La saga juri­dico-poli­tique a pris fin le 25 septembre 2020, date à laquelle la nouvelle Loi fédé­rale sur la protec­tion des données (LPD) a été adop­tée lors du vote final par le Conseil des États (à l’unanimité par 44 voix) et par le Conseil natio­nal (141 voix pour, 54 voix contre et 1 absten­tion). Seul le bloc de l’UDC du Conseil natio­nal rejette, avec notam­ment une voix dissi­dente de leur parle­men­taire Franz Grüter (Lucerne), le texte soumis pour le vote final. Au sein de la pratique, la nouvelle LPD est déjà soumise à quelques critiques, diverses personnes esti­mant que le compro­mis poli­tique n’assure pas la sécu­rité juri­dique et n’amène pas assez de clarté, notam­ment au vu des notions juri­diques indé­ter­mi­nées inté­grées à la nouvelle LPD à l’instar du profi­lage « à risque élevé ». Peut-être aussi que nous en atten­dions plus, notam­ment en ce qui concerne les pouvoirs du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT).

Dans tous les cas, la nouvelle LPD ayant été adop­tée, celle-ci devrait vrai­sem­bla­ble­ment entrer en vigueur au début de l’année 2022, voire au milieu de cette année-là, sous réserve bien entendu d’un réfé­ren­dum. La prochaine étape consis­tera, pour le Conseil fédé­ral, par le biais de l’Office fédé­ral de la justice, à élabo­rer l’ordonnance fédé­rale accom­pa­gnant la nouvelle LPD. Au vu de sa grande portée, cette ordon­nance devra être soumise à une procé­dure de consul­ta­tion (art. 3 al. 1 let. d de la Loi fédé­rale du 18 mars 2005 sur la procé­dure de consul­ta­tion ; RS 172.061). L’ordonnance fédé­rale est, pour sa part, atten­due pour le premier trimestre 2021.

S’agissant des trai­te­ments effec­tués par des personnes privées, l’ordonnance appor­tera des préci­sions bien­ve­nues notam­ment quant aux exigences mini­males en matière de sécu­rité des données (art. 8 al. 3 nLPD), aux excep­tions rela­tives à la tenue d’un registre des acti­vi­tés de trai­te­ment (art. 12 al. 5 nLPD), aux procé­dures auxquelles seront soumises les respon­sables du trai­te­ment pour la certi­fi­ca­tion et l’introduction d’un label de qualité (art. 13 al. 2 nLPD), aux excep­tions rela­tives à la gratuité du droit d’accès (art. 25 al. 6 nLPD). En outre, le PFPDT ne sera plus compé­tent pour consta­ter si un État dispose d’une légis­la­tion assu­rant un niveau de protec­tion adéquat dans le cadre de la commu­ni­ca­tion trans­fron­tière de données person­nelles, la compé­tence ayant été délé­guée au Conseil fédé­ral (art. 16 al. 1 nLPD).

Si la nouvelle LPD n’entre en vigueur que courant 2022, alors pour­quoi rédi­ger un article sur ses possibles impli­ca­tions ? Tout simple­ment car lors des débats légis­la­tifs, nos parle­men­taires ont supprimé les dispo­si­tions tran­si­toires qui prévoyaient un délai de deux ans pour se mettre en confor­mité avec la nouvelle LPD, et ce, dès son entrée en vigueur. Le légis­la­teur a tout de même prévu un compro­mis en prévoyant un délai de deux ans à comp­ter de l’entrée en vigueur de la nouvelle LPD (art. 59 nLPD) en ce qui concerne l’obligation d’effectuer une étude d’impact rela­tive à la protec­tion des données (art. 16 nLPD) et des mesures à prendre pour assu­rer la protec­tion des données dès la concep­tion et par défaut, ainsi que pour l’obligation de docu­men­ter leurs trai­te­ments de données person­nelles (art. 19 let. a nLPD).

Mais alors, concrè­te­ment, à quoi les respon­sables du trai­te­ment doivent-ils veiller ? Afin d’aider chacun, nous avons préparé un tableau compa­ra­tif entre la nouvelle LPD, le projet du Conseil fédé­ral et l’actuelle LPD en vigueur. Nous nous borne­rons à passer en revue les modi­fi­ca­tions les plus impor­tantes. Nous pouvons déjà affir­mer que les prin­cipes de base restent inchan­gés, le secteur privé ne devant pas modi­fier la manière dont il traite les données person­nelles. En outre le concept suisse selon lequel un trai­te­ment de données person­nelles est en prin­cipe auto­risé et qu’un motif justi­fi­ca­tif n’est néces­saire que dans certaines situa­tions reste inchangé (art. 30 et 31 nLPD). À titre de compa­rai­son, le système euro­péen prévoit que le trai­te­ment de données person­nelles est illi­cite per se sauf si l’une des condi­tions de l’art. 6 du Règlement géné­ral euro­péen sur la protec­tion des données (RGPD) est respec­tée. Il reste à souli­gner que les données des personnes morales ne seront plus proté­gées par la LPD, celles-ci n’étant plus consi­dé­rées comme étant des données person­nelles. Elles demeurent toute­fois proté­gées par les dispo­si­tions géné­rales des articles 28 ss du Code civil.

