La nouvelle LIPAD – Tour d’horizon des nouveautés
Nota bene : La présente contribution fait partie d’une série de deux contributions consacrées à la nouvelle Loi genevoise sur l’information du public, l’accès aux documents et la protection des données personnelles (nLIPAD) adoptée par le Grand conseil genevois le 3 mai 2024 (cf. www.swissprivacy.law/327 pour une analyse de sa mise en œuvre). Cette première contribution vise à présenter les principales nouveautés de la nLIPAD.
I. Le nouveau champ d’application de la nLIPAD, ses définitions et ses principes
La nLIPAD marque tout d’abord une extension notable de son champ d’application, ainsi qu’une modification des définitions et la révision de certains principes.
Au niveau du champ d’application matériel, la nLIPAD s’applique toujours aux données personnelles de personnes physiques et morales (art. 4 let. a nLIPAD), contrairement à la LPD, qui ne s’applique plus qu’aux données des personnes physiques.
Son champ d’application personnel est également élargi, dans la mesure où la nLIPAD est à présent applicable à la Cour des comptes (art. 3 al. 1 let. c nLIPAD). Une section spécifique a d’ailleurs été ajoutée pour détailler les obligations et les responsabilités de la Cour des comptes en matière de protection des données, renforçant ainsi la transparence et la responsabilité de cette institution (section 4A nLIPAD).
En ce qui concerne les définitions de l’art. 4 let. b à h nLIPAD, elles ont été revues. En addition, de nouvelles définitions ont fait leur apparition à l’art. 4 let. i à m nLIPAD afin d’éliminer les ambiguïtés et de faciliter l’application uniforme de la loi.
Enfin, les principes régissant le traitement des données personnelles ont également été clarifiés et précisés, à savoir en particulier :
- L’art. 35 nLIPAD énumère désormais de manière détaillée les principes devant impérativement être respectés dans le cadre de tout traitement de données personnelles : (i) celui-ci doit ainsi être licite, (ii) il doit se conformer aux exigences de bonne foi et de proportionnalité, (iii) les données personnelles ne peuvent être collectées que pour une finalité déterminée et reconnaissable, et ne peuvent être traitées ultérieurement que dans le respect des finalités initiales, (iv) les données doivent être exactes et (v) une fois qu’elles ne sont plus nécessaires à la finalité poursuivie, elles doivent être détruites, effacées ou anonymisées.
- L’art. 36 nLIPAD maintient l’exigence d’une base légale pour tout traitement, et précise les conditions applicables aux traitements de données sensibles, aux activités de profilage et aux traitements dont les finalités ou les modalités sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée.
- L’art. 36A nLIPAD intègre formellement au sein de la loi le consentement.
- L’art. 37 nLIPAD consacre finalement les obligations de protection des données dès la conception et par défaut.
II. Transfert de données personnelles à l’étranger
La nLIPAD maintient des dispositions particulièrement strictes en ce qui concerne le transfert de données personnelles à l’étranger. Ainsi, les institutions publiques ne sont toujours pas autorisées à transférer des données personnelles à un sous-traitant qui se trouveraient dans un État dont le niveau de protection de données n’est pas jugé comme adéquat du point de vue suisse (art. 36C al. 6 nLIPAD).
Cette restriction présente plusieurs inconvénients notables. D’une part, elle crée une disparité législative, en ce sens qu’elle maintient une incohérence entre la nLIPAD et la LPD, cette dernière permettant, sous certaines conditions, le transfert de données vers un État non adéquat du point de vue suisse, à condition que des garanties supplémentaires (comme les clauses contractuelles types, ou SCC) soient mises en place, ou si l’une des dérogations prévues par la loi est applicable.
D’autre part, il convient de noter que l’obligation pour les institutions publiques de s’assurer qu’un transfert ne se fasse qu’à destination d’un État disposant d’un niveau de protection adéquat n’est pas une nouveauté. Déjà inscrite dans la LIPAD actuelle, cette exigence a été renforcée par l’adoption à une écrasante majorité, le 18 juin 2023, de l’art. 21A al. 3 Cst./GE par le peuple genevois. Cet article prévoit, notamment, la nécessité pour l’État de s’assurer que le transfert de données vers l’étranger est garanti par un niveau de protection adéquat. Par conséquent, dans ces circonstances, les transferts de données vers des sous-traitants étrangers resteront complexes et limités, posant des défis croissants à l’heure où l’externalisation informatique et l’utilisation des services internationaux, notamment dans le domaine du cloud, se généralisent.
