swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La Suisse se dote (enfin) d’une nouvelle Loi fédérale sur la protection des données – Tour d’horizon sur ce qu’elle réserve

Livio di Tria, le 30 septembre 2020
Après la réso­lu­tion des dernières diver­gences sur le « profi­lage », le Parlement fédé­ral a adopté le 25 septembre 2020 la nouvelle Loi fédé­rale sur la protec­tion des données. Petit tour d’horizon sur ce que réserve cette nouvelle loi. 

La saga juri­dico-poli­tique a pris fin le 25 septembre 2020, date à laquelle la nouvelle Loi fédé­rale sur la protec­tion des données (LPD) a été adop­tée lors du vote final par le Conseil des États (à l’unanimité par 44 voix) et par le Conseil natio­nal (141 voix pour, 54 voix contre et 1 absten­tion). Seul le bloc de l’UDC du Conseil natio­nal rejette, avec notam­ment une voix dissi­dente de leur parle­men­taire Franz Grüter (Lucerne), le texte soumis pour le vote final. Au sein de la pratique, la nouvelle LPD est déjà soumise à quelques critiques, diverses personnes esti­mant que le compro­mis poli­tique n’assure pas la sécu­rité juri­dique et n’amène pas assez de clarté, notam­ment au vu des notions juri­diques indé­ter­mi­nées inté­grées à la nouvelle LPD à l’instar du profi­lage « à risque élevé ». Peut-être aussi que nous en atten­dions plus, notam­ment en ce qui concerne les pouvoirs du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT).

Dans tous les cas, la nouvelle LPD ayant été adop­tée, celle-ci devrait vrai­sem­bla­ble­ment entrer en vigueur au début de l’année 2022, voire au milieu de cette année-là, sous réserve bien entendu d’un réfé­ren­dum. La prochaine étape consis­tera, pour le Conseil fédé­ral, par le biais de l’Office fédé­ral de la justice, à élabo­rer l’ordonnance fédé­rale accom­pa­gnant la nouvelle LPD. Au vu de sa grande portée, cette ordon­nance devra être soumise à une procé­dure de consul­ta­tion (art. 3 al. 1 let. d de la Loi fédé­rale du 18 mars 2005 sur la procé­dure de consul­ta­tion ; RS 172.061). L’ordonnance fédé­rale est, pour sa part, atten­due pour le premier trimestre 2021.

S’agissant des trai­te­ments effec­tués par des personnes privées, l’ordonnance appor­tera des préci­sions bien­ve­nues notam­ment quant aux exigences mini­males en matière de sécu­rité des données (art. 8 al. 3 nLPD), aux excep­tions rela­tives à la tenue d’un registre des acti­vi­tés de trai­te­ment (art. 12 al. 5 nLPD), aux procé­dures auxquelles seront soumises les respon­sables du trai­te­ment pour la certi­fi­ca­tion et l’introduction d’un label de qualité (art. 13 al. 2 nLPD), aux excep­tions rela­tives à la gratuité du droit d’accès (art. 25 al. 6 nLPD). En outre, le PFPDT ne sera plus compé­tent pour consta­ter si un État dispose d’une légis­la­tion assu­rant un niveau de protec­tion adéquat dans le cadre de la commu­ni­ca­tion trans­fron­tière de données person­nelles, la compé­tence ayant été délé­guée au Conseil fédé­ral (art. 16 al. 1 nLPD).

Si la nouvelle LPD n’entre en vigueur que courant 2022, alors pour­quoi rédi­ger un article sur ses possibles impli­ca­tions ? Tout simple­ment car lors des débats légis­la­tifs, nos parle­men­taires ont supprimé les dispo­si­tions tran­si­toires qui prévoyaient un délai de deux ans pour se mettre en confor­mité avec la nouvelle LPD, et ce, dès son entrée en vigueur. Le légis­la­teur a tout de même prévu un compro­mis en prévoyant un délai de deux ans à comp­ter de l’entrée en vigueur de la nouvelle LPD (art. 59 nLPD) en ce qui concerne l’obligation d’effectuer une étude d’impact rela­tive à la protec­tion des données (art. 16 nLPD) et des mesures à prendre pour assu­rer la protec­tion des données dès la concep­tion et par défaut, ainsi que pour l’obligation de docu­men­ter leurs trai­te­ments de données person­nelles (art. 19 let. a nLPD).

Mais alors, concrè­te­ment, à quoi les respon­sables du trai­te­ment doivent-ils veiller ? Afin d’aider chacun, nous avons préparé un tableau compa­ra­tif entre la nouvelle LPD, le projet du Conseil fédé­ral et l’actuelle LPD en vigueur. Nous nous borne­rons à passer en revue les modi­fi­ca­tions les plus impor­tantes. Nous pouvons déjà affir­mer que les prin­cipes de base restent inchan­gés, le secteur privé ne devant pas modi­fier la manière dont il traite les données person­nelles. En outre le concept suisse selon lequel un trai­te­ment de données person­nelles est en prin­cipe auto­risé et qu’un motif justi­fi­ca­tif n’est néces­saire que dans certaines situa­tions reste inchangé (art. 30 et 31 nLPD). À titre de compa­rai­son, le système euro­péen prévoit que le trai­te­ment de données person­nelles est illi­cite per se sauf si l’une des condi­tions de l’art. 6 du Règlement géné­ral euro­péen sur la protec­tion des données (RGPD) est respec­tée. Il reste à souli­gner que les données des personnes morales ne seront plus proté­gées par la LPD, celles-ci n’étant plus consi­dé­rées comme étant des données person­nelles. Elles demeurent toute­fois proté­gées par les dispo­si­tions géné­rales des articles 28 ss du Code civil.

Rien ne change non plus s’agissant du consen­te­ment, sous réserve qu’il doit être exprès lors d’un trai­te­ment de données sensibles, d’un profi­lage à risque élevé effec­tué par une personne privée ou d’un profi­lage effec­tué par un organe fédé­ral (art. 6 al. 7 nLPD). Les moda­li­tés du recueil du consen­te­ment diffèrent sensi­ble­ment du droit euro­péen (consi­dé­rant 33 et art. 7 RGPD). Par exemple, il n’est pas néces­saire pour le respon­sable du trai­te­ment d’informer sur la possi­bi­lité de retrait et le consen­te­ment peut porter sur l’ensemble des fina­li­tés envi­sa­gées (art. 6 al. 6 nLPD a fortiori).

La nouvelle LPD prévoit cepen­dant de nouvelles obli­ga­tions à l’égard des respon­sables du trai­te­ment telles que la tenue d’un registre des acti­vi­tés de trai­te­ment (art. 12 nLPD), sous réserve des excep­tions qui devront être préci­sées par le Conseil fédé­ral. Les respon­sables du trai­te­ment seront égale­ment tenus d’informer de manière adéquate de la collecte des données person­nelles, en leur four­nis­sant certaines infor­ma­tions pour qu’elles puissent faire valoir leurs droits (art. 19 nLPD). Le système de recon­nais­sa­bi­lité actuel­le­ment prévu au sein de la LPD en vigueur est donc à cet égard modi­fié. Les respon­sables du trai­te­ment devront donc se munir d’une poli­tique de protec­tion de la vie privée.

Les respon­sables du trai­te­ment devront égale­ment, lorsque le trai­te­ment envi­sagé peut présen­ter un risque élevé, réali­ser une analyse d’impact rela­tive à la protec­tion des données (art. 22 nLPD, voir égale­ment sur ce sujet Livio di Tria, L’analyse d’impact rela­tive à la protec­tion des données (AIPD) en droit euro­péen et suisse, in : sic ! 03/​2020). En outre, les respon­sables du trai­te­ment devront égale­ment annon­cer les viola­tions de la sécu­rité des données (art. 24 nLPD).

Le droit d’accès (art. 25 ss nLPD) reste quant à lui sensi­ble­ment le même, sous réserve de quelques modi­fi­ca­tions d’ordre rédac­tion­nel, avec la notion de « données person­nelles en tant que telles » qui reste à déter­mi­ner, mais dont les débats parle­men­taires montrent qu’il s’agit d’une restric­tion pour exclure que soit trans­mise toute la docu­men­ta­tion (BO 2020 N 150) qui peut conte­nir les données person­nelles, ce que le légis­la­teur juge dispro­por­tionné (sur ce sujet, voir prochai­ne­ment la paru­tion de Livio di Tria/​Kastriot Lubishtani, Étude empi­rique du droit d’accès à ses données person­nelles, in : Sylvain Métille, Le droit d’accès à ses données person­nelles et aux docu­ments officiels).

Les respon­sables du trai­te­ment pour­ront égale­ment nommer un conseiller à la protec­tion des données, interne ou externe (art. 10 nLPD). Il ne s’agit cepen­dant pas d’une obli­ga­tion. Nous pouvons égale­ment souli­gner que le PFPDT voit son pouvoir renforcé, en ce sens qu’il pourra, plutôt que d’émettre de simples recom­man­da­tions, émettre de réelles injonc­tions à l’encontre des respon­sables du trai­te­ment (art. 51 nLPD). En outre, les sanc­tions pénales ont été revues à la hausse, même si elles reste­ront proba­ble­ment rares en pratique (art. 60 ss nLPD).

Voici ce que nous pouvons déjà dire, de manière conden­sée, sur cette nouvelle LPD. En conclu­sion, nous ne pouvons qu’enjoindre les respon­sables du trai­te­ment d’examiner la manière dont ils déploient leur trai­te­ment de données person­nelles et, de se mettre en confor­mité d’ici l’entrée en vigueur de la loi. À cet égard, notre tableau compa­ra­tif pour­rait se révé­ler être un outil utile à l’égard du prati­cien pour une meilleure vue d’ensemble.



Proposition de citation : Livio di Tria, La Suisse se dote (enfin) d’une nouvelle Loi fédérale sur la protection des données – Tour d’horizon sur ce qu’elle réserve, 30 septembre 2020 in www.swissprivacy.law/12


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law