Introduction

En matière de protec­tion des données, les légis­la­tions ont dû être adap­tées afin d’encadrer les nouvelles pratiques et défi­nir les garde-fous néces­saires aux trai­te­ments de données person­nelles face aux déve­lop­pe­ment constants des outils numé­riques. Après un travail de plusieurs années, la nouvelle Loi sur la protec­tion des données du canton de Fribourg (nLPrD ; ROF 2023_​087) révi­sée a été accep­tée par le Grand Conseil le 12 octobre 2023, Cette révi­sion s’inspire du droit supé­rieur (loi fédé­rale sur la protec­tion des données, Convention STE 108+, Directive UE 680/​2016). La nLPrD révi­sée entrera en vigueur le 1^er janvier 2024.

Trois groupes de nouveau­tés ressortent de la nLPrD. Premièrement, les droits des personnes concer­nées sont renfor­cés. Deuxièmement, des obli­ga­tions sont intro­duites pour davan­tage de sécu­rité en matière de protec­tion pour les respon­sables de trai­te­ments soumis à la loi. Finalement, les compé­tences de l’autorité de surveillance sont accen­tuées. Ci-après nous expo­sons de manière plus détaillée ces trois axes.

Renforcement des droits des personnes concernées 

La nLPrD intro­duit diffé­rents droits dans le but de renfor­cer la protec­tion des données des particuliers :

• Le droit de blocage, aussi appelé droit d’opposition, est étendu à tous les domaines ( 31 nLPrD) et non plus seule­ment à celui du contrôle des habi­tants (art. 18 de la loi canto­nale du 23 mai 1986 sur le contrôle des habi­tants [LCH ; RSF 114.21.1]). L’objectif de ce droit est d’offrir la possi­bi­lité à toute personne de s’opposer préven­ti­ve­ment à la commu­ni­ca­tion de ses données à des tiers. Ce nouveau droit ne souf­frira d’exception que lorsqu’un inté­rêt public ou privé prépon­dé­rant à la commu­ni­ca­tion des données visées existe ou lorsque la commu­ni­ca­tion des données est expres­sé­ment prévue dans la loi.
• Les personnes béné­fi­cient d’un droit à la limi­ta­tion du trai­te­ment ( 33 al. 2 let. b nLPrD). Il permet à la personne concer­née de geler tempo­rai­re­ment certaines utili­sa­tions de certaines de ses données tout en permet­tant au respon­sable du trai­te­ment de conti­nuer à les conserver.
• Un droit à la porta­bi­lité de ses données est prévu ( 32 nLPrD). Il permet à la personne concer­née de deman­der la remise de ses données dont le trai­te­ment est auto­ma­tisé ou de requé­rir leur trans­fert à un autre respon­sable du trai­te­ment lorsque le respon­sable du trai­te­ment ou une légis­la­tion spéciale le prévoit.
• Le parti­cu­lier a un droit renforcé à être informé, et donc la trans­pa­rence, sera plus forte­ment ancrée ( 12 nLPrD). En prin­cipe, le respon­sable de trai­te­ment doit effec­ti­ve­ment aver­tir la personne concer­née de manière adéquate de la collecte de données personnelles.

Davantage de sécu­rité des données en matière de protection

En raison de l’évolution tech­no­lo­gique, les mesures de sécu­rité sont néces­saires pour assu­rer une protec­tion pleine et entière des données. C’est pour­quoi, dans la nouvelle loi, il est prévu que les respon­sables du trai­te­ment mettent en œuvre de nouvelles mesures durant les diffé­rentes phases de trai­te­ment. Parmi ces mesures, certaines découlent direc­te­ment du RGPD, de la Convention 108+, de la Directive Justice-Police et de la LPD. Cela permet donc au canton de Fribourg de se mettre en confor­mité avec le droit supérieur.

