Entrée en vigueur de la nouvelle Loi fédé­rale sur la protec­tion des données (nLPD)

C’est l’achèvement d’un long proces­sus commencé en 2010 (cf. www​.swiss​pri​vacy​.law/11). Le Conseil fédé­ral a décidé lors de sa séance du 31 août 2022 que la nLPD et les dispo­si­tions d’exécution inscrites dans les nouvelles ordon­nances entre­ront en vigueur le 1^er septembre 2023.

Les milieux écono­miques, ainsi que l’administration fédé­rale, disposent désor­mais d’une année afin d’entreprendre les démarches néces­saires à la mise en œuvre du nouveau droit. Peu surpre­nant, ce délai de  vise à répondre aux préoc­cu­pa­tions de ces milieux écono­miques afin de leur lais­ser le temps néces­saire pour procé­der à la mise en œuvre du nouveau droit. La nLPD prévoit en effet de nouvelles obli­ga­tions à charge du respon­sable du traitement.

Ordonnances fédé­rales sur la protec­tion des données (ODPo) et sur les certi­fi­ca­tions en matière de protec­tion des données (OCPD)

À l’occasion de sa séance, le Conseil fédé­ral a révélé le contenu de l’ODPo et de l’OCPD. Le projet qui a abouti à l’ODPo (autre­fois OLPD) a été initia­le­ment soumis à une procé­dure de consul­ta­tion (cf. www​.swss​pri​vacy​.law/81) à laquelle nous avions parti­cipé (cf. www​.swiss​pri​vacy​.law/93).

Il ressort des résul­tats de la procé­dure de consul­ta­tion de l’ODPo que de nombreux parti­ci­pants se sont expri­més de manière très critique à son égard, ce qui est certai­ne­ment l’une des raisons pour laquelle le proces­sus d’adoption de l’ODPo a pris autant de temps. Ces résul­tats sont résu­més par l’Office fédé­ral de la justice dans son rapport sur les résul­tats de la procé­dure de consul­ta­tion. Nous sommes à ce propos heureux de consta­ter que certains points de notre prise de posi­tion ont été pris en compte.

Afin de tenir compte des avis émis lors de la consul­ta­tion, le Conseil fédé­ral a adapté le projet d’OPDo. Ces adap­ta­tions portent sur divers points, dont le chapitre sur la sécu­rité des données qui prévoit désor­mais expres­sé­ment l’approche par le risque et le fait que les mesures tech­niques et orga­ni­sa­tion­nelles doivent être prises avec de proté­ger la confi­den­tia­lité, la dispo­ni­bi­lité, l’intégrité et la traça­bi­lité des données. Les chapitres concer­nant les obli­ga­tions du respon­sable du trai­te­ment et les droits des personnes concer­nées ont égale­ment été rema­niés en profon­deur. À noter que le Conseil fédé­ral a inté­gré une excep­tion au devoir d’informer du respon­sable du trai­te­ment s’agissant des commu­ni­ca­tions de données person­nelles à l’étranger fondées sur des clauses de protec­tion des données d’un contrat (art. 9 al. 3 ODPo).

En ce qui concerne l’OCPD, elle garde la même struc­ture que l’ordon­nance actuelle, c’est-à-dire qu’une première section est consa­crée aux orga­nismes de certi­fi­ca­tion, une deuxième traite des objets et de la procé­dure de certi­fi­ca­tion, une troi­sième prévoit les sanc­tions et une quatrième porte sur les dispo­si­tions finales. Les grandes nouveau­tés appor­tées portent notam­ment sur des simpli­fi­ca­tions et unifi­ca­tions sur un plan termi­no­lo­gique, sur des adap­ta­tions en lien avec la nouvelle termi­no­lo­gie utili­sée par l’art. 13 nLPD. Des exigences supplé­men­taires rela­tives au programme de certi­fi­ca­tion dont doivent dispo­ser les orga­nismes de certi­fi­ca­tion ont égale­ment été intro­duites, de même que les exigences rela­tives à la certi­fi­ca­tion des services et des proces­sus, dont les durées de certification.

Quelle suite désormais ?

La nLPD ne prévoit aucune dispo­si­tion tran­si­toire prévoyant une diffé­rence entre l’entrée en vigueur de la nLPD et sa pleine appli­ca­bi­lité. Cela a pour consé­quence que les respon­sables du trai­te­ment, sous réserve de certaines obli­ga­tions (cf. art. 69 nLPD), doivent se mettre en confor­mité pour le 1^er septembre 2023 déjà.

Du côté du cadre légis­la­tif, nous souli­gnons que les modi­fi­ca­tions appor­tées à la nLPD (FF 2022 1561) peuvent encore faire l’objet d’un réfé­ren­dum facul­ta­tif puisque le délai échoit au 6 octobre 2022 (cf. www​.swiss​pri​vacy​.law/​161). Il faudra encore attendre un bon mois pour mettre un point final à la révi­sion totale de la légis­la­tion fédé­rale en matière de protec­tion des données. Une fois celui-ci mis, nous pour­rons tour­ner notre regard sur l’Union euro­péenne, et pas forcé­ment avec quié­tude. La Commission euro­péenne est actuel­le­ment en train d’analyser la légis­la­tion suisse en matière de protec­tion des données afin de déter­mi­ner si elle renou­velle – ou non – sa déci­sion d’adéquation. Les révi­sions des légis­la­tions canto­nales en matière de protec­tion des données – qui patinent dans certains cantons – peuvent égale­ment jouer un rôle.