Guide du CEPD en matière de législation : éléments centraux et pertinence en Suisse

, le 12 juin 2025
Le Contrôleur euro­péen de la protec­tion des données (CEPD) a publié au mois de mai 2025 un guide à desti­na­tion des légis­la­teurs de l’Union euro­péenne (UE) pour leur servir de base dans l’élaboration d’actes légis­la­tifs prévoyant le trai­te­ment de données personnelles.

Lignes direc­trices du CEPD pour les colé­gis­la­teurs sur les éléments clés des propo­si­tions légis­la­tives du 7 mai 2025

Le Contrôleur euro­péen de la protec­tion des données (CEPD) est l’autorité indé­pen­dante char­gée de la protec­tion des données au niveau de l’Union euro­péenne (UE). Parmi ses tâches, il conseille la Commission euro­péenne au sujet des propo­si­tions de légis­la­tion et des autres actes pouvant avoir un impact sur la protec­tion des données. En mai 2025, il publie un guide rassem­blant les prin­ci­paux éléments tirés de ses avis. Ce docu­ment, non contrai­gnant, a pour but de servir de base de travail pour le légis­la­teur afin que le projet d’acte norma­tif garan­tisse un niveau adéquat de protec­tion des données person­nelles. Le CEPD rappelle néan­moins qu’il est toujours néces­saire de faire un examen au cas par cas de la confor­mité au droit supérieur.

I. Évaluation de la gravité de l’atteinte

Le légis­la­teur euro­péen doit commen­cer par exami­ner la gravité de l’atteinte poten­tielle aux droits fonda­men­taux, que sont la protec­tion des données et le respect de la vie privée. Les éléments à prendre en compte dans cette analyse sont notam­ment : la nature des données person­nelles dont il est ques­tion (p. ex. données médi­cales) ; l’accès aux données (p. ex. libre accès) ; la possi­bi­lité de déduire des conclu­sions précises sur la vie privée des personnes concer­nées (p. ex. profi­ling) ; la non-infor­ma­tion de la personne concer­née et l’envergure du trai­te­ment de données (p. ex. quan­tité de données collec­tées) (cf. : Groupe de travail « Article 29 » sur la protec­tion des données, Lignes direc­trices concer­nant l’analyse d’impact rela­tive à la protec­tion des données (AIPD) et la manière de déter­mi­ner si le trai­te­ment est « suscep­tible d’engendrer un risque élevé » aux fins du règle­ment (UE) 2016/​679, p. 10–12). Il en est déduit que plus l’atteinte poten­tielle est grave, plus le projet légis­la­tif doit être détaillé et robuste.

II. Objectif et but

Les données person­nelles sont trai­tées dans un objec­tif et un but précis et, dès lors, ces derniers doivent être expli­ci­te­ment spéci­fiés dans le projet légis­la­tif. D’une part, cela limite le trai­te­ment aux seuls objec­tifs et buts prévus et d’autre part, assure la confor­mité du traitement.

III. Proportionnalité

Conformément aux art. 52(1) de la Charte euro­péenne des droits fonda­men­taux et 8(2) CEDH, une mesure qui restreint la protec­tion des données doit respec­ter le prin­cipe de propor­tion­na­lité. À ce titre, la mesure envi­sa­gée doit, d’une part, être apte à atteindre l’objectif pour­suivi et, d’autre part, être néces­saire (en ce sens que le même objec­tif ne saurait raison­na­ble­ment être atteint par une mesure moins atten­ta­toire à la protec­tion des données). Enfin, il convient d’opérer une mise en balance entre la gravité de l’atteinte portée aux droits en matière de protec­tion des données et les inté­rêts ayant motivé ladite mesure (cf. point I.).

Selon le CEPD, les prin­ci­paux éléments à prendre en compte pour réali­ser l’analyse du respect du prin­cipe de propor­tion­na­lité sont les suivants :

  • Les caté­go­ries de données person­nelles concernées ;
  • Les caté­go­ries et le nombre de personnes concernées ;
  • La durée de stockage ;
  • La commu­ni­ca­tion des données person­nelles à des autres auto­ri­tés ou à des tiers ;
  • Les restric­tions des droits des personnes concernées.