III. Nouvelles dispositions en matière de sécurité des données personnelles
La nLIPAD met en place des mesures renforcées pour assurer la sécurité des données personnelles traitées par les institutions publiques, en particulier afin d’éviter de potentielles violations de la sécurité des données. La nLIPAD prévoit ainsi les mesures suivantes :
- Analyse d’impact préalable (art. 37B nLIPAD) : Lorsqu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement est tenu de procéder au préalable à une analyse d’impact.
- Violations de la sécurité des données (art. 37C nLIPAD) : En cas de violation de la sécurité des données personnelles, les institutions publiques doivent prendre sans délai les mesures appropriées afin de mettre fin à la violation et d’en minimiser les effets, informer immédiatement leur conseiller LIPAD et informer sans délai le Préposé genevois à la protection des données ainsi que, si la situation l’exige, les personnes concernées.
Ces mesures de sécurité s’inspirent directement des dispositions prévues par la LPD, garantissant ainsi une approche cohérente et renforcée de la protection des données personnelles.
IV. La surveillance de l’application de la LIPAD et ses procédures
Le législateur a revu le système des personnes désignées pour garantir la bonne application de la nLIPAD. À cet égard, les institutions publiques sont toujours obligées de nommer un conseiller LIPAD (art. 50 nLIPAD), chargé de veiller à la bonne mise en œuvre de la nLIPAD. Plusieurs institutions peuvent désigner conjointement un conseiller, favorisant ainsi une mutualisation des ressources et des compétences. La liste des conseillers LIPAD est publique, assurant transparence et responsabilité.
En ce qui concerne les tâches et les compétences des conseillers LIPAD (art. 51 nLIPAD), ils sont notamment chargés de guider les collaborateurs de l’institution dans le traitement des données, de contribuer aux analyses d’impact, de communiquer les activités de traitement au Préposé genevois à la protection des données et de signaler les violations de sécurité des données. Ils agissent également comme point de contact pour les personnes concernées souhaitant exercer leurs droits.
De son côté, le Préposé genevois à la protection des données voit ses compétences considérablement élargies. Il a désormais la compétence d’effectuer des contrôles auprès des institutions publiques afin de vérifier leur conformité avec la nLIPAD (art. 56A al. 1 nLIPAD). En cas de non-conformité, il peut émettre des recommandations ou ordonner des mesures correctives afin d’assurer le respect des normes en vigueur.
Enfin, l’art. 56D nLIPAD prévoit que toute procédure est régie par la loi genevoise sur la procédure administrative (LPA/GE), garantissant une cohérence juridique et une protection des droits des parties concernées.
V. Conclusion
La révision de la LIPAD représente une avancée majeure dans la protection des données personnelles à Genève. En élargissant son champ d’application, en renforçant les mesures de sécurité et en clarifiant les responsabilités des acteurs publics, la nLIPAD s’aligne désormais sur de nombreux standards internationaux dans l’objectif de relever les défis posés par les évolutions technologiques.
Cette réforme, adoptée avec une large adhésion, témoigne de la volonté des autorités genevoises de garantir un niveau de protection des données renforcé, tout en assurant la transparence et la responsabilité des institutions publiques.
Cependant, cette révision comporte certaines limitations, notamment en ce qui concerne les transferts de données à l’étranger. En effet, la nLIPAD ne permet ces transferts que vers des États disposant d’une législation assurant un niveau de protection adéquat du point de vue suisse. L’absence de mécanismes permettant d’envisager d’autres solutions pour les transferts vers des pays non adéquats rend cette révision non seulement restrictive, mais profondément contraignante pour les institutions publiques soumises à la nLIPAD. Avec l’évolution inexorable des technologies, ces institutions publiques risquent de se retrouver bloquées dans leur capacité à s’adapter et se verront contraintes de faire face à des défis insurmontables, sans pouvoir recourir à des sous-traitants étrangers.
Proposition de citation : Claire Tistounet / Livio di Tria, La nouvelle LIPAD – Tour d’horizon des nouveautés, 10 décembre 2024 in www.swissprivacy.law/326
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.