Nota bene : La présente contri­bu­tion fait partie d’une série de deux contri­bu­tions consa­crées à la nouvelle Loi gene­voise sur l’information du public, l’accès aux docu­ments et la protec­tion des données person­nelles (nLIPAD) adop­tée par le Grand conseil gene­vois le 3 mai 2024 (cf. www​.swiss​pri​vacy​.law/​327 pour une analyse de sa mise en œuvre). Cette première contri­bu­tion vise à présen­ter les prin­ci­pales nouveau­tés de la nLIPAD.

I. Le nouveau champ d’application de la nLIPAD, ses défi­ni­tions et ses principes

La nLIPAD marque tout d’abord une exten­sion notable de son champ d’application, ainsi qu’une modi­fi­ca­tion des défi­ni­tions et la révi­sion de certains principes.

Au niveau du champ d’application maté­riel, la nLIPAD s’applique toujours aux données person­nelles de personnes physiques et morales (art. 4 let. a nLIPAD), contrai­re­ment à la LPD, qui ne s’applique plus qu’aux données des personnes physiques.

Son champ d’application person­nel est égale­ment élargi, dans la mesure où la nLIPAD est à présent appli­cable à la Cour des comptes (art. 3 al. 1 let. c nLIPAD). Une section spéci­fique a d’ailleurs été ajou­tée pour détailler les obli­ga­tions et les respon­sa­bi­li­tés de la Cour des comptes en matière de protec­tion des données, renfor­çant ainsi la trans­pa­rence et la respon­sa­bi­lité de cette insti­tu­tion (section 4A nLIPAD).

En ce qui concerne les défi­ni­tions de l’art. 4 let. b à h nLIPAD, elles ont été revues. En addi­tion, de nouvelles défi­ni­tions ont fait leur appa­ri­tion à l’art. 4 let. i à m nLIPAD afin d’éliminer les ambi­guï­tés et de faci­li­ter l’application uniforme de la loi.

Enfin, les prin­cipes régis­sant le trai­te­ment des données person­nelles ont égale­ment été clari­fiés et préci­sés, à savoir en particulier :

• L’art. 35 nLIPAD énumère désor­mais de manière détaillée les prin­cipes devant impé­ra­ti­ve­ment être respec­tés dans le cadre de tout trai­te­ment de données person­nelles : (i) celui-ci doit ainsi être licite, (ii) il doit se confor­mer aux exigences de bonne foi et de propor­tion­na­lité, (iii) les données person­nelles ne peuvent être collec­tées que pour une fina­lité déter­mi­née et recon­nais­sable, et ne peuvent être trai­tées ulté­rieu­re­ment que dans le respect des fina­li­tés initiales, (iv) les données doivent être exactes et (v) une fois qu’elles ne sont plus néces­saires à la fina­lité pour­sui­vie, elles doivent être détruites, effa­cées ou anonymisées.
• L’art. 36 nLIPAD main­tient l’exigence d’une base légale pour tout trai­te­ment, et précise les condi­tions appli­cables aux trai­te­ments de données sensibles, aux acti­vi­tés de profi­lage et aux trai­te­ments dont les fina­li­tés ou les moda­li­tés sont suscep­tibles de porter grave­ment atteinte aux droits fonda­men­taux de la personne concernée.
• L’art. 36A nLIPAD intègre formel­le­ment au sein de la loi le consentement.
• L’art. 37 nLIPAD consacre fina­le­ment les obli­ga­tions de protec­tion des données dès la concep­tion et par défaut.

II. Transfert de données person­nelles à l’étranger

La nLIPAD main­tient des dispo­si­tions parti­cu­liè­re­ment strictes en ce qui concerne le trans­fert de données person­nelles à l’étranger. Ainsi, les insti­tu­tions publiques ne sont toujours pas auto­ri­sées à trans­fé­rer des données person­nelles à un sous-trai­tant qui se trou­ve­raient dans un État dont le niveau de protec­tion de données n’est pas jugé comme adéquat du point de vue suisse (art. 36C al. 6 nLIPAD).

Cette restric­tion présente plusieurs incon­vé­nients notables. D’une part, elle crée une dispa­rité légis­la­tive, en ce sens qu’elle main­tient une inco­hé­rence entre la nLIPAD et la LPD, cette dernière permet­tant, sous certaines condi­tions, le trans­fert de données vers un État non adéquat du point de vue suisse, à condi­tion que des garan­ties supplé­men­taires (comme les clauses contrac­tuelles types, ou SCC) soient mises en place, ou si l’une des déro­ga­tions prévues par la loi est applicable.

D’autre part, il convient de noter que l’obligation pour les insti­tu­tions publiques de s’assurer qu’un trans­fert ne se fasse qu’à desti­na­tion d’un État dispo­sant d’un niveau de protec­tion adéquat n’est pas une nouveauté. Déjà inscrite dans la LIPAD actuelle, cette exigence a été renfor­cée par l’adoption à une écra­sante majo­rité, le 18 juin 2023, de l’art. 21A al. 3 Cst./GE par le peuple gene­vois. Cet article prévoit, notam­ment, la néces­sité pour l’État de s’as­su­rer que le trans­fert de données vers l’étran­ger est garanti par un niveau de protec­tion adéquat. Par consé­quent, dans ces circons­tances, les trans­ferts de données vers des sous-trai­tants étran­gers reste­ront complexes et limi­tés, posant des défis crois­sants à l’heure où l’ex­ter­na­li­sa­tion infor­ma­tique et l’uti­li­sa­tion des services inter­na­tio­naux, notam­ment dans le domaine du cloud, se généralisent.

III. Nouvelles dispo­si­tions en matière de sécu­rité des données personnelles

La nLIPAD met en place des mesures renfor­cées pour assu­rer la sécu­rité des données person­nelles trai­tées par les insti­tu­tions publiques, en parti­cu­lier afin d’éviter de poten­tielles viola­tions de la sécu­rité des données. La nLIPAD prévoit ainsi les mesures suivantes :

• Analyse d’impact préa­lable (art. 37B nLIPAD) : Lorsqu’un trai­te­ment de données person­nelles est suscep­tible d’entraîner un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concer­née, le respon­sable du trai­te­ment est tenu de procé­der au préa­lable à une analyse d’impact.
• Violations de la sécu­rité des données (art. 37C nLIPAD) : En cas de viola­tion de la sécu­rité des données person­nelles, les insti­tu­tions publiques doivent prendre sans délai les mesures appro­priées afin de mettre fin à la viola­tion et d’en mini­mi­ser les effets, infor­mer immé­dia­te­ment leur conseiller LIPAD et infor­mer sans délai le Préposé gene­vois à la protec­tion des données ainsi que, si la situa­tion l’exige, les personnes concernées.

Ces mesures de sécu­rité s’inspirent direc­te­ment des dispo­si­tions prévues par la LPD, garan­tis­sant ainsi une approche cohé­rente et renfor­cée de la protec­tion des données personnelles.

IV. La surveillance de l’application de la LIPAD et ses procédures

Le légis­la­teur a revu le système des personnes dési­gnées pour garan­tir la bonne appli­ca­tion de la nLIPAD. À cet égard, les insti­tu­tions publiques sont toujours obli­gées de nommer un conseiller LIPAD (art. 50 nLIPAD), chargé de veiller à la bonne mise en œuvre de la nLIPAD. Plusieurs insti­tu­tions peuvent dési­gner conjoin­te­ment un conseiller, favo­ri­sant ainsi une mutua­li­sa­tion des ressources et des compé­tences. La liste des conseillers LIPAD est publique, assu­rant trans­pa­rence et responsabilité.

En ce qui concerne les tâches et les compé­tences des conseillers LIPAD (art. 51 nLIPAD), ils sont notam­ment char­gés de guider les colla­bo­ra­teurs de l’institution dans le trai­te­ment des données, de contri­buer aux analyses d’impact, de commu­ni­quer les acti­vi­tés de trai­te­ment au Préposé gene­vois à la protec­tion des données et de signa­ler les viola­tions de sécu­rité des données. Ils agissent égale­ment comme point de contact pour les personnes concer­nées souhai­tant exer­cer leurs droits.

De son côté, le Préposé gene­vois à la protec­tion des données voit ses compé­tences consi­dé­ra­ble­ment élar­gies. Il a désor­mais la compé­tence d’effectuer des contrôles auprès des insti­tu­tions publiques afin de véri­fier leur confor­mité avec la nLIPAD (art. 56A al. 1 nLIPAD). En cas de non-confor­mité, il peut émettre des recom­man­da­tions ou ordon­ner des mesures correc­tives afin d’assurer le respect des normes en vigueur.

Enfin, l’art. 56D nLIPAD prévoit que toute procé­dure est régie par la loi gene­voise sur la procé­dure admi­nis­tra­tive (LPA/​GE), garan­tis­sant une cohé­rence juri­dique et une protec­tion des droits des parties concernées.

V. Conclusion

La révi­sion de la LIPAD repré­sente une avan­cée majeure dans la protec­tion des données person­nelles à Genève. En élar­gis­sant son champ d’application, en renfor­çant les mesures de sécu­rité et en clari­fiant les respon­sa­bi­li­tés des acteurs publics, la nLIPAD s’aligne désor­mais sur de nombreux stan­dards inter­na­tio­naux dans l’objectif de rele­ver les défis posés par les évolu­tions technologiques.

Cette réforme, adop­tée avec une large adhé­sion, témoigne de la volonté des auto­ri­tés gene­voises de garan­tir un niveau de protec­tion des données renforcé, tout en assu­rant la trans­pa­rence et la respon­sa­bi­lité des insti­tu­tions publiques.

Cependant, cette révi­sion comporte certaines limi­ta­tions, notam­ment en ce qui concerne les trans­ferts de données à l’étranger. En effet, la nLIPAD ne permet ces trans­ferts que vers des États dispo­sant d’une légis­la­tion assu­rant un niveau de protec­tion adéquat du point de vue suisse. L’absence de méca­nismes permet­tant d’envisager d’autres solu­tions pour les trans­ferts vers des pays non adéquats rend cette révi­sion non seule­ment restric­tive, mais profon­dé­ment contrai­gnante pour les insti­tu­tions publiques soumises à la nLIPAD. Avec l’évolution inexo­rable des tech­no­lo­gies, ces insti­tu­tions publiques risquent de se retrou­ver bloquées dans leur capa­cité à s’adapter et se verront contraintes de faire face à des défis insur­mon­tables, sans pouvoir recou­rir à des sous-trai­tants étrangers.