Recension : Les dispositions pénales de la nLPD, par David Rosenthal et Seraina Gubler
Le premier numéro 2021 de la Revue suisse de droit des affaires et du marché financier est consacré principalement à la nLPD. Parmi les diverses contributions, nous exposons ci-dessous quelques éléments qui ressortent de l’article rédigé par David Rosenthal et Seraina Gubler. Ces auteurs se sont penchés sur les dispositions pénales de la nLPD.
Un premier élément intéressant nous semble le suivant : contrairement aux amendes prévues par le RGPD, les amendes prévues aux art. 60 ss nLPD ne peuvent ni être assurées ni prises en charge par l’entreprise. Partant, et contrairement à l’opinion répandue, elles peuvent être plus sévères que les amendes du RGPD.
Les auteurs soulignent que la violation des nouvelles obligations de gouvernance (information lors d’une violation de la sécurité des données, tenue d’un registre des activités de traitement, mise en place d’une analyse d’impact) n’est pas sanctionnée pénalement. Au contraire, le RGPD sanctionne de l’amende toute violation au RGPD.
En pratique, la violation du devoir d’informer (art. 60 al. 1 cum art. 19 nLPD) risque d’être la violation la plus sanctionnée par une poursuite pénale. En effet, ce devoir d’informer, bien que déjà prévu par l’actuelle LPD, est élargi pour toutes les données personnelles, alors qu’il ne vise actuellement que les données sensibles et les profils de la personnalité (art. 14 LPD).
Concernant la violation des exigences minimales en matière de sécurité des données (art. 61 let. c nLPD), les auteurs donnent l’exemple d’un directeur qui n’approuverait pas le budget prétendument nécessaire à une sécurité adéquate des données. Ce refus pourrait, selon eux, tomber sous le coup de cette disposition pénale. Néanmoins, David Rosenthal et Seraina Gubler affirment, grâce à des sources bien informées à Berne, que cette disposition pénale ne s’appliquera que pour les cas les plus flagrants. En effet, le champ de cette disposition dépendra des exigences minimales de sécurité fixées dans l’ordonnance du Conseil fédéral, dont le projet n’est pas encore publié.
Concernant l’élément subjectif des infractions pénales, toutes les infractions de la nLPD nécessitent l’intention (cf. art. 12 al. 2 CP). En pratique, la distinction entre le dol éventuel (punissable) et la négligence (non punissable) sera compliquée, selon les auteurs. Ils prennent l’exemple de la rédaction d’une politique de confidentialité (devoir d’informer selon l’art. 19 nLPD). Ne serait pas punissable l’employé non expérimenté qui reprend simplement une privacy notice d’un autre site web. Au contraire, l’avocat suisse qui rédige ou revoit un tel document ne pourra que difficilement plaider qu’il ne connaissait pas les exigences de l’art. 19 nLPD.
S’agissant des personnes visées par les dispositions pénales, Rosenthal et Gubler notent qu’elles visent tant le chef d’entreprise (cf. art. 29 CP) que la personne qui s’occupe effectivement de la mise en œuvre des obligations (p. ex. l’employé ou le conseiller juridique externe). Néanmoins, les auteurs prédisent que les dispositions pénales seront plus mises en œuvre contre les personnes qui sont effectivement en charge de la protection des données, et non contre les dirigeants de l’entreprise.
Enfin, dans une dernière partie, les auteurs examinent précisément la violation du devoir de discrétion (art. 62 nLPD). Ils considèrent que, en comparaison internationale, il s’agit d’une réglementation inhabituellement stricte compte tenu de son large champ d’application et de la portée de l’amende. Elle n’a pourtant pas fait l’objet de débats parlementaires.
Cette disposition pénale s’applique lorsqu’une personne « révèle intentionnellement des données personnelles secrètes portées à sa connaissance dans l’exercice d’une profession qui requiert la connaissance de telles données ». Cette norme peut être comprise soit comme une norme de protection des données, soit comme protégeant un secret professionnel. Dans la première hypothèse, une révélation consisterait en une communication contraire aux principes de la nLPD. Dans la seconde hypothèse, c’est la confiance de la personne concernée qui est protégée et seule la violation de cette confiance serait punissable. Dans tous les cas, Rosenthal et Gubler préconisent l’obtention du consentement, par exemple à l’aide de conditions générales, afin de pouvoir révéler des données « secrètes ». Afin que ce consentement soit valable, il faudrait également préciser, dans la politique de confidentialité, quelles catégories de données sont « secrètes ».
En conclusion, les auteurs soulignent que les sanctions pénales des violations de la protection des données ne font pas partie de l’usage en Suisse. La poursuite de ces contraventions revient aux autorités cantonales (art. 65 nLPD). Vu qu’elles n’ont pas l’habitude de poursuivre ce genre de violations, les poursuites pénales risquent de rester l’exception.
Proposition de citation : Célian Hirsch, Recension : Les dispositions pénales de la nLPD, par David Rosenthal et Seraina Gubler, 27 mai 2021 in www.swissprivacy.law/75
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.