Rien ne change non plus s’agissant du consen­te­ment, sous réserve qu’il doit être exprès lors d’un trai­te­ment de données sensibles, d’un profi­lage à risque élevé effec­tué par une personne privée ou d’un profi­lage effec­tué par un organe fédé­ral (art. 6 al. 7 nLPD). Les moda­li­tés du recueil du consen­te­ment diffèrent sensi­ble­ment du droit euro­péen (consi­dé­rant 33 et art. 7 RGPD). Par exemple, il n’est pas néces­saire pour le respon­sable du trai­te­ment d’informer sur la possi­bi­lité de retrait et le consen­te­ment peut porter sur l’ensemble des fina­li­tés envi­sa­gées (art. 6 al. 6 nLPD a fortiori).

La nouvelle LPD prévoit cepen­dant de nouvelles obli­ga­tions à l’égard des respon­sables du trai­te­ment telles que la tenue d’un registre des acti­vi­tés de trai­te­ment (art. 12 nLPD), sous réserve des excep­tions qui devront être préci­sées par le Conseil fédé­ral. Les respon­sables du trai­te­ment seront égale­ment tenus d’informer de manière adéquate de la collecte des données person­nelles, en leur four­nis­sant certaines infor­ma­tions pour qu’elles puissent faire valoir leurs droits (art. 19 nLPD). Le système de recon­nais­sa­bi­lité actuel­le­ment prévu au sein de la LPD en vigueur est donc à cet égard modi­fié. Les respon­sables du trai­te­ment devront donc se munir d’une poli­tique de protec­tion de la vie privée.

Les respon­sables du trai­te­ment devront égale­ment, lorsque le trai­te­ment envi­sagé peut présen­ter un risque élevé, réali­ser une analyse d’impact rela­tive à la protec­tion des données (art. 22 nLPD, voir égale­ment sur ce sujet Livio di Tria, L’analyse d’impact rela­tive à la protec­tion des données (AIPD) en droit euro­péen et suisse, in : sic ! 03/​2020). En outre, les respon­sables du trai­te­ment devront égale­ment annon­cer les viola­tions de la sécu­rité des données (art. 24 nLPD).

Le droit d’accès (art. 25 ss nLPD) reste quant à lui sensi­ble­ment le même, sous réserve de quelques modi­fi­ca­tions d’ordre rédac­tion­nel, avec la notion de « données person­nelles en tant que telles » qui reste à déter­mi­ner, mais dont les débats parle­men­taires montrent qu’il s’agit d’une restric­tion pour exclure que soit trans­mise toute la docu­men­ta­tion (BO 2020 N 150) qui peut conte­nir les données person­nelles, ce que le légis­la­teur juge dispro­por­tionné (sur ce sujet, voir prochai­ne­ment la paru­tion de Livio di Tria/​Kastriot Lubishtani, Étude empi­rique du droit d’accès à ses données person­nelles, in : Sylvain Métille, Le droit d’accès à ses données person­nelles et aux docu­ments officiels).

Les respon­sables du trai­te­ment pour­ront égale­ment nommer un conseiller à la protec­tion des données, interne ou externe (art. 10 nLPD). Il ne s’agit cepen­dant pas d’une obli­ga­tion. Nous pouvons égale­ment souli­gner que le PFPDT voit son pouvoir renforcé, en ce sens qu’il pourra, plutôt que d’émettre de simples recom­man­da­tions, émettre de réelles injonc­tions à l’encontre des respon­sables du trai­te­ment (art. 51 nLPD). En outre, les sanc­tions pénales ont été revues à la hausse, même si elles reste­ront proba­ble­ment rares en pratique (art. 60 ss nLPD).

Voici ce que nous pouvons déjà dire, de manière conden­sée, sur cette nouvelle LPD. En conclu­sion, nous ne pouvons qu’enjoindre les respon­sables du trai­te­ment d’examiner la manière dont ils déploient leur trai­te­ment de données person­nelles et, de se mettre en confor­mité d’ici l’entrée en vigueur de la loi. À cet égard, notre tableau compa­ra­tif pour­rait se révé­ler être un outil utile à l’égard du prati­cien pour une meilleure vue d’ensemble.