Loi sur la protection des données
La loi sur la protection des données enfin examinée par les chambres fédérales
26 septembre 2019 upsa-agvs.ch – 260 pages arides d’un texte de loi ainsi que d’innombrables propositions : le Conseil national examine la loi suisse sur la protection des données entièrement révisée, puis ce sera au tour du Conseil des États. L’UPSA s’engage en faveur d’une loi qui soit compatible avec l’économie et qui puisse être mise en œuvre par la branche. Olivia Solari, juriste auprès de l’UPSA, prend position.
sco. Madame Solari, le projet de révision totale de la loi sur la protection des données est enfin disponible. L’UPSA en est-elle satisfaite ?
Olivia Solari: Dans sa prise de position sur l’avant-projet, l’UPSA avait déjà exprimé clairement son avis qu’une réglementation au-delà du but poursuivi n’était pas indiquée. Le message adopté par le Conseil fédéral contenait notamment des obligations d’informer et d’agir pour nos membres qui, de l’avis de l’UPSA, entraînent un excès de bureaucratie pour les entreprises. Certaines exceptions ont désormais été ajoutées à la proposition. Il est toutefois impossible de savoir si le Parlement les adoptera et comment.
Après le Conseil national, le Conseil des États examinera lui aussi le projet de loi. Êtes-vous en mesure de prédire quand nous aurons une nouvelle LPD ?
L’affaire est très complexe et âprement contestée. La Commission des institutions politiques du Conseil national (CIP-N) n’a adopté la proposition que grâce au vote décisif du président alors qu’elle se trouvait dans une impasse. La Commission a formulé de nombreuses propositions de modifications, ce qui devrait donner matière à débat dans les chambres fédérales. Nous pensons que le texte n’entrera pas en vigueur avant la mi-2021, soit trois ans après la date prévue initialement.
Ce projet complexe concerne aussi les garagistes suisses. Comment le garagiste est-il censé s’y retrouver dans cette jungle juridique ?
La loi existante sur la protection des données s’applique encore. Il n’est donc pas urgent d’agir. Reste que la loi viendra et plus tôt nous nous y préparerons, mieux ce sera. Je conseille à nos membres de bien étudier les cinq pages de notre analyse ; en cas de question, le service juridique de l’UPSA se tient volontiers à leur disposition pour y répondre. En outre, je recommande à nos membres d’examiner dès maintenant la question, entre autres, de savoir si leurs processus internes incluent bien toutes les autorisations requises.
Le projet évoque un code de conduite spécifique à la branche permettant d’élaborer des règles adaptées pour l’ensemble d’une branche. Cela pourrait simplifier considérablement les choses pour toute entreprise commerciale. L’UPSA rédigera-t-elle un tel code pour ses membres ?
Sur cette affaire, nous collaborons étroitement avec l’Association suisse des sociétés de leasing (ASSL). Il existe en réalité un tel projet qui est en train d’être remanié. Nous ne manquerons pas de tenir nos membres au courant.
Pourquoi est-il nécessaire de soumettre la loi sur la protection des données à une révision totale ?
Au sein de l’UE, le Conseil de l’Europe révise la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention no 108), que la Suisse a ratifiée. Le Conseil fédéral estime que l’absence de ratification de cette convention aurait des conséquences négatives considérables sur le flux transfrontalier de données pour la Suisse. En révisant sa loi fédérale sur la protection des données, la Suisse se rapproche des règles de l’UE, ce qui permet de garantir que la Commission européenne juge suffisante la protection des données en Suisse. Cette approche est nécessaire pour que les entreprises suisses puissent continuer à échanger librement des données avec les pays de l’UE à l’avenir.
Concrètement, qu’est-ce qui change avec la nouvelle loi ? De quoi le garagiste doit-il tenir compte dans son travail quotidien ?
