Recension : La nouvelle loi sur la protection des données par David Rosenthal
Célian Hirsch, le 24 novembre 2020David Rosenthal a publié dans la Jusletter du 16 novembre 2020 une première analyse approfondie de la nouvelle loi sur la protection des données (nLPD).
Dans cette contribution de 75 pages, l’auteur examine méticuleusement les diverses modifications apportées par la nLPD en les comparant avec l’actuelle LPD et avec le RGPD. Notamment grâce à son expérience acquise depuis l’entrée en vigueur du RGPD en mai 2018, David Rosenthal donne des premiers et précieux conseils aux praticiens. Votre serviteur tente ici de souligner uniquement et brièvement quelques éléments, mais ne saurait évidemment vous apporter un résumé à la hauteur de la contribution originale.
En introduction, l’auteur souligne que la nLPD ne doit pas être considérée comme correspondant au RGPD. Les débats parlementaires ont démontré que l’intention était certes de s’y rapprocher, mais non de reprendre ce règlement européen. Néanmoins, vu l’influence de ce texte (et de ses commentateurs), il existe un risque que la nLPD soit mise en œuvre comme le RGPD. Cela constitue assurément un avantage pour la pratique, mais ne correspond cependant pas à la volonté du législateur.
Concernant les nouvelles notions, la nLPD reprend entièrement le concept de « responsable du traitement » et de « sous-traitant » du RGPD (art. 5 let. j et k nLPD). Ces nouvelles notions ne modifient cependant pas les conditions de responsabilité civile pour les violations du droit de la protection des données.
La notion de données personnelles est réduite puisqu’elle ne comprend plus les personnes morales, mais uniquement les personnes physiques (art. 5 let. a nLPD). L’auteur souligne néanmoins que la nLPD pourrait s’appliquer par analogie aux personnes morales en raison de l’art. 28 CC.
La notion de consentement n’a pas été modifiée. Rosenthal note cependant que plus le traitement entraîne de risques pour les personnes concernées, plus les exigences de validité de consentement sont élevées. Le législateur n’a par ailleurs pas voulu que certains traitements nécessitent toujours le consentement de la personne concernée.
Les principes généraux de la nLPD, tout comme les motifs justificatifs, correspondent, du moins en grande partie, aux principes et motifs justificatifs actuels (art. 6 et 31 nLPD).
Le législateur a introduit les concepts de privacy by design et de privacy by default (art. 7 nLPD). La violation de ces deux principes n’entraîne néanmoins pas de sanction directe, si ce n’est que le Préposé pourra ordonner au responsable du traitement de mettre en œuvre ces principes.
La notion de « décision individuelle automatisée » est également nouvelle (art. 21 nLPD), bien qu’elle soit connue depuis longtemps en Europe. Selon Rosenthal, elle ne joue cependant pas un rôle important en pratique. L’idée sous-jacente est que les machines ne devraient pas décider pour les humains, à tout le moins lorsqu’il s’agit de décisions importantes. Une « décision individuelle automatisée » reste néanmoins valable, mais le législateur octroie dans ce cas à la personne concernée un droit d’être entendu par un être humain.
Concernant le nouveau droit d’accès (art. 25 nLPD), l’auteur souligne que le Parlement l’a volontairement limité afin qu’il serve uniquement un but en lien avec la protection des données. Le droit d’accès ne devrait ainsi pas permettre au requérant de se procurer des moyens de preuve afin d’invoquer des prétentions à l’encontre du responsable du traitement (cf. également la contribution du soussigné à ce sujet : L’accès aux données d’une procédure au regard de la LPD, Une tentative abusive de Pre-Trial Discovery ?). Le responsable pourrait ainsi s’opposer au droit d’accès lorsqu’il prouve que ce droit est manifestement utilisé dans un autre but que celui de la protection des données.
Le « droit à la remise ou à la transmission des données personnelles » (art. 28 nLPD), aussi appelé droit à la portabilité des données, ne concerne en réalité non pas la protection des données, mais bel et bien la protection des consommateurs. Il ne joue cependant en pratique qu’un rôle minime.
Concernant les codes de conduite (art. 10 nLPD), David Rosenthal souligne que le législateur n’a malheureusement pas prévu d’incitations suffisantes pour créer une véritable autorégulation. L’auteur souligne par ailleurs que la certification prévue par l’art. 13 nLPD a pour sa part un rôle important en matière de sécurité des données, p.ex. grâce au standard ISO-27001.
S’agissant des sanctions, elles sont de nature pénale et visent les personnes physiques, contrairement au RGPD qui vise principalement les entreprises avec une amende de nature administrative. En pratique, Rosenthal prévoit que les procédures pénales concerneront principalement les violations du droit d’accès, du devoir d’information et des transferts de données à l’étranger.
Enfin, Rosenthal examine la « violation du devoir de discrétion » prévue par l’art. 62 nLPD. Cette norme sanctionne d’une amende de 250 000 francs au plus quiconque révèle intentionnellement des données personnelles secrètes portées à sa connaissance dans l’exercice d’une profession qui requiert la connaissance de telles données. Cette norme est extrêmement large, car elle vise chaque personne qui exerce une profession et toutes les données personnelles qu’il traite, à condition qu’elles soient secrètes (notion qui correspond à celle prévue à l’art. 321 CP).
L’article de David Rosenthal constitue ainsi un must read pour toute personne désirant se familiariser avec cette nouvelle loi sur la protection des données.