Introduction

Le 1^er juillet 1993 entrait en vigueur la première Loi fédé­rale du 19 juin 1992 sur la protec­tion des données. Dans son message du 23 mars 1988, le Conseil fédé­ral justi­fiait déjà la néces­sité de légi­fé­rer par « l’avènement de l’informatique et des tech­no­lo­gies des télé­com­mu­ni­ca­tions, la multi­pli­ca­tion des trai­te­ments de données, et la diffu­sion d’informations person­nelles toujours plus nombreuses au sein de la société, de l’économie et de l’État ». Trente ans plus tard, notre vie quoti­dienne se déroule dans une réalité numé­rique que le légis­la­teur de l’époque ne pouvait pas prévoir. Néanmoins, les prin­cipes du trai­te­ment des données person­nelles alors codi­fiés par le légis­la­teur se sont révé­lés stables. La nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (LPD), qui est entrée en vigueur le 1^er septembre 2023, s’aligne sur les mêmes prin­cipes : dans le nouveau droit, la trans­pa­rence, la propor­tion­na­lité et la fina­lité consti­tuent encore les piliers du trai­te­ment des données personnelles.

Notre quoti­dien a bien changé depuis, au rythme d’Internet et des smart­phones. La connexion perma­nente à Internet, qui permet à la société numé­rique d’au­jourd’­hui d’ef­fec­tuer « en ligne » les tâches du quoti­dien – des opéra­tions bancaires aux rencontres – a décu­plé le volume et l’in­ten­sité du trai­te­ment des infor­ma­tions person­nelles. Néanmoins, la mission de l’autorité fédé­rale indé­pen­dante de surveillance en matière de protec­tion des données, qui consiste à placer la protec­tion de la person­na­lité et des droits fonda­men­taux au-dessus de ce qui est tech­no­lo­gi­que­ment possible, est plus que jamais d’actualité.

La loi révi­sée instaure des nouveau­tés non seule­ment pour les personnes trai­tant des données et pour les personnes concer­nées, mais aussi pour le PFPDT, dont elle étend les tâches et les pouvoirs.

Nouveautés insti­tu­tion­nelles

Le chef du PFPDT, donc le Préposé, sera à l’avenir élu par le Parlement. Jusqu’ici, il était nommé par le Conseil fédé­ral et sa nomi­na­tion était soumise à l’approbation de l’Assemblée fédé­rale. Cette nouvelle règle renforce l’indépendance de l’office par rapport à l’exécutif et sa légi­ti­mité démo­cra­tique. Le Préposé enga­gera lui-même son person­nel et dispo­sera de son propre budget, qui sera trans­mis tel quel à l’Assemblée fédérale.

Par ailleurs, ce sera désor­mais au Conseil fédé­ral de déter­mi­ner si la légis­la­tion d’un État tiers garan­tit un niveau de protec­tion adéquat pour permettre le trans­fert de données de Suisse vers l’étranger sans mesures de précau­tion supplé­men­taires. La liste des États concer­nés figure en annexe de la nouvelle Ordonnance du 31 août 2022 sur la protec­tion des données (OPDo).

• Les émolu­ments

 L’art. 59 LPD liste les pres­ta­tions pour lesquelles le PFPDT perce­vra des émolu­ments auprès des personnes privées. Ce sera par exemple le cas des prises de posi­tion concer­nant les codes de conduite ou les analyses d’impact rela­tives à la protec­tion des données, de l’approbation des clauses type de protec­tion des données et de celle des règles d’entreprise contrai­gnantes. Les conseils géné­raux que le PFPDT four­nira à des personnes privées seront eux aussi soumis à des émoluments.

• Les enquêtes

 La LPD prévoit que le PFPDT ouvre une enquête si des indices suffi­sants font penser qu’un trai­te­ment de données pour­rait être contraire à des pres­crip­tions de protec­tion des données (art. 49 al. 1 LPD). L’enquête est une procé­dure admi­nis­tra­tive formelle. Elle sert à la collecte et à l’établissement des faits juri­di­que­ment perti­nents et permet de véri­fier, du point de vue juri­dique, si les faits consta­tés violent des pres­crip­tions de protec­tion des données. Si l’enquête révèle que des pres­crip­tions de protec­tion des données sont violées, le PFPDT peut ordon­ner des mesures admi­nis­tra­tives, aux condi­tions prévues par l’art. 51 LPD.