La LPD entièrement révisée aurait dû entrer en vigueur en 2018 à l’origine. Suite aux longues discussions au sein des commissions, l’entrée en vigueur pourrait bien être repoussée à 2021 ou à 2022. Cela signifie que nos membres devront déjà bientôt se poser plus de questions lorsqu’ils traiteront des données : « Ai-je le droit d’utiliser ces données et de les transmettre à un tiers, et est-ce que je sais ce que celui-ci en fera ? » La version actuelle de la LPD prévoit déjà une protection complète des données personnelles. Ce qui changera fortement, ce sont les amendes en cas d’infraction.
Le projet prévoit des amendes d’un montant maximum de 250 000 francs en cas de violation de la LPD. Le garagiste doit-il se préparer à être impliqué dans des litiges compromettant son existence ?
Le projet conserve en réalité le système très critiqué de sanctions pénales assorties d’amendes pouvant atteindre 250 000 francs. Deux propositions minoritaires cherchent même à durcir significativement les amendes, ce que l’UPSA rejette avec force. D’après le message concernant le présent projet de loi, l’inquiétude exprimée lors de la consultation selon laquelle n’importe quel employé d’une entreprise s’exposerait ainsi à des sanctions pénales n’est pas fondée. Il s’agit ici d’obligations relevant du droit administratif, qui sont assurées par l’application du droit pénal administratif. Les éventuelles violations des textes seront imputées aux personnes physiques responsables. Une amende de 250 000 francs pourrait donc en effet menacer l’existence même d’un garagiste.
Le projet sera maintenant examiné lors de la session d’automne du Conseil national. La CIP-N a formulé de très nombreuses propositions de modifications (propositions de la majorité et de la minorité) si bien que le dépliant comprend maintenant plus de 260 pages qui doivent être débattues. Avec les associations économiques et son partenaire dans le cadre de ce projet, l’Association Suisse des Sociétés de Leasing ASSL, l’UPSA luttera pour que la loi puisse effectivement être délibérée et n’échoue pas au vote final. En effet, les incertitudes liées à la bonne conception des futurs processus de protection des données dans les entreprises paralysent beaucoup de projets et d'entreprises.
Le Conseil national sera la première chambre à débattre sur le projet qui sera ensuite soumis au Conseil des États pour délibération.
Par conséquent, une entrée en vigueur en Suisse de la loi sur la protection des données totalement révisée n’est actuellement pas attendue avant la mi-2021 voire plutôt la fin 2021.
Contenus
En termes de contenu, nous continuons à intervenir en premier lieu sur les thèmes prioritaires définis au début du processus législatif et que nous aimerions brièvement rappeler à cette occasion. Nous allons bien évidemment aussi continuer à observer et à accompagner les autres éléments de la législation.
1. Pas de protection des données pour les données de personnes morales
Le projet de nouvelle loi sur la protection des données renonce à la protection des données des personnes morales. Une minorité de la CIP-N veut cependant réinstaurer cette protection. L’UPSA estime que cette proposition de la minorité doit être rejetée car la protection des données de personnes morales revêt d’ores et déjà aujourd’hui une importance factuelle moindre et empêche souvent la communication de données à l’étranger. De plus, l’UE-RGPD et la convention du Conseil de l'Europe ne prévoient pas non plus de protection des données des personnes morales. Par conséquent, renoncer à une telle disposition n’entraîne pas en Suisse un niveau de protection des données faibles sans équivalent.
2. Profilage
Le terme proposé de « profilage » vise à analyser certaines caractéristiques d’une personne sur la base de données personnelles traitées de façon automatisée, en particulier dans un but d’analyse ou d’anticipation de la prestation de travail, des conditions économiques, de la santé, du comportement, des préférences, du lieu de séjour ou de la mobilité. Selon le message, cela inclut toute analyse de données personnelles réalisée à l’aide de techniques d’analyse informatiques.