Notons en outre, que la clarté et le carac­tère prévi­sible de la loi peuvent égale­ment être pertinents.

S’agissant du contenu de la loi, les éléments préci­tés doivent y figu­rer de manière claire, exhaus­tive et sans ambi­guïté (p. ex. s’agissant du délai de stockage : « Les données person­nelles sont stockés trois mois/jusqu’à trois mois »).

IV. Rôles et responsabilités

Les enti­tés qui se voient attri­buées un ou plusieurs des rôles du droit de la protec­tion des données, à savoir le respon­sable du trai­te­ment (conjoint ou non) et le sous-trai­tant, doivent être expli­ci­te­ment nommées comme tels dans l’acte légis­la­tif (et non dans les consi­dé­rants de l’acte). En sus, l’acte légis­la­tif doit prévoir de manière précise les droits et obli­ga­tions de chaque entité.

Par ailleurs, l’acte juri­dique obli­geant le sous-trai­tant (p. ex. contrat), doit être inclus dans l’acte légis­la­tif (ou l’acte délé­gué ou d’exécution), par exemple par le biais d’une annexe.

V. Acte légis­la­tif et acte délé­gué ou d’exécution

Le RGPD n’exige pas que la base légale pour trai­ter des données soit un acte adopté par le Parlement (acte légis­la­tif). Toutefois, selon l’art. 290 du Traité sur le fonc­tion­ne­ment de l’Union euro­péenne (TFUE), les éléments essen­tiels d’un domaine sont réser­vés à l’acte légis­la­tif. Partant, le CEPD consi­dère que les dispo­si­tions sur les prin­cipes essen­tiels et les moda­li­tés impac­tant la protec­tion des données devraient être prévues dans un acte légis­la­tif afin d’assurer un contrôle démo­cra­tique complet.

Dans les cas où il n’y a pas d’atteinte grave, il est admis que certaines des moda­li­tés soient prévues dans un acte délé­gué ou d’exécution. Toutefois, il est primor­dial que l’acte légis­la­tif défi­nisse clai­re­ment le mandat de la délé­ga­tion, de manière à éviter que l’acte délé­gué ou d’exécution contienne des dispo­si­tions qui devraient se trou­ver dans un acte législatif.

Finalement, seuls les détails tech­niques devraient être lais­sés aux actes non-juridiques.

VI. Perspective suisse

Du point de vue du droit suisse et confor­mé­ment à l’art. 15(3) de la Convention 108+, le PFPDT a égale­ment pour tâche de se pronon­cer sur les projets d’actes légis­la­tifs fédé­raux impli­quant le trai­te­ment de données (art. 58 al. 1 let. e LPD et art. 38 OPDo). Cette tâche est égale­ment attri­buée aux prépo­sés à la protec­tion des données canto­naux (p. ex. art. 37 al. 1 let. d LPrD [Vaud] ; art. 30 al. 1 let. d DSG [St-Gall] ; art. 50 al. 1 let. c LPrD [Fribourg] ; art. 34 let. f IDG [Zurich]).

Le PFDPT n’a, à ce jour, pas publié de guide équi­valent à celui du CEPD dispo­nible au public. S’agissant des consul­ta­tions du PFPDT, résu­mées dans son Rapport d’activités annuel 2023/​2024 (pour plus d’informations, cf. www​.swiss​pri​vacy​.law/​3​14/), elles mettent en lumière des consi­dé­ra­tions simi­laires au guide (p. ex. intro­duire dans le projet de révi­sion de la Loi sur les épidé­mies, l’usage du numéro AVS dans la procé­dure d’annonce, plutôt que dans une ordonnance.

Il serait utile d’avoir un guide établi par le PFPDT qui puisse servir de base pour le légis­la­teur fédé­ral afin d’assurer l’harmonisation des adop­tions légis­la­tives et d’encourager les services fédé­raux à s’interroger sur les éléments essen­tiels de la protec­tion des données au stade de la concep­tua­li­sa­tion de l’acte législatif.



Proposition de citation : Lucile Pasche, Guide du CEPD en matière de législation : éléments centraux et pertinence en Suisse, 12 juin 2025 in www.swissprivacy.law/359


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law