L’enquête peut être ouverte d’office ou sur dénon­cia­tion. Les premiers indices d’une éven­tuelle viola­tion des pres­crip­tions peuvent avoir été perçus par le PFPDT dans le cadre de ses tâches légales de surveillance ou de conseil ou se fonder, en tout ou partie, sur des faits décrits par les personnes concer­nées ou des tiers (par ex. médias ou orga­ni­sa­tions de consommateurs).

Idéalement, la dénon­cia­tion est adres­sée au PFPDT au moyen du formu­laire en ligne dispo­nible sur son site, mais elle peut en prin­cipe être faite sous n’importe quelle forme. Aucun délai n’est imparti à la dénon­cia­tion. Toutefois, les faits dénon­cés devraient être rela­ti­ve­ment actuels, afin que le PFPDT puisse, dans le cas d’une viola­tion des pres­crip­tions de protec­tion des données, ordon­ner en temps utile les mesures admi­nis­tra­tives appro­priées visées à l’art. 51 LPD.

Le PFPDT a rédigé un docu­ment complet s’agissant des enquêtes du PFPDT sur les viola­tions des règles de protec­tion des données, ainsi qu’un aide-mémoire qui donne un aperçu de l’instrument de l’enquête. Les docu­ments en ques­tion sont acces­sibles à cette adresse.

• Le droit pénal 

 Contrairement aux auto­ri­tés de surveillance de l’UE, le PFPDT restera privé de tout pouvoir de sanc­tion. Les dispo­si­tions de droit pénal acces­soire de la LPD ont par contre été étof­fées dans la LPD (art. 60 ss LPD). Sont désor­mais punis­sables la viola­tion inten­tion­nelle des obli­ga­tions d’informer, de rensei­gner et de colla­bo­rer et la viola­tion inten­tion­nelle des devoirs de dili­gence, notam­ment lors de la commu­ni­ca­tion de données person­nelles à l’étranger, d’une sous-trai­tance et de la four­ni­ture de la sécu­rité des données. Les amendes pénales sont plafon­nées à CHF 250’000 et infli­gées à la personne privée respon­sable du trai­te­ment. L’amende subsi­diaire prévue pour les personnes morales est quant à elle plafon­née à CHF 50’000.

Le PFPDT a rédigé une page complète conte­nant des infor­ma­tions spéci­fiques s’agissant des dispo­si­tions pénales de la LPD. La page est acces­sible à cette adresse.

Responsabiliser plutôt que sanctionner

 La prin­ci­pale valeur ajou­tée de la nouvelle LPD réside dans les instru­ments qui obligent les acteurs trai­tant les données – dans le domaine de l’économie autant qu’au sein de l’administration fédé­rale – à analy­ser et docu­men­ter à temps les effets des systèmes numé­riques sur la sphère privée et sur l’autodétermination des personnes concer­nées. Ces instru­ments mettent l’accent sur l’action préven­tive et sur la respon­sa­bi­li­sa­tion des acteurs trai­tant les données :

• Le devoir d’informer

 Afin d’atteindre l’objectif de trans­pa­rence visé par la révi­sion, l’art. 19 LPD conso­lide le devoir d’informer pour les entre­prises. Pour toute collecte envi­sa­gée de données person­nelles, le respon­sable du trai­te­ment privé devra infor­mer au préa­lable la personne concer­née de manière adéquate, que la collecte de données soit direc­te­ment effec­tuée auprès d’elle ou non. L’ancienne LPD ne prévoyait ce devoir d’informer que pour les données person­nelles sensibles et les profils de la personnalité.

Concrètement, l’identité et les coor­don­nées du respon­sable du trai­te­ment devront être commu­ni­quées, de même que la fina­lité du trai­te­ment et, le cas échéant, les desti­na­taires ou les caté­go­ries de desti­na­taires des données person­nelles. Autrement que dans le RGPD, des infor­ma­tions devront aussi être four­nies sur l’État desti­na­taire et sur les garan­ties éven­tuelles d’un niveau appro­prié de protec­tion des données. Les entre­prises doivent ainsi véri­fier et actua­li­ser leur décla­ra­tion rela­tive à la protec­tion des données.