Le projet tient compte de la limitation des activités électroniques et automatisées demandée par l’UPSA et de nombreux autres participants à la consultation. Cela correspond à la proposition de la majorité de la CIP-N. Le profilage fait l’objet de nombreuses dispositions légales. L’UPSA et l’ASSL estiment qu’un traitement trop strict n’est pas justifié et doit être combattu car le profilage peut avoir aussi un intérêt positif pour les consommateurs et les consommatrices (par exemple surveillance du trafic des paiements sur la base du comportement typique du client pour éviter la fraude).
3. Option d’un code de conduite spécifique à la branche
Les associations professionnelles et économiques doivent avoir la possibilité de présenter au préposé fédéral à la protection des données un code de conduite élaboré par leurs soins. Le préposé à la protection des données prend position sur ce code et publie sa prise de position. C’est une nouveauté par rapport à l’avant-projet.
La possibilité d’élaborer un code de ce type offre une chance considérable aux membres de l’UPSA et de l’ASSL et permet aux deux associations d’édicter des règles adaptées à leur propre branche. Bien qu’une prise de position favorable du préposé à la protection des données ne confère aucun droit, on peut néanmoins généralement partir du principe qu’un comportement conforme au code de conduite ne donnera pas lieu à des mesures administratives. C’est en tout cas l’avis qu’exprime le Conseil fédéral dans son message. L’observation d’un code de conduite apporterait en outre des allègements concernant l’analyse de l’impact de la protection des données personnelles (voir ci-dessous).
4. Conseiller volontaire à la protection des données
La présence d’un conseiller (interne) à la protection des données est déjà prévue dans la LPD actuelle. Il s’agit d’une personne nommée par le responsable, chargée au premier chef de surveiller la bonne application des prescriptions sur la protection des données et de conseiller les responsables concernés par les questions relatives à cette protection. Le projet ne prévoit pas d’obligation de désigner un tel conseiller, mais permet aux responsables, en désignant et en consultant un conseiller à la protection des données sur les questions d’évaluation des conséquences des mesures de protection des données, de renoncer à consulter le préposé fédéral à la protection des données.
Cependant, une minorité de la CIP-N estime qu’il faut supprimer les allègements décrits pour les entreprises nommant un tel responsable ce qui est à rejeter.
5. Obligations de déclaration
Le projet prévoit une nette extension du devoir d’informer par rapport au droit en vigueur et ce, en principe, pour toute collecte de données. Cela signifie que la personne concernée doit en principe systématiquement être informée lorsque des données la concernant sont collectées. Cette règle s’applique expressément aussi lorsque les données ne sont pas collectées auprès de la personne concernée elle-même. Le projet prévoit que toute violation intentionnelle du devoir d’informer entraîne des sanctions pénales (voir ci-dessous).
Le message précise, concernant le devoir d’informer, qu’une information d’ordre général devrait suffire si les données personnelles ont été collectées auprès de la personne concernée elle-même. À titre d’exemples sont mentionnés la déclaration de protection des données sur un site Internet de même que des symboles et pictogrammes, dans la mesure où ils fournissent les informations nécessaires.
Le projet prévoit par ailleurs certaines dispositions exceptionnelles selon lesquelles le responsable peut renoncer à l’information. Dans ce contexte, une majorité de la CIP-N a formulé d’autres exceptions qui ne sont cependant pas sans poser problème au vu du respect de la convention 108+ ratifiée par la Suisse. Il faut attendre de voir dans quel sens ira le Parlement.
6. Décision individuelle automatisée : maintien des devoirs d’informer et de consulter
6.1. Définition
Le projet prévoit, en cas de décision individuelle automatisée, une obligation d’informer et d’entendre la personne concernée. Une décision individuelle automatisée est (i) une appréciation et une décision sur le fond de certains faits, sans l’intervention d’une personne physique ([ii] y compris le profilage), (iii) qui entraîne des effets juridiques pour la personne concernée ou qui l’affecte de manière significative.
