David Rosenthal a publié dans la Jusletter du 16 novembre 2020 une première analyse appro­fon­die de la nouvelle loi sur la protec­tion des données (nLPD).

Dans cette contri­bu­tion de 75 pages, l’au­teur examine méti­cu­leu­se­ment les diverses modi­fi­ca­tions appor­tées par la nLPD en les compa­rant avec l’ac­tuelle LPD et avec le RGPD. Notamment grâce à son expé­rience acquise depuis l’en­trée en vigueur du RGPD en mai 2018, David Rosenthal donne des premiers et précieux conseils aux prati­ciens. Votre servi­teur tente ici de souli­gner unique­ment et briè­ve­ment quelques éléments, mais ne saurait évidem­ment vous appor­ter un résumé à la hauteur de la contri­bu­tion originale.

En intro­duc­tion, l’au­teur souligne que la nLPD ne doit pas être consi­dé­rée comme corres­pon­dant au RGPD. Les débats parle­men­taires ont démon­tré que l’in­ten­tion était certes de s’y rappro­cher, mais non de reprendre ce règle­ment euro­péen. Néanmoins, vu l’in­fluence de ce texte (et de ses commen­ta­teurs), il existe un risque que la nLPD soit mise en œuvre comme le RGPD. Cela consti­tue assu­ré­ment un avan­tage pour la pratique, mais ne corres­pond cepen­dant pas à la volonté du législateur.

Concernant les nouvelles notions, la nLPD reprend entiè­re­ment le concept de « respon­sable du trai­te­ment » et de « sous-trai­tant » du RGPD (art. 5 let. j et k nLPD). Ces nouvelles notions ne modi­fient cepen­dant pas les condi­tions de respon­sa­bi­lité civile pour les viola­tions du droit de la protec­tion des données.

La notion de données person­nelles est réduite puis­qu’elle ne comprend plus les personnes morales, mais unique­ment les personnes physiques (art. 5 let. a nLPD). L’auteur souligne néan­moins que la nLPD pour­rait s’ap­pli­quer par analo­gie aux personnes morales en raison de l’art. 28 CC.

La notion de consen­te­ment n’a pas été modi­fiée. Rosenthal note cepen­dant que plus le trai­te­ment entraîne de risques pour les personnes concer­nées, plus les exigences de vali­dité de consen­te­ment sont élevées. Le légis­la­teur n’a par ailleurs pas voulu que certains trai­te­ments néces­sitent toujours le consen­te­ment de la personne concernée.

Les prin­cipes géné­raux de la nLPD, tout comme les motifs justi­fi­ca­tifs, corres­pondent, du moins en grande partie, aux prin­cipes et motifs justi­fi­ca­tifs actuels (art. 6 et 31 nLPD).

Le légis­la­teur a intro­duit les concepts de privacy by design et de privacy by default (art. 7 nLPD). La viola­tion de ces deux prin­cipes n’en­traîne néan­moins pas de sanc­tion directe, si ce n’est que le Préposé pourra ordon­ner au respon­sable du trai­te­ment de mettre en œuvre ces principes.

La notion de « déci­sion indi­vi­duelle auto­ma­ti­sée » est égale­ment nouvelle (art. 21 nLPD), bien qu’elle soit connue depuis long­temps en Europe. Selon Rosenthal, elle ne joue cepen­dant pas un rôle impor­tant en pratique. L’idée sous-jacente est que les machines ne devraient pas déci­der pour les humains, à tout le moins lors­qu’il s’agit de déci­sions impor­tantes. Une « déci­sion indi­vi­duelle auto­ma­ti­sée » reste néan­moins valable, mais le légis­la­teur octroie dans ce cas à la personne concer­née un droit d’être entendu par un être humain.

Concernant le nouveau droit d’ac­cès (art. 25 nLPD), l’au­teur souligne que le Parlement l’a volon­tai­re­ment limité afin qu’il serve unique­ment un but en lien avec la protec­tion des données. Le droit d’ac­cès ne devrait ainsi pas permettre au requé­rant de se procu­rer des moyens de preuve afin d’in­vo­quer des préten­tions à l’en­contre du respon­sable du trai­te­ment (cf. égale­ment la contri­bu­tion du sous­si­gné à ce sujet : L’accès aux données d’une procé­dure au regard de la LPD, Une tenta­tive abusive de Pre-Trial Discovery ?). Le respon­sable pour­rait ainsi s’op­po­ser au droit d’ac­cès lors­qu’il prouve que ce droit est mani­fes­te­ment utilisé dans un autre but que celui de la protec­tion des données.

Le « droit à la remise ou à la trans­mis­sion des données person­nelles » (art. 28 nLPD), aussi appelé droit à la porta­bi­lité des données, ne concerne en réalité non pas la protec­tion des données, mais bel et bien la protec­tion des consom­ma­teurs. Il ne joue cepen­dant en pratique qu’un rôle minime.

Concernant les codes de conduite (art. 10 nLPD), David Rosenthal souligne que le légis­la­teur n’a malheu­reu­se­ment pas prévu d’in­ci­ta­tions suffi­santes pour créer une véri­table auto­ré­gu­la­tion. L’auteur souligne par ailleurs que la certi­fi­ca­tion prévue par l’art. 13 nLPD a pour sa part un rôle impor­tant en matière de sécu­rité des données, p.ex. grâce au stan­dard ISO-27001.

S’agissant des sanc­tions, elles sont de nature pénale et visent les personnes physiques, contrai­re­ment au RGPD qui vise prin­ci­pa­le­ment les entre­prises avec une amende de nature admi­nis­tra­tive. En pratique, Rosenthal prévoit que les procé­dures pénales concer­ne­ront prin­ci­pa­le­ment les viola­tions du droit d’ac­cès, du devoir d’in­for­ma­tion et des trans­ferts de données à l’étranger.

Enfin, Rosenthal examine la « viola­tion du devoir de discré­tion » prévue par l’art. 62 nLPD. Cette norme sanc­tionne d’une amende de 250 000 francs au plus quiconque révèle inten­tion­nel­le­ment des données person­nelles secrètes portées à sa connais­sance dans l’exercice d’une profes­sion qui requiert la connais­sance de telles données. Cette norme est extrê­me­ment large, car elle vise chaque personne qui exerce une profes­sion et toutes les données person­nelles qu’il traite, à condi­tion qu’elles soient secrètes (notion qui corres­pond à celle prévue à l’art. 321 CP).

L’article de David Rosenthal consti­tue ainsi un must read pour toute personne dési­rant se fami­lia­ri­ser avec cette nouvelle loi sur la protec­tion des données.