens du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) ou le montant de CHF 500’000 des diverses amendes (art. 50 et 51 AP-LPD).

De nombreux acteurs ont été invi­tés à se pronon­cer sur l’avant-projet, à l’instar des tribu­naux fédé­raux, des cantons, des partis poli­tiques, mais égale­ment d’une quin­zaine d’autres inté­res­sés issus des milieux concer­nés. Près de cent-soixante autres milieux concer­nés se sont pronon­cés spon­ta­né­ment sur l’avant-projet. La synthèse des résul­tats de la procé­dure de consul­ta­tion a été publiée le 10 août 2017 et est libre­ment consul­table à cette adresse.

Le 15 septembre 2017, le Conseil fédé­ral a adopté le Message rela­tif à la révi­sion totale de la loi fédé­rale sur la protec­tion des données (FF 2017 6565) ouvrant ainsi la voie aux déli­bé­ra­tions parle­men­taires qui nous ont, pour la plupart d’entre nous, tenus en haleine, tels que des cliff­han­ger dignes de ceux des fins de saisons de Games of Thrones, jusqu’au 25 septembre 2020.

L’exercice démo­cra­tique a été intense. Pour rappel, la Commission des insti­tu­tions poli­tiques (CIP) du Conseil natio­nal a décidé lors de sa séance du 11 janvier 2018 de scin­der le projet de révi­sion en deux projets distincts : la trans­po­si­tion de la Directive 2016/​680 rela­tive à la protec­tion des personnes physiques à l’égard du trai­te­ment des données à carac­tère person­nel dans le domaine du droit pénal, néces­saire en vertu des accords de Schengen, et, dans un deuxième temps, de procé­der à l’examen de la révi­sion totale de la LPD. Le Parlement fédé­ral a accou­ché, par vote final du 28 septembre 2018, d’une Loi fédé­rale sur la protec­tion des données Schengen (LPDS ; RS 235.3).

Ce n’est que le 24 septembre 2019 que le Conseil natio­nal s’est saisi du dossier de la révi­sion totale de la LPD, en tant que premier conseil, en étudiant les propo­si­tions de sa CIP et en rendant sa première déci­sion le 25 septembre 2019. Nous prépa­rons actuel­le­ment un tableau Excel repre­nant chaque étape de l’évolution légis­la­tive. Dans l’intervalle, nous nous conten­te­rons de rappe­ler que le Conseil des États a rendu sa déci­sion le 18 décembre 2019, ouvrant ainsi la phase des divergences.

Durant cette dernière, plusieurs déci­sions ont été rendues par les deux Conseils, dont les diver­gences portaient notam­ment sur la ques­tion du profi­lage. Le Conseil natio­nal s’est prononcé en date du 5 mars 2020 et du 17 septembre 2020 alors que le Conseil des États s’est prononcé en date du 2 juin 2020 et du 23 septembre 2020. Les déci­sions des Conseils sont regrou­pées au sein du dépliant NS3‑7 F.

Une Conférence de conci­lia­tion a eu lieu entre les deux CIP durant l’après-midi du 23 septembre pour abou­tir à une propo­si­tion sur cette notion de profi­lage, dont le contenu rejoint ce que le Conseil des États a défendu bec et ongles jusque-là. Le 24 septembre 2020, les deux Conseils ont accepté les propo­si­tions de la Conférence de conci­lia­tion. Le 25 septembre 2020, le Conseil des États a accepté à l’unanimité le texte final et, le Conseil natio­nal en a fait de même par 141 voix pour, 54 contre et 1 absten­tion.

Le dénoue­ment de la révi­sion de la LPD aura notam­ment pour consé­quence de permettre la rati­fi­ca­tion, par la Suisse, de la Convention 108 moder­ni­sée (le proto­cole d’amendement ayant déjà été adopté par le Parlement fédé­ral en juin 2020 confor­mé­ment à l’objet 19.068). Dans le même temps, la Commission euro­péenne devra, en vertu de l’art. 97 RGPD, évaluer notre nouvelle légis­la­tion afin d’accorder ou non à la Suisse une déci­sion d’adéquation faci­li­tant la commu­ni­ca­tion de données person­nelles trans­fron­ta­lières. Finalement, les cantons ne sont pas en reste, puisque ceux-ci devront égale­ment adap­ter leur légis­la­tion canto­nale en matière de protec­tion des données pour se confor­mer aux acquis Schengen. Il est donc certain que nous conti­nue­rons à entendre parler de protec­tion des données pour les années à venir.