(I) Il est également déterminant, selon le message, de savoir dans quelle mesure une personne physique est autorisée à effectuer un contrôle sur le fond et à prendre, sur cette base, une décision finale qui diverge éventuellement du résultat automatisé. Ainsi, on peut être en présence d’une décision individuelle automatisée même si, après avoir été prise, la décision est communiquée par une personne physique qui ne peut plus influer sur la décision prise automatiquement. Le message indique qu’on est en présence d’une décision individuelle automatisée seulement lorsque cette décision présente une certaine complexité. Les décisions prises systématiquement dans une certaine situation ne sont pas concernées. Est cité en exemple d’une telle décision systématique un retrait au distributeur de billets qui délivre l’argent à condition que le solde du compte soit suffisant. Étant donné que toute décision automatique repose en réalité sur une (et souvent plusieurs) décision prise systématiquement dans une certaine situation, le champ d’application de cette règle reste relativement peu clair. Toutefois, le message mentionne le contrôle de solvabilité comme cas d’application possible de décisions individuelles automatisées.
(ii) Le profilage est également concerné dans le cas où sa décision entraînerait des effets juridiques pour la personne concernée ou lui porterait fortement atteinte. Le message cite en exemple le cas où la personne concernée ne peut pas conclure de contrat de crédit uniquement du fait qu’elle présente un bilan de crédit négatif. Une majorité de la CIP-N veut certes supprimer la notion de profilage mais cela ne changera rien selon nous à la situation juridique. Il s’agit seulement d’un nom donné à titre d’exemple. Tous les traitements automatisés sont saisis et restent.
(iii) Par ailleurs, les termes « effets juridiques » et « affecte de manière significative » sont porteurs d’insécurité juridique. Toujours selon le message, la décision est liée à des effets juridiques dès lors qu’elle exerce des conséquences directes, juridiquement prévisibles, pour la personne concernée. Ceci est le cas dans le domaine du droit privé, notamment lors de la conclusion ou de la résiliation d’un contrat, mais pas en cas de renonciation à conclure un contrat. La personne concernée est ainsi affectée de manière significative lorsqu’elle est durablement entravée, par ex. sur le plan économique ou personnel. Les circonstances concrètes du cas particulier sont déterminantes. Ainsi, la personne concernée peut aussi être affectée de manière significative par la non-conclusion d’un contrat, selon les effets concrets qui en résultent.
6.2. Devoir d’informer et d’entendre
La personne concernée doit, sur demande, avoir la possibilité d’exposer son point de vue. Elle peut exiger que la décision prise de façon automatique soit contrôlée par une personne physique. L’audition peut avoir lieu avant ou après la décision.
6.3. Exceptions
Le devoir d’informer et d’entendre ne s’applique pas lorsque (i) la décision se trouve en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable et la personne concernée, et que la demande de cette dernière est satisfaite ou lorsque (ii) la personne concernée a expressément accepté que la prise de décision soit automatisée.
(i) Selon les termes du message, une demande de la personne concernée est satisfaite lorsque le contrat est conclu exactement aux conditions qui figurent sur le devis, par exemple, ou que la personne concernée avait demandées. Ainsi, sa demande est satisfaite, par exemple, lorsqu’un contrat de leasing est conclu au taux d’intérêt indiqué dans l’offre. Il en va autrement lorsqu’un contrat de leasing a été conclu, mais que le taux d’intérêt indiqué dans l’offre a été revu avec des conditions moins avantageuses en raison d’une mauvaise notation de crédit de la personne concernée. Ce qui est déterminant dans ce cas est de savoir si la demande de la personne concernée a été satisfaite dans son ensemble. Il n’est pas suffisant que sa demande ait été satisfaite pour certains éléments seulement.
(Ii) Le devoir d’informer et d’entendre la personne concernée ne s’applique pas non plus lorsque celle-ci a expressément consenti à ce que la décision soit prise de façon automatisée. Le message précise que cette exception est logique étant donné que la personne concernée doit avoir été informée avant de donner son consentement juridiquement valable.
La disposition de l’avant-projet selon laquelle le devoir d’informer et d’entendre la personne concernée ne s’applique pas lorsqu’une loi prévoit une décision individuelle automatisée a été supprimée du projet. Selon la majorité de la CIP-N, cette disposition doit être réintégrée dans la loi.
