Avant-projet de la Loi fédé­rale du 21 mars 1997 sur l’organisation du gouver­ne­ment et de l’administration (LOGA)

Rapport expli­ca­tif rela­tif à l’ouverture de la procé­dure de consul­ta­tion concer­nant la modi­fi­ca­tion de la LOGA

Tableau synop­tique des modi­fi­ca­tions prévues et du droit en vigueur

Introduction

À l’instar des personnes physiques, les personnes morales sont égale­ment titu­laires du droit à l’autodétermination infor­ma­tion­nelle (art. 13 al. 2 Cst.). Or, depuis l’entrée en vigueur de la LPD révi­sée le 1^er septembre 2023, les données concer­nant les personnes morales ne sont plus régies par les dispo­si­tions rela­tives aux données person­nelles (cf. art. 1 et 2 al. 1 LPD). Par consé­quent, les dispo­si­tions rela­tives aux données person­nelles ne s’appliquent plus aux personnes morales (cf. art. 5 let. a LPD a contra­rio).

Pour éviter toute lacune induite par ce chan­ge­ment de para­digme, le légis­la­teur a inséré une dispo­si­tion tran­si­toire à l’art. 71 LPD, appli­cable jusqu’au 31 août 2028, dont la teneur est la suivante :

« Pour les organes fédé­raux, les dispo­si­tions d’autres actes de droit fédé­ral qui font réfé­rence à des données person­nelles conti­nuent de s’appliquer au trai­te­ment des données concer­nant des personnes morales pendant les cinq ans suivant l’entrée en vigueur de la présente loi. Pendant ce délai, les organes fédé­raux peuvent en parti­cu­lier conti­nuer à commu­ni­quer des données concer­nant des personnes morales selon l’art. 57s, al. 1 et 2, de la loi du 21 mars 1997 sur l’organisation du gouver­ne­ment et de l’administration s’il existe une base légale permet­tant de commu­ni­quer des données personnelles. »

La LOGA contient en outre trois dispo­si­tions trans­ver­sales sur le trai­te­ment de données concer­nant les personnes morales (art. 57r à 57t LOGA).

Dans la section du message rela­tive à l’art. 71 LPD, le Conseil fédé­ral indi­quait que la révi­sion des dispo­si­tions rela­tives aux données concer­nant les personnes morales inter­vien­drait une fois la révi­sion de la LPD adop­tée (Message concer­nant la révi­sion totale de la LPD, FF 2017 p. 6722).

Par commu­ni­qué de presse du 21 mai 2025, le Conseil fédé­ral a annoncé l’ouverture d’une procé­dure de consul­ta­tion concer­nant des modi­fi­ca­tions de la Loi fédé­rale du 21 mars 1997 sur l’organisation du gouver­ne­ment et de l’administration (LOGA). Cet avant-projet vise à péren­ni­ser le cadre légal appli­cable aux trai­te­ments de données concer­nant les personnes morales par la Confédération et à concré­ti­ser dura­ble­ment leur droit à l’autodétermination infor­ma­tion­nelle (art. 13 al. 2 Cst.). Le régime appli­cable aux trai­te­ments effec­tués par les personnes privées ne connaît lui aucune modification.

Choix de l’approche légis­la­tive et objec­tifs de l’avant-projet

Au début de ses travaux, le Conseil fédé­ral s’est inter­rogé sur l’opportunité d’harmoniser toutes les bases légales secto­rielles dans un seul texte, respec­ti­ve­ment d’adopter un régime trans­ver­sal appli­cable à tous les domaines dans lesquels les organes fédé­raux traitent des données concer­nant les personnes morales. Il a de manière convain­cante opté pour la seconde option. En effet, son analyse a révélé que la majo­rité des organes fédé­raux traitent des données dans des contextes divers pour atteindre des fina­li­tés très diffé­rentes. Concentrer toutes ces constel­la­tions dans un seul acte serait non seule­ment chro­no­phage, mais indui­rait inévi­ta­ble­ment un risque de lacunes juri­diques qui pour­rait avoir pour consé­quence l’impossibilité de trai­ter les données concer­nant les personnes morales. L’adoption d’un régime trans­ver­sal est donc la solu­tion la plus pragmatique.

Une fois l’approche défi­nie, le Conseil fédé­ral a fixé les objec­tifs prin­ci­paux de son avant-projet que sont :

• Régler dura­ble­ment la rela­tion entre les dispo­si­tions sur les données person­nelles et celles sur les données concer­nant les personnes morales (cf. 57s^bis al. 1 AP-LOGA) ;
• Uniformiser les exigences requises en matière de bases légales (cf. 57r, s, r^bis, s^quater et s^quinu­quies AP-LOGA),
• Concrétiser le droit à l’autodétermination infor­ma­tion­nelle (cf. 57t à 57x AP-LOGA) ; et
• Régler la sous-trai­tance (57s^ter AP-LOGA).

À noter que dans son avant-projet, le Conseil fédé­ral propose égale­ment de repor­ter les modi­fi­ca­tions induites par l’AP-LOGA dans les lois spéciales (p.ex. : LSI, LAr, LTrans, LMETA, etc.).

Relation entre les dispo­si­tions sur les données person­nelles et celles sur les données concer­nant les personnes morales

Reprenant le contenu de l’art. 71 LPD sans limi­ta­tion tempo­relle, l’art. 57s^bis al. 1 AP-LOGA péren­nise désor­mais la rela­tion entre les dispo­si­tions sur les données person­nelles et celles sur les données concer­nant les personnes morales. En effet,

« [s]i un acte légis­la­tif spécial contient des dispo­si­tions sur la protec­tion des données person­nelles, mais pas de dispo­si­tions sur la protec­tion des données concer­nant des personnes morales, les dispo­si­tions sur la protec­tion des données person­nelles s’appliquent égale­ment aux données concer­nant des personnes morales. »

L’applicabilité des dispo­si­tions spéciales sur la protec­tion des données person­nelles, lesquelles peuvent se trou­ver dans une loi ou dans une ordon­nance, ne se limite pas à celles permet­tant de trai­ter ou de commu­ni­quer des données. En effet, elle concerne égale­ment d’autres dispo­si­tions telles que celles régis­sant le devoir d’information lors de la collecte des données.

En revanche, les normes qui régissent le niveau de protec­tion adéquat des données pour la commu­ni­ca­tion de données à l’étranger ou qui concernent la surveillance du PFPDT ne s’appliquent pas aux personnes morales (art. 57s^bis al. 2 AP-LOGA). Quant aux dispo­si­tions rela­tives à la sécu­rité des données person­nelles, leur appli­ca­bi­lité dépend des ordon­nances spéciales du Conseil fédé­ral (art. 57s^bis al. 3 AP-LOGA).

Il sied de souli­gner que l’art. 57s^bis al. 1 AP-LOGA ne renvoie pas à la LPD. En effet, l’expression « acte légis­la­tif spécial », par oppo­si­tion à un acte légis­la­tif géné­ral, signi­fie que la LPD et ses ordon­nances ne sont pas appli­cables par renvoi de l’art. 57s^bis al. 1 AP-LOGA.

Nouvelle défi­ni­tion des données sensibles

Selon l’actuel art. 57r al. 2 LOGA, les données sensibles concer­nant des personnes morales sont (a) les données rela­tives à des pour­suites ou des sanc­tions admi­nis­tra­tives ou pénales et (b) les données rela­tives à des secrets profes­sion­nels, d’affaires ou de fabrication.

À l’art. 57q^bis AP-LOGA, cette seconde caté­go­rie dispa­raît de la défi­ni­tion, de sorte que seules les données rela­tives à des pour­suites ou des sanc­tions admi­nis­tra­tives ou pénales consti­tuent des données sensibles. D’une part, le Conseil fédé­ral entend rappro­cher cette défi­ni­tion de celle de l’art. 5 let. c LPD en partant de celle-ci et en y retran­chant toutes les caté­go­ries spéci­fiques aux personnes physiques ou qui sont d’une impor­tance pratique moindre pour les personnes morales. D’autre part, il estime que les secrets profes­sion­nels, d’affaires ou de fabri­ca­tion doivent être proté­gés par les dispo­si­tions spéciales sur l’obligation de garder le secret (p.ex. : art. 62 LPTh), et non par une dispo­si­tion générale.

Uniformisation des exigences en matière de bases légales

Le trai­te­ment de données concer­nant les personnes morales par les organes fédé­raux doit repo­ser sur une base légale (cf. art. 5 al. 1 et 36 al. 1 Cst.). Avec l’AP-LOGA, l’actuel art. 57r al. 1 LOGA, qui auto­rise le trai­te­ment des données concer­nant des personnes morales dans la mesure où l’accomplissement des tâches défi­nies dans une loi au sens formel l’exige, est remplacé par un système semblable à celui que prévoit l’art. 34 LPD pour le trai­te­ment des données personnelles.