Les notions prin­ci­pales qui ont été reprises sont celles de la protec­tion des données dès la concep­tion, ainsi que la protec­tion des données par défaut. Ces dernières sont incluses dans les dispo­si­tions en matière de sécu­rité aux articles 40 ss ndlr :

• La protec­tion des données dès la concep­tion ( 40 nLPrD), aussi appelé « Privacy by design », implique que, dès la concep­tion d’un nouveau trai­te­ment des données tels que des appli­ca­tions ou des bases de données par exemple, des mesures tech­niques et orga­ni­sa­tion­nelles adap­tées doivent être mises en place de manière à préser­ver le plus tôt possible les droits ainsi que les liber­tés des personnes concernées.
• Concernant la protec­tion des données par défaut ( 40 nLPrD) ou « Privacy by default », elle signi­fie que, par défaut, les données person­nelles doivent être trai­tées avec les moyens et selon les moda­li­tés qui assurent le niveau de protec­tion le plus élevé, à travers des mesures par exemple en lien avec la sécu­rité de l’information.
• Des analyses d’impact rela­tives à la protec­tion des données doivent être effec­tuées avant de débu­ter un nouveau trai­te­ment des données suscep­tible d’engendrer un risque élevé pour les droits et les liber­tés des personnes ( 41 et 42 nLPrD). Elles obligent donc les respon­sables du trai­te­ment à orga­ni­ser des trai­te­ments de données en respec­tant la vie privée au maximum.
• Les respon­sables du trai­te­ment doivent prendre et docu­men­ter les mesures néces­saires pour remé­dier aux cas dans lesquels la sécu­rité des données est violée ( 43 et 44 nLPrD). En fonc­tion de la gravité de la viola­tion, le respon­sable peut être tenu d’informer au sujet des cas de viola­tion de la sécu­rité des données person­nelles au ou à la préposé‑e, ainsi que, dans certains cas, à la ou les personne‑s concernée‑s.
• Par ailleurs, chaque direc­tion de l’administration canto­nale fribour­geoise a doré­na­vant l’obligation de nommer pour elle-même, ainsi que pour ses unités admi­nis­tra­tives, un corres­pon­dant ou une corres­pon­dante à la protec­tion des données ( 45 nLPrD). Le but est de prévoir des compé­tences dans les direc­tions afin de résoudre les prin­ci­pales ques­tions en matière de protec­tion des données au sein de celles-ci.

Compétences de l’autorité de surveillance renforcée

Un renfor­ce­ment du rôle de l’autorité de surveillance permet à cette dernière d’avoir une plus grande marge de manœuvre et de pouvoir œuvrer plus effi­ca­ce­ment dans le sens de la protec­tion des données :

• Le pouvoir de recom­man­da­tion est désor­mais attri­bué au ou à la préposé‑e (art. 57 al. 1 nLPrD) et non plus à la Commission canto­nale de la trans­pa­rence, de la protec­tion des données et de la média­tion (la Commission). En cas de viola­tion ou de risques de viola­tion de pres­crip­tions de la protec­tion des données, le ou la préposé‑e peut adres­ser une recom­man­da­tion au respon­sable de traitement.
• Un pouvoir de déci­sion est conféré à la Commission ( 57 al. 4 et 58 nLPrD) alors que, jusqu’à présent, celle-ci n’avait pas cette compé­tence déci­sion­nelle. Cette déci­sion n’est rendue que lorsque le ou la préposé‑e décide de saisir la Commission en lui trans­met­tant le refus du respon­sable de trai­te­ment de donner suite à sa recom­man­da­tion. La Commission prononce ensuite une déci­sion contrai­gnante et sujette à recours.
• Finalement, une seule et même personne exerce les fonc­tions de préposé‑e à la trans­pa­rence et de préposé‑e à la protec­tion des données ( 51 nLPrD).

Conclusion

Cette nouvelle loi renforce la protec­tion des données et donc la sphère privée des personnes. Elle intro­duit notam­ment les prin­cipes de protec­tion des données dès la concep­tion et de protec­tion des données par défaut. Elle s’inscrit davan­tage dans notre société qui tend vers une utili­sa­tion crois­sante des nouvelles technologies.