Si le trai­te­ment entraîne une déci­sion indi­vi­duelle auto­ma­ti­sée, le respon­sable du trai­te­ment, en vertu de l’art. 21, devra infor­mer la personne concer­née et lui accor­der le droit d’être entendu et celui de véri­fier qui lui reviennent.

• Le droit d’accès de la personne concernée

 Le droit d’une personne concer­née de deman­der si des données person­nelles la concer­nant sont trai­tées est conso­lidé dans la nouvelle LPD. L’art. 25 dresse une liste éten­due des infor­ma­tions que le respon­sable du trai­te­ment devra au moins trans­mettre (par ex. la durée de conser­va­tion des données person­nelles trai­tées). Il prévoit égale­ment que la personne concer­née devra rece­voir toutes les infor­ma­tions néces­saires pour qu’elle puisse faire valoir les droits qui lui sont accor­dés selon la nouvelle LPD et pour que la trans­pa­rence du trai­te­ment soit garantie.

Le PFPDT met à dispo­si­tion un formu­laire type pour les demandes de droit d’accès. Le formu­laire est dispo­nible à cette adresse.

• Les conseillers et conseillères à la protec­tion des données

 En vertu de l’art. 10 LPD, une entre­prise privée peut dési­gner un conseiller à la protec­tion des données, lequel peut, mais ne doit pas, être lié à elle par un contrat de travail. Dans les deux cas, l’activité de conseil sera sépa­rée des autres tâches de l’entreprise. Il est aussi recom­mandé de ne pas mélan­ger les dossiers du conseil sur la protec­tion des données avec ceux des autres acti­vi­tés de conseil et de repré­sen­ta­tion juri­dique. Les conseillers doivent par ailleurs pouvoir porter leur point de vue à la connais­sance de la direc­tion de l’entreprise en cas de diver­gence d’opinion. Au contraire du RGPD, la dési­gna­tion d’un conseiller reste facul­ta­tive pour les personnes privées. Seuls les organes fédé­raux en sont léga­le­ment tenus de nommer un conseiller.

Le conseiller est non seule­ment l’interlocuteur à l’interne en matière de protec­tion des données, mais aussi l’intermédiaire avec la protec­tion des données admi­nis­tra­tive et le premier contact du PFPDT. Outre le conseil géné­ral et la forma­tion de l’entreprise en matière de protec­tion des données, il a pour tâche de parti­ci­per à l’élaboration et à l’application de condi­tions d’utilisation et de dispo­si­tions de protec­tion des données. Si le conseiller interne exerce sa fonc­tion de manière indé­pen­dante et sans rece­voir d’instruction et s’il n’exerce pas de tâches incom­pa­tibles avec sa fonc­tion, l’entreprise pourra, après avoir effec­tué une analyse d’impact rela­tive à la protec­tion des données, se fonder unique­ment sur le conseil interne même si un risque élevé persiste, sans avoir à consul­ter le PFPDT.

• L’analyse d’impact rela­tive à la protec­tion des données (AIPD)

 Les analyses d’impact ne sont pas nouvelles dans le droit suisse sur la protec­tion des données, et les organes fédé­raux y sont déjà tenus. Si le trai­te­ment envi­sagé est suscep­tible d’entraîner un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concer­née, la LPD prévoit que le respon­sable du trai­te­ment privé devra désor­mais égale­ment procé­der au préa­lable à une AIPD (art. 22 LPD).

L’existence d’un risque élevé, en parti­cu­lier lors du recours à de nouvelles tech­no­lo­gies, dépend de la nature, de l’étendue, des circons­tances et de la fina­lité du trai­te­ment. Un tel risque existe surtout lorsqu’un profi­lage à risque élevé ou un trai­te­ment à grande échelle de données sensibles est prévu.
Lorsqu’un système, un produit ou un service est certi­fié au sens de la LPD ou lorsqu’un code de conduite repo­sant sur une analyse d’impact est observé, il sera possible de renon­cer à une telle analyse.