En effet, le trai­te­ment de données concer­nant les personnes morales doit repo­ser sur une loi au sens formel ou maté­riel (art. 57r al. 1 AP-LOGA), laquelle peut d’ailleurs tout à fait être une base légale concer­nant le trai­te­ment de données person­nelles (cf. art. 57s^bis al. 1 AP-LOGA). Sauf dans les cas excep­tion­nels prévus à l’art. 57r al. 3 AP-LOGA, le trai­te­ment de données sensibles au sens de l’art. 57q^bis AP-LOGA doit néces­sai­re­ment repo­ser sur une loi au sens formel (art. 57r al. 2 AP-LOGA). Enfin, à l’instar de l’art. 34 al. 4 LPD, l’art. 57r al. 4 AP-LOGA permet excep­tion­nel­le­ment le trai­te­ment de données en l’absence de base légale.

Ce rappro­che­ment avec art. 34 LPD est bien­venu. Compte tenu de l’art. 57s^bis AP-LOGA, la suppres­sion de l’actuel art. 57r al. 1 LOGA assure un système uniforme et évite ainsi tout conflit de normes.

En revanche, l’AP-LOGA n’apporte pas de modi­fi­ca­tion substan­tielle s’agissant spéci­fi­que­ment de la commu­ni­ca­tion des données. Hormis l’introduction de deux nouvelles excep­tions aux art. 57s al. 3b^bis et b^ter AP-LOGA (cpr. art. 36 al. 2 let. c et d LPD) et quelques modi­fi­ca­tions d’ordre linguis­tique, la commu­ni­ca­tion de données doit en prin­cipe repo­ser sur une base légale (art. 57s al. 1 AP-LOGA), qui doit néces­sai­re­ment être une base légale au sens formel lorsqu’il s’agit de données sensibles (art. 57s al. 2 LOGA).

À noter enfin qu’à l’instar de l’art. 35 LPD et des art. 32 ss OPDo, le Conseil fédé­ral peut, avant l’entrée en vigueur d’une loi au sens formel et moyen­nant le respect des condi­tions énumé­rées à l’art. 57r^bis AP-LOGA, auto­ri­ser le trai­te­ment auto­ma­tisé de données sensibles dans le cadre d’essais pilotes. En l’absence de données sensibles, les projets pilotes sont régis par l’art. 15 AP-LMETA.

Concrétisation du droit à l’autodétermination informationnelle 

Selon le droit en vigueur, les droits des personnes morales sont régis par les règles de procé­dure appli­cables (art. 57t LOGA). Dans le cadre d’une procé­dure admi­nis­tra­tive de première instance, les personnes morales peuvent consul­ter les pièces (art. 26 ss PA) et exer­cer leur droit d’être entendu (art. 29 ss PA). En outre, elles peuvent, sur base de l’art. 25a PA, exiger des déci­sions rela­tives à des actes maté­riels et ainsi faire recti­fier ou effa­cer les données les concernant.

L’avant-projet modi­fie profon­dé­ment le système en prévoyant notam­ment un véri­table droit d’accès (art. 57t AP-LOGA, cpr. art. 25 LPD) qui peut être exercé en dehors de toute procé­dure admi­nis­tra­tive. En effet, hormis les situa­tions où les organes fédé­raux peuvent refu­ser, restreindre ou diffé­rer la commu­ni­ca­tion de rensei­gne­ments (art. 57u AP-LOGA), les personnes morales peuvent s’informer sur l’existence de trai­te­ments les concer­nant (art. 57t al. 1 AP-LOGA), véri­fier leur licéité et déci­der en connais­sance de cause si elles souhaitent exer­cer d’autres droits tels que ceux à l’effacement ou à la recti­fi­ca­tion (cf. art. 57v AP-LOGA).

Dans l’hypothèse où une personne morale exerce son droit d’accès, elle rece­vra à tout le moins les infor­ma­tions énumé­rées à l’art. 57t al. 2 AP-LOGA. Cette énumé­ra­tion est quasi­ment iden­tique à celle de l’art. 25 al. 2 LPD. La prin­ci­pale diffé­rence concerne les infor­ma­tions rela­tives à l’existence d’une déci­sion indi­vi­duelle auto­ma­ti­sée et la logique sous-jacente, auxquelles seules les personnes physiques ont droit (art. 25 al. 2 let. f LPD). Ceci s’explique par le fait qu’à l’exception de la dispo­si­tion dédiée aux essais pilotes (art. 57r^bis AP-LOGA), l’AP-LOGA ne règle pas les obli­ga­tions des organes fédé­raux et les droits des personnes concer­nées dans le cadre de déci­sions indi­vi­duelles automatisées.

Les autres alinéas de l’art. 57t AP-LOGA règlent les moda­li­tés du droit d’accès (art. 57t al. 3 à 5 AP-LOGA), respec­ti­ve­ment renvoient aux ordon­nances que le Conseil fédé­ral devra adop­ter (art. 57t al. 6 AP-LOGA).

