Contexte

Les cantons suisses s’attellent actuel­le­ment à l’adaptation de leur légis­la­tion canto­nale en matière de protec­tion des données afin de tenir compte des nouvelles normes de droit inter­na­tio­nal et de la révi­sion de la Loi fédé­rale sur la protec­tion des données.

Le canton de Fribourg penche sur la révi­sion de sa loi canto­nale depuis 2017. La révi­sion prend aujourd’hui un coup d’accélérateur. Le Conseil d’Etat fribour­geois a annoncé le 30 juin 2023 avoir adopté et trans­mis au Grand Conseil fribour­geois le projet de révi­sion totale de la Loi fribour­geoise sur la protec­tion des données (LPrD). Aussi bien le Message du Conseil d’Etat fribour­geois que le projet de révi­sion de la LPrD sont dispo­nibles sur le site du Grand conseil fribour­geois (cf. Révision totale de la loi sur la protec­tion des données).

Les objec­tifs affi­chés par le Conseil d’Etat fribour­geois sont clairs : faire de la future loi un des étalons essen­tiels de la numé­ri­sa­tion à tous les éche­lons de l’Etat, tant sur le plan canto­nal que sur le plan commu­nal. La volonté de l’exécutif est à saluer car cette initia­tive permet­tra de mettre en place un cadre juri­dique solide pour soute­nir une utili­sa­tion respon­sable et éthique des données, tout en favo­ri­sant le déve­lop­pe­ment numé­rique du canton.

Deux axes au projet de révi­sion de la LPrD

Le projet de révi­sion de la LPrD s’inspire en grande partie de la nouvelle Loi fédé­rale sur la protec­tion des données, laquelle est elle-même forte­ment inspi­rée de la Convention 108 moder­ni­sée, du RGPD et de la Directive (UE) 680/​2016. Elle reprend à ce titre l’approche fondée sur les risques et conserve son carac­tère de loi tech­no­lo­gi­que­ment neutre. Le projet de révi­sion s’articule autour de deux axes principaux.

La révi­sion de la LPrD a, d’une part, pour objec­tif de renfor­cer les droits et les liber­tés des indi­vi­dus face aux trai­te­ments de plus en plus nombreux et complexes de leurs données person­nelles, raison pour laquelle le droit d’accéder à ses données person­nelles reste inchangé. Il est toute­fois complété par la possi­bi­lité, pour les personnes concer­nées, et sous certaines condi­tions, de s’opposer préven­ti­ve­ment à la commu­ni­ca­tion de certaines données à des tiers. De plus, des obli­ga­tions de trans­pa­rence sont intro­duites, notam­ment lorsque des orga­nismes publics utilisent des systèmes algo­rith­miques dans leurs proces­sus déci­sion­nels ou mènent des acti­vi­tés de profi­lage. Ces mesures visent à garan­tir une plus grande trans­pa­rence et à renfor­cer la protec­tion des indi­vi­dus dans un contexte où les tech­no­lo­giques et les pratiques de collecte et d’utilisation des données évoluent rapidement.

La révi­sion de la LPrD propose, d’autre part, de nouveaux outils afin d’améliorer la sécu­rité des infra­struc­tures, des proces­sus et de l’organisation qui soutiennent les trai­te­ments de données person­nelles. En accord avec les prin­cipes de protec­tion des données dès la concep­tion et de protec­tion des données par défaut, les enti­tés canto­nales et commu­nales respon­sables du trai­te­ment des données person­nelles doivent proac­ti­ve­ment prévoir des mesures tech­niques et orga­ni­sa­tion­nelles adap­tées aux risques dès les premières étapes de la concep­tion d’un nouveau trai­te­ment. Dans certains cas, une analyse d’impact rela­tive à la protec­tion des données peut être exigée. De plus, des obli­ga­tions de noti­fi­ca­tion sont intro­duites en cas d’incident de sécu­rité. Le projet prévoit fina­le­ment la créa­tion d’un réseau de corres­pon­dants en matière de protec­tion de données au sein de l’administration cantonale.

En addi­tion, la révi­sion ne laisse pas sur la touche l’Autorité canto­nale de la trans­pa­rence, de la protec­tion des données et de la média­tion. Cette dernière se voit renfor­cer, celle-ci devant désor­mais avoir la compé­tence de pronon­cer des déci­sions contrai­gnantes à l’égard des organes qui ne respectent pas les pres­crip­tions prévues.

À noter fina­le­ment l’une des grandes diffé­rences avec la nouvelle Loi fédé­rale sur la protec­tion des données : le projet de révi­sion ne prévoit pas de suppri­mer la protec­tion des données des personnes morales. Sous l’angle pratique, ce choix est notam­ment motivé par le fait que les bases légales qui habi­litent aujourd’hui les organes publics à trai­ter des données person­nelles devien­draient caduques s’agissant de personnes morales. Ceci aurait pour consé­quence de néces­si­ter un travail de révi­sion de nombreuses bases légales, voire la réin­tro­duc­tion d’une série de dispo­si­tions spéci­fiques, à l’instar du travail aujourd’hui réalisé par le Conseil fédéral.

Où en est-on au niveau cantonal ?

Tous les cantons suisses ne sont pas égaux dans la révi­sion de leur légis­la­tion canto­nale en matière de protec­tion des données, celle-ci pouvant consti­tuer une certaine pierre d’achoppement. À cet égard, la Conférence des Préposés suisses à la protec­tion des données (PRIVATIM) a publié le 27 juin 2023 un docu­ment recen­sant l’état des révi­sions des lois canto­nales sur la protec­tion des données. Celui-ci est dispo­nible à cette adresse. Nous suivrons ces révi­sions avec intérêt.