S’il ressort d’une AIPD que le trai­te­ment envi­sagé présente encore, malgré les mesures prévues par le respon­sable du trai­te­ment, un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concer­née, le respon­sable du trai­te­ment doit consul­ter le PFPDT préa­la­ble­ment au trai­te­ment. Au cas où le PFPDT aurait des objec­tions concer­nant l’AIPD elle-même, il suggé­rera au respon­sable du trai­te­ment des préci­sions ou des ajouts. Ce devrait surtout être le cas lorsque le texte est si géné­ral qu’il ne décrit qu’insuffisamment les risques prévi­sibles ou les mesures. Si les objec­tions concernent le trai­te­ment envi­sagé en soi, le PFPDT propo­sera des mesures de modi­fi­ca­tion appro­priées au respon­sable du traitement.

Contrairement aux codes de conduite, les prises de posi­tion du PFPDT ne devront pas être publiées. En leur qualité de docu­ments offi­ciels toute­fois, elles seront soumises à LTrans. Le respon­sable du trai­te­ment privé peut renon­cer à consul­ter le PFPDT s’il a consulté à l’interne son conseiller à la protec­tion des données.

Le PFPDT met à dispo­si­tion une page spéci­fique, ainsi qu’un aide-mémoire, s’agis­sant des AIPD. Les docu­ments sont dispo­nibles à cette adresse.

•  Le devoir d’annoncer les viola­tions de la sécu­rité des données

 En vertu de l’art. 24 LPD, le respon­sable du trai­te­ment devra nouvel­le­ment annon­cer au PFPDT les cas de viola­tion de la sécu­rité des données entraî­nant un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concer­née. Cette dispo­si­tion s’applique aussi bien aux respon­sables du trai­te­ment privés qu’aux organes fédé­raux. L’annonce au PFPDT doit être faite dans les meilleurs délais. Le respon­sable du trai­te­ment effec­tuera au préa­lable une prévi­sion des consé­quences possibles de la viola­tion ainsi qu’une première évalua­tion afin de déter­mi­ner s’il pour­rait y avoir péril en la demeure, si la personne concer­née doit être infor­mée de l’événement et de quelle manière.

Trois portails de noti­fi­ca­tion en ligne

En prévi­sion de l’entrée en vigueur de la LPD, le PFPDT a mis en place trois portails de notification :

1. DataReg : Ce portail permet aux organes fédé­raux de décla­rer le registre de leurs acti­vi­tés de trai­te­ment selon l’ 12 LPD. Il remplace l’ancien système de décla­ra­tion des fichiers du secteur privé et des auto­ri­tés WebDataReg qui a été désac­tivé le 1^er septembre 2023. En effet, la LPD dispense désor­mais le secteur privé de décla­rer ses fichiers.
2. Le portail de décla­ra­tion des conseillers à la protec­tion des données : La LPD permet aux entre­prises de prati­quer l’autorégulation. L’entreprise qui nomme un conseiller ou une conseillère à la protec­tion des données et qui commu­nique cette nomi­na­tion au PFPDT béné­fi­cie de faci­li­tés en matière d’AIPD. Le conseiller à la protec­tion des données est chargé de surveiller le respect par l’entreprise des pres­crip­tions en matière de protec­tion des données et de la conseiller dans ce domaine. Ce portail sert à trans­mettre au PFPDT les coor­don­nées des conseillères et des conseillers nommés par les entreprises.
3. DataBreach : Le portail d’annonce des viola­tions de la sécu­rité des données au sens de l’ 24 LPD met à la dispo­si­tion des respon­sables du trai­te­ment un canal numé­rique sûr pour décla­rer les cas de viola­tion entraî­nant un risque élevé pour la personne concer­née. Le formu­laire en ligne aidera le respon­sable du trai­te­ment à effec­tuer la saisie struc­tu­rée et complète des données requises, garan­tira le trai­te­ment effi­cace des décla­ra­tions par le Préposé et simpli­fiera les analyses statistiques.

La loi sur la protec­tion des données ne vise pas à proté­ger les données, mais la person­na­lité humaine. Dans notre monde en pleine muta­tion numé­rique où la traça­bi­lité et la trans­pa­rence du trai­te­ment de données se réduisent comme peau de chagrin, la nouvelle LPD permet de proté­ger le droit à une vie privée et auto­nome de manière effi­cace et conforme à l’État de droit.