La Suisse se dote (enfin) d’une nouvelle Loi fédérale sur la protection des données – Chronologie d’une saga juridico-politique haletante
Tant la vie professionnelle que la vie privée s’organisent aujourd’hui autour des outils numériques, porteurs de progrès, mais également de risques pour les libertés et les droits des individus, notamment face à l’appétit croissant pour les données personnelles des individus. Face à ce constat, et vu la rapidité du progrès technologique, l’Office fédéral de la justice (OFJ) s’est lancé entre mai 2010 et février 2011 à l’évaluation de la Loi fédérale du 19 juin 1992 sur la protection des données (LPD). De cette évaluation est ressorti un rapport approuvé par le Conseil fédéral (Rapport du Conseil fédéral sur l’évaluation de la loi fédérale sur la protection des données ; FF 2012 255).
Il est important de souligner que, parallèlement au travail de l’OFJ, le Parlement fédéral n’a pas été en reste. Deux postulats ont été déposés, respectivement par les Conseillers nationaux Antonio Hodgers (postulat 10.3383 « Adapter la loi sur la protection des données aux nouvelles technologies du 8 juin 2019) et Jean-Pierre Graber (postulat 10.3651 « Atteintes à la sphère privée et menaces indirectes sur les libertés individuelles » du 14 septembre 2010).
Faisant suite à l’évaluation, le Conseil fédéral a chargé l’OFJ d’examiner l’opportunité de renforcer la législation en matière de protection des données. L’OFJ a donc instauré un groupe d’accompagnement qui s’est penché, de septembre 2012 à octobre 2014, sur les mesures législatives à prendre et dont les conclusions ont été détaillées au sein d’un rapport publié le 29 octobre 2014.
Pour l’anecdote, une minorité du groupe d’accompagnement proposait, à l’instar de ce qui est prévu dans la législation britannique, l’introduction d’une taxe, dont le montant aurait pu dépendre de la taille de l’entreprise, comme source alternative au budget ordinaire de la Confédération, afin d’assurer une source de financement supplémentaire et renforcer ainsi les moyens financiers à la disposition de l’autorité de contrôle fédéral (p. 46–47 du rapport). Il nous paraît essentiel de souligner cet aspect tant il est récurrent de lire le désarroi des autorités de protection des données face au manque de moyens (Le Préposé à la protection des données appelle à l’aide ; Les préposé(e)s cantonaux à la protection des données réclament plus de moyens).
Faisant suite aux recommandations du groupe d’accompagnement, le Conseil fédéral a, le 1er avril 2015, chargé cette fois-ci le DFJP d’examiner les mesures législatives à prendre pour renforcer la protection des données et de lui transmettre un avant-projet de loi au plus tard à la fin août 2016. Cet avant-projet devait impérativement prendre en compte, d’une part, les réformes qui avaient lieu au sein de l’Union européenne avec le Règlement général sur la protection des données (RGPD) et, d’autre part, les réformes menées par le Conseil de l’Europe pour moderniser la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108).
Le 21 décembre 2016, le Conseil fédéral a envoyé en consultation l’avant-projet de révision totale de la LPD jusqu’au 4 avril 2017, tout en dévoilant le rapport explicatif dressé par l’OFJ. L’avant-projet apportait des précisions bienvenues à des principes déjà bien acquis ainsi que des nouveautés comme le concept de Privacy by design et Privacy by default (art. 18 AP-LPD), l’analyse d’impact relative à la protection des données (art. 16 AP-LPD) voire encore la notification des violations de la protection des données (art. 17 AP-LPD). Nous regrettons toutefois la timidité de l’avant-projet en lien avec l’instauration d’éventuelles mesures administratives pour renforcer les moyens du Préposé fédéral à la protection des données et à la transparence (PFPDT) ou le montant de CHF 500’000 des diverses amendes (art. 50 et 51 AP-LPD).
De nombreux acteurs ont été invités à se prononcer sur l’avant-projet, à l’instar des tribunaux fédéraux, des cantons, des partis politiques, mais également d’une quinzaine d’autres intéressés issus des milieux concernés. Près de cent-soixante autres milieux concernés se sont prononcés spontanément sur l’avant-projet. La synthèse des résultats de la procédure de consultation a été publiée le 10 août 2017 et est librement consultable à cette adresse.
Le 15 septembre 2017, le Conseil fédéral a adopté le Message relatif à la révision totale de la loi fédérale sur la protection des données (FF 2017 6565) ouvrant ainsi la voie aux délibérations parlementaires qui nous ont, pour la plupart d’entre nous, tenus en haleine, tels que des cliffhanger dignes de ceux des fins de saisons de Games of Thrones, jusqu’au 25 septembre 2020.
L’exercice démocratique a été intense. Pour rappel, la Commission des institutions politiques (CIP) du Conseil national a décidé lors de sa séance du 11 janvier 2018 de scinder le projet de révision en deux projets distincts : la transposition de la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le domaine du droit pénal, nécessaire en vertu des accords de Schengen, et, dans un deuxième temps, de procéder à l’examen de la révision totale de la LPD. Le Parlement fédéral a accouché, par vote final du 28 septembre 2018, d’une Loi fédérale sur la protection des données Schengen (LPDS ; RS 235.3).
Ce n’est que le 24 septembre 2019 que le Conseil national s’est saisi du dossier de la révision totale de la LPD, en tant que premier conseil, en étudiant les propositions de sa CIP et en rendant sa première décision le 25 septembre 2019. Nous préparons actuellement un tableau Excel reprenant chaque étape de l’évolution législative. Dans l’intervalle, nous nous contenterons de rappeler que le Conseil des États a rendu sa décision le 18 décembre 2019, ouvrant ainsi la phase des divergences.
Durant cette dernière, plusieurs décisions ont été rendues par les deux Conseils, dont les divergences portaient notamment sur la question du profilage. Le Conseil national s’est prononcé en date du 5 mars 2020 et du 17 septembre 2020 alors que le Conseil des États s’est prononcé en date du 2 juin 2020 et du 23 septembre 2020. Les décisions des Conseils sont regroupées au sein du dépliant NS3‑7 F.
Une Conférence de conciliation a eu lieu entre les deux CIP durant l’après-midi du 23 septembre pour aboutir à une proposition sur cette notion de profilage, dont le contenu rejoint ce que le Conseil des États a défendu bec et ongles jusque-là. Le 24 septembre 2020, les deux Conseils ont accepté les propositions de la Conférence de conciliation. Le 25 septembre 2020, le Conseil des États a accepté à l’unanimité le texte final et, le Conseil national en a fait de même par 141 voix pour, 54 contre et 1 abstention.
Le dénouement de la révision de la LPD aura notamment pour conséquence de permettre la ratification, par la Suisse, de la Convention 108 modernisée (le protocole d’amendement ayant déjà été adopté par le Parlement fédéral en juin 2020 conformément à l’objet 19.068). Dans le même temps, la Commission européenne devra, en vertu de l’art. 97 RGPD, évaluer notre nouvelle législation afin d’accorder ou non à la Suisse une décision d’adéquation facilitant la communication de données personnelles transfrontalières. Finalement, les cantons ne sont pas en reste, puisque ceux-ci devront également adapter leur législation cantonale en matière de protection des données pour se conformer aux acquis Schengen. Il est donc certain que nous continuerons à entendre parler de protection des données pour les années à venir.
Proposition de citation : Livio di Tria, La Suisse se dote (enfin) d’une nouvelle Loi fédérale sur la protection des données – Chronologie d’une saga juridico-politique haletante, 28 septembre 2020 in www.swissprivacy.law/11
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.