6.4. Devoir de fournir des renseignements
Le projet prévoit désormais que, le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle elle se fonde doivent être communiquées à la personne concernée. Le message précise qu’il n’est pas nécessaire de révéler les algorithmes à la base de la décision, qui relèvent souvent du secret d’affaires, mais plutôt les hypothèses de base qui sous-tendent la logique algorithmique sur laquelle repose la décision individuelle automatisée. Cela signifie, par exemple, que la personne concernée doit être informée du fait que, en raison du résultat négatif de son bilan de crédit, les conditions qui lui sont proposées pour conclure un contrat sont moins favorables qu’annoncé initialement. La quantité et la nature des données à la base de cet examen de même que leur pondération respective doivent en outre être précisées. Cette règle n’empêche ainsi toujours pas d’empiéter sur des secrets d’affaires pertinents.
7. Analyse de l’impact de la protection des données personnelles
En introduisant cette obligation légale, le projet prévoit une protection des données dès la phase de planification d’un traitement. La personne responsable établit au préalable une analyse de ce type si le traitement des données présente vraisemblablement un risque important pour la personnalité ou les droits fondamentaux de la personne concernée. Si, au cours d’une analyse, un risque de ce type devait se confirmer en l’absence de mesure, il convient de faire appel au préposé fédéral à la protection des données.
Il est possible d’éviter de devoir consulter le préposé fédéral en désignant un préposé (interne) à la protection des données. Les entreprises d’une certaine taille, en particulier, devront évaluer si la désignation d’un préposé à la protection des données entre en ligne de compte. Une minorité de la CIP-N veut supprimer cet allègement ce qui est à rejeter.
L’obligation de réaliser une analyse de l’impact de la protection des données personnelles ne s’applique pas aux entreprises qui se sont soumises à une procédure de certification ou qui appliquent d’ores et déjà un code de conduite. La possibilité d’établir un code de conduite applicable à toute la branche représente également une chance considérable en ce qui concerne l’analyse de l’impact de la protection des données personnelles.
8. Sanctions
Le projet s’en tient au système des sanctions pénales, fortement critiqué. Le montant maximal des amendes infligées aux personnes physiques a baissé de CHF 500 000 à CHF 250 000 et un manquement par négligence n’est plus punissable.
Selon le message, l’inquiétude exprimée lors de la consultation que n’importe quel employé d’une entreprise s’exposerait ainsi à des sanctions pénales n’est pas fondée. En Suisse, le respect des obligations administratives est assuré par l’application du droit pénal administratif, dont les destinataires sont les personnes physiques. Le droit pénal administratif repose sur le principe selon lequel l’obligation administrative incombe à l’entreprise et que sa violation est imputée aux personnes (physiques) responsables.
Le système de sanctions reste très contesté et la présente solution n’est pas totalement satisfaisante. Vu la structure de droit pénal de la Suisse, un changement de système dans le cadre de la révision totale de la LPD semble pourtant peu réaliste. À plus long terme, il faudrait envisager une orientation du système de sanctions sur les entreprises.
Une minorité I de la CIP-N veut relever les sanctions jusqu’à CHF 20 millions ou 4 % du chiffre d’affaires annuel total réalisé dans le monde entier mais on ne sait toujours pas clairement comment calculer le « chiffre d’affaires » d’une personne physique. La minorité II veut relever les amendes à CHF 500 000. Nous estimons que les deux approches doivent être rejetées.
Restez informé et abonnez-vous à la newsletter AGVS !
sco. Madame Solari, le projet de révision totale de la loi sur la protection des données est enfin disponible. L’UPSA en est-elle satisfaite ?