Sous-trai­tance des données

L’avant-projet du Conseil fédé­ral contient une dispo­si­tion rela­tive à la sous-trai­tance de données, laquelle est forte­ment inspi­rée de l’art. 9 LPD. La sous-trai­tance des données concer­nant les personnes morales est auto­ri­sée aux condi­tions cumu­la­tives énumé­rées à l’art. 57s^ter al. 1 AP-LOGA (cpr. art. 9 al. 1 LPD). Les deux autres alinéas de cette dispo­si­tion règlent les condi­tions auxquelles un sous-trai­tant peut sous-trai­ter un trai­te­ment (art. 57s^ter al. 2 AP-LOGA, cpr. art. 9 al. 3 LPD) et les motifs justi­fi­ca­tifs qu’il peut faire valoir (art. 57s^ter al. 3 AP-LOGA, cpr. art. 9 al. 4 LPD).

Autres dispo­si­tions de l’AP-LOGA

L’art. 57x AP-LOGA règle la rela­tion entre les dispo­si­tions de l’AP-LOGA et les dispo­si­tions fédé­rales de procé­dure. À l’instar de ce qui prévaut pour les personnes physiques (art. 2 al. 3 LPD), la protec­tion des données concer­nant les personnes morales dans le cadre de procé­dures doit en prin­cipe être régie par les dispo­si­tions fédé­rales y rela­tives (art. 57x al. 1 AP-LOGA).

Ce prin­cipe connaît toute­fois deux excep­tions. Premièrement, l’art. 57s^bis AP-LOGA s’applique en sus des dispo­si­tions fédé­rales de procé­dure, de sorte que les dispo­si­tions fédé­rales de procé­dure rela­tives à la protec­tion des données person­nelles s’appliquent égale­ment aux données concer­nant les personnes morales. Secondement, ce sont les art. 57q^bis à 57w AP-LOGA qui s’appliquent aux procé­dures admi­nis­tra­tives de première instance.

Pour le surplus, l’avant-projet contient égale­ment des dispo­si­tions dédiées à l’archivage (art. 57s^quater AP-LOGA), aux trai­te­ments à des fins ne se rappor­tant pas à des personnes (art. 57s^quin­quies AP-LOGA), aux procé­dures rela­tives à la commu­ni­ca­tion de docu­ments offi­ciels (art. 57w AP-LOGA) et à l’accès aux registres publics rela­tifs aux rapports de droit privé (art. 57x al. 2 AP-LOGA).

Bilan : un pas en avant, deux pas en arrière ?

Cet avant-projet du Conseil fédé­ral, en consul­ta­tion jusqu’au 12 septembre 2025, consti­tue une impor­tante avan­cée car il est indis­pen­sable de résoudre dura­ble­ment la ques­tion du régime appli­cable aux données concer­nant les personnes morales.

Le Conseil fédé­ral a choisi d’aligner au maxi­mum l’AP-LOGA sur les dispo­si­tions appli­cables en matière de données person­nelles. D’une part, l’AP-LOGA se calque sur la LPD tout en l’adaptant à la situa­tion des personnes morales. D’autre part, les dispo­si­tions spéciales appli­cables aux données person­nelles sont suscep­tibles d’être appli­quées aux données concer­nant les personnes morales par l’intermédiaire de l’art. 57s^bis AP-LOGA.

Ce procédé a pour avan­tage de ne pas (trop) déso­rien­ter les organes fédé­raux ou les prati­ciens, puisqu’ils sont fami­liers du droit des données person­nelles. Il ne sera toute­fois pas aisé de jongler entre l’AP-LOGA, les dispo­si­tions rela­tives aux données concer­nant les personnes morales et les dispo­si­tions spéciales rela­tives aux données person­nelles. En parti­cu­lier, le renvoi de l’art. 57s^bis al. 1 AP-LOGA aux dispo­si­tions spéciales sur les données person­nelles peut soule­ver des ques­tions. En effet, l’avant-projet n’indique pas s’il est possible de recou­rir aux dispo­si­tions sur la protec­tion des données person­nelles si l’acte légis­la­tif spécial contient certes des dispo­si­tions sur la protec­tion des données concer­nant les personnes morales, mais que celles-ci ne répondent pas à la ques­tion posée.

Il aurait été possible de simpli­fier l’avant-projet en repre­nant le système préva­lant sous l’ancien droit (cpr. art. 16 ss aLPD), c’est-à-dire en éten­dant l’application des dispo­si­tions pour le trai­te­ment de données person­nelles par les organes fédé­raux (art. 33 ss LPD) aux personnes morales tout en procé­dant éven­tuel­le­ment aux adap­ta­tions nécessaires.