Le premier numéro 2021 de la Revue suisse de droit des affaires et du marché finan­cier est consa­cré prin­ci­pa­le­ment à la nLPD. Parmi les diverses contri­bu­tions, nous expo­sons ci-dessous quelques éléments qui ressortent de l’article rédigé par David Rosenthal et Seraina Gubler. Ces auteurs se sont penchés sur les dispo­si­tions pénales de la nLPD.

Un premier élément inté­res­sant nous semble le suivant : contrai­re­ment aux amendes prévues par le RGPD, les amendes prévues aux art. 60 ss nLPD ne peuvent ni être assu­rées ni prises en charge par l’en­tre­prise. Partant, et contrai­re­ment à l’opi­nion répan­due, elles peuvent être plus sévères que les amendes du RGPD.

Les auteurs soulignent que la viola­tion des nouvelles obli­ga­tions de gouver­nance (infor­ma­tion lors d’une viola­tion de la sécu­rité des données, tenue d’un registre des acti­vi­tés de trai­te­ment, mise en place d’une analyse d’im­pact) n’est pas sanc­tion­née péna­le­ment. Au contraire, le RGPD sanc­tionne de l’amende toute viola­tion au RGPD.

En pratique, la viola­tion du devoir d’in­for­mer (art. 60 al. 1 cum art. 19 nLPD) risque d’être la viola­tion la plus sanc­tion­née par une pour­suite pénale. En effet, ce devoir d’in­for­mer, bien que déjà prévu par l’actuelle LPD, est élargi pour toutes les données person­nelles, alors qu’il ne vise actuel­le­ment que les données sensibles et les profils de la person­na­lité (art. 14 LPD).

Concernant la viola­tion des exigences mini­males en matière de sécu­rité des données (art. 61 let. c nLPD), les auteurs donnent l’exemple d’un direc­teur qui n’ap­prou­ve­rait pas le budget préten­du­ment néces­saire à une sécu­rité adéquate des données. Ce refus pour­rait, selon eux, tomber sous le coup de cette dispo­si­tion pénale. Néanmoins, David Rosenthal et Seraina Gubler affirment, grâce à des sources bien infor­mées à Berne, que cette dispo­si­tion pénale ne s’ap­pli­quera que pour les cas les plus flagrants. En effet, le champ de cette dispo­si­tion dépen­dra des exigences mini­males de sécu­rité fixées dans l’or­don­nance du Conseil fédé­ral, dont le projet n’est pas encore publié.

Concernant l’élé­ment subjec­tif des infrac­tions pénales, toutes les infrac­tions de la nLPD néces­sitent l’in­ten­tion (cf. art. 12 al. 2 CP). En pratique, la distinc­tion entre le dol éven­tuel (punis­sable) et la négli­gence (non punis­sable) sera compli­quée, selon les auteurs. Ils prennent l’exemple de la rédac­tion d’une poli­tique de confi­den­tia­lité (devoir d’in­for­mer selon l’art. 19 nLPD). Ne serait pas punis­sable l’employé non expé­ri­menté qui reprend simple­ment une privacy notice d’un autre site web. Au contraire, l’avo­cat suisse qui rédige ou revoit un tel docu­ment ne pourra que diffi­ci­le­ment plai­der qu’il ne connais­sait pas les exigences de l’art. 19 nLPD.

S’agissant des personnes visées par les dispo­si­tions pénales, Rosenthal et Gubler notent qu’elles visent tant le chef d’en­tre­prise (cf. art. 29 CP) que la personne qui s’oc­cupe effec­ti­ve­ment de la mise en œuvre des obli­ga­tions (p. ex. l’employé ou le conseiller juri­dique externe). Néanmoins, les auteurs prédisent que les dispo­si­tions pénales seront plus mises en œuvre contre les personnes qui sont effec­ti­ve­ment en charge de la protec­tion des données, et non contre les diri­geants de l’entreprise.

Enfin, dans une dernière partie, les auteurs examinent préci­sé­ment la viola­tion du devoir de discré­tion (art. 62 nLPD). Ils consi­dèrent que, en compa­rai­son inter­na­tio­nale, il s’agit d’une régle­men­ta­tion inha­bi­tuel­le­ment stricte compte tenu de son large champ d’ap­pli­ca­tion et de la portée de l’amende. Elle n’a pour­tant pas fait l’ob­jet de débats parlementaires.

Cette dispo­si­tion pénale s’ap­plique lors­qu’une personne « révèle inten­tion­nel­le­ment des données person­nelles secrètes portées à sa connais­sance dans l’exercice d’une profes­sion qui requiert la connais­sance de telles données ». Cette norme peut être comprise soit comme une norme de protec­tion des données, soit comme proté­geant un secret profes­sion­nel. Dans la première hypo­thèse, une révé­la­tion consis­te­rait en une commu­ni­ca­tion contraire aux prin­cipes de la nLPD. Dans la seconde hypo­thèse, c’est la confiance de la personne concer­née qui est proté­gée et seule la viola­tion de cette confiance serait punis­sable. Dans tous les cas, Rosenthal et Gubler préco­nisent l’ob­ten­tion du consen­te­ment, par exemple à l’aide de condi­tions géné­rales, afin de pouvoir révé­ler des données « secrètes ». Afin que ce consen­te­ment soit valable, il faudrait égale­ment préci­ser, dans la poli­tique de confi­den­tia­lité, quelles caté­go­ries de données sont « secrètes ».

En conclu­sion, les auteurs soulignent que les sanc­tions pénales des viola­tions de la protec­tion des données ne font pas partie de l’usage en Suisse. La pour­suite de ces contra­ven­tions revient aux auto­ri­tés canto­nales (art. 65 nLPD). Vu qu’elles n’ont pas l’ha­bi­tude de pour­suivre ce genre de viola­tions, les pour­suites pénales risquent de rester l’exception.