Olivia Solari: Dans sa prise de position sur l’avant-projet, l’UPSA avait déjà exprimé clairement son avis qu’une réglementation au-delà du but poursuivi n’était pas indiquée. Le message adopté par le Conseil fédéral contenait notamment des obligations d’informer et d’agir pour nos membres qui, de l’avis de l’UPSA, entraînent un excès de bureaucratie pour les entreprises. Certaines exceptions ont désormais été ajoutées à la proposition. Il est toutefois impossible de savoir si le Parlement les adoptera et comment.
Après le Conseil national, le Conseil des États examinera lui aussi le projet de loi. Êtes-vous en mesure de prédire quand nous aurons une nouvelle LPD ?
L’affaire est très complexe et âprement contestée. La Commission des institutions politiques du Conseil national (CIP-N) n’a adopté la proposition que grâce au vote décisif du président alors qu’elle se trouvait dans une impasse. La Commission a formulé de nombreuses propositions de modifications, ce qui devrait donner matière à débat dans les chambres fédérales. Nous pensons que le texte n’entrera pas en vigueur avant la mi-2021, soit trois ans après la date prévue initialement.
Ce projet complexe concerne aussi les garagistes suisses. Comment le garagiste est-il censé s’y retrouver dans cette jungle juridique ?
La loi existante sur la protection des données s’applique encore. Il n’est donc pas urgent d’agir. Reste que la loi viendra et plus tôt nous nous y préparerons, mieux ce sera. Je conseille à nos membres de bien étudier les cinq pages de notre analyse ; en cas de question, le service juridique de l’UPSA se tient volontiers à leur disposition pour y répondre. En outre, je recommande à nos membres d’examiner dès maintenant la question, entre autres, de savoir si leurs processus internes incluent bien toutes les autorisations requises.
Le projet évoque un code de conduite spécifique à la branche permettant d’élaborer des règles adaptées pour l’ensemble d’une branche. Cela pourrait simplifier considérablement les choses pour toute entreprise commerciale. L’UPSA rédigera-t-elle un tel code pour ses membres ?
Sur cette affaire, nous collaborons étroitement avec l’Association suisse des sociétés de leasing (ASSL). Il existe en réalité un tel projet qui est en train d’être remanié. Nous ne manquerons pas de tenir nos membres au courant.
Pourquoi est-il nécessaire de soumettre la loi sur la protection des données à une révision totale ?
Au sein de l’UE, le Conseil de l’Europe révise la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention no 108), que la Suisse a ratifiée. Le Conseil fédéral estime que l’absence de ratification de cette convention aurait des conséquences négatives considérables sur le flux transfrontalier de données pour la Suisse. En révisant sa loi fédérale sur la protection des données, la Suisse se rapproche des règles de l’UE, ce qui permet de garantir que la Commission européenne juge suffisante la protection des données en Suisse. Cette approche est nécessaire pour que les entreprises suisses puissent continuer à échanger librement des données avec les pays de l’UE à l’avenir.
Concrètement, qu’est-ce qui change avec la nouvelle loi ? De quoi le garagiste doit-il tenir compte dans son travail quotidien ?
La LPD entièrement révisée aurait dû entrer en vigueur en 2018 à l’origine. Suite aux longues discussions au sein des commissions, l’entrée en vigueur pourrait bien être repoussée à 2021 ou à 2022. Cela signifie que nos membres devront déjà bientôt se poser plus de questions lorsqu’ils traiteront des données : « Ai-je le droit d’utiliser ces données et de les transmettre à un tiers, et est-ce que je sais ce que celui-ci en fera ? » La version actuelle de la LPD prévoit déjà une protection complète des données personnelles. Ce qui changera fortement, ce sont les amendes en cas d’infraction.
Le projet prévoit des amendes d’un montant maximum de 250 000 francs en cas de violation de la LPD. Le garagiste doit-il se préparer à être impliqué dans des litiges compromettant son existence ?
Le projet conserve en réalité le système très critiqué de sanctions pénales assorties d’amendes pouvant atteindre 250 000 francs. Deux propositions minoritaires cherchent même à durcir significativement les amendes, ce que l’UPSA rejette avec force. D’après le message concernant le présent projet de loi, l’inquiétude exprimée lors de la consultation selon laquelle n’importe quel employé d’une entreprise s’exposerait ainsi à des sanctions pénales n’est pas fondée. Il s’agit ici d’obligations relevant du droit administratif, qui sont assurées par l’application du droit pénal administratif. Les éventuelles violations des textes seront imputées aux personnes physiques responsables. Une amende de 250 000 francs pourrait donc en effet menacer l’existence même d’un garagiste.
Situation en matière de révision de la loi suisse sur la protection des données (LPD)
Les 15 et 16 août 2019, la Commission des institutions politiques du Conseil national (CIP-N) a terminé ses longues délibérations sur la loi sur la protection des données. Le projet a été adopté avec 9 voix pour, 9 voix contre, 7 abstentions et le vote final du président ce qui constitue une « alliance gauche-droite ». Tandis que le premier groupe estime semble-t-il que le projet ne va pas assez loin, le deuxième rejette le projet pour des raisons de principe et ce depuis le début des délibérations.Le projet sera maintenant examiné lors de la session d’automne du Conseil national. La CIP-N a formulé de très nombreuses propositions de modifications (propositions de la majorité et de la minorité) si bien que le dépliant comprend maintenant plus de 260 pages qui doivent être débattues. Avec les associations économiques et son partenaire dans le cadre de ce projet, l’Association Suisse des Sociétés de Leasing ASSL, l’UPSA luttera pour que la loi puisse effectivement être délibérée et n’échoue pas au vote final. En effet, les incertitudes liées à la bonne conception des futurs processus de protection des données dans les entreprises paralysent beaucoup de projets et d'entreprises.
Le Conseil national sera la première chambre à débattre sur le projet qui sera ensuite soumis au Conseil des États pour délibération.
Par conséquent, une entrée en vigueur en Suisse de la loi sur la protection des données totalement révisée n’est actuellement pas attendue avant la mi-2021 voire plutôt la fin 2021.
Contenus
En termes de contenu, nous continuons à intervenir en premier lieu sur les thèmes prioritaires définis au début du processus législatif et que nous aimerions brièvement rappeler à cette occasion. Nous allons bien évidemment aussi continuer à observer et à accompagner les autres éléments de la législation.
1. Pas de protection des données pour les données de personnes morales
Le projet de nouvelle loi sur la protection des données renonce à la protection des données des personnes morales. Une minorité de la CIP-N veut cependant réinstaurer cette protection. L’UPSA estime que cette proposition de la minorité doit être rejetée car la protection des données de personnes morales revêt d’ores et déjà aujourd’hui une importance factuelle moindre et empêche souvent la communication de données à l’étranger. De plus, l’UE-RGPD et la convention du Conseil de l'Europe ne prévoient pas non plus de protection des données des personnes morales. Par conséquent, renoncer à une telle disposition n’entraîne pas en Suisse un niveau de protection des données faibles sans équivalent.
2. Profilage
Le terme proposé de « profilage » vise à analyser certaines caractéristiques d’une personne sur la base de données personnelles traitées de façon automatisée, en particulier dans un but d’analyse ou d’anticipation de la prestation de travail, des conditions économiques, de la santé, du comportement, des préférences, du lieu de séjour ou de la mobilité. Selon le message, cela inclut toute analyse de données personnelles réalisée à l’aide de techniques d’analyse informatiques.
Le projet tient compte de la limitation des activités électroniques et automatisées demandée par l’UPSA et de nombreux autres participants à la consultation. Cela correspond à la proposition de la majorité de la CIP-N. Le profilage fait l’objet de nombreuses dispositions légales. L’UPSA et l’ASSL estiment qu’un traitement trop strict n’est pas justifié et doit être combattu car le profilage peut avoir aussi un intérêt positif pour les consommateurs et les consommatrices (par exemple surveillance du trafic des paiements sur la base du comportement typique du client pour éviter la fraude).
3. Option d’un code de conduite spécifique à la branche
Les associations professionnelles et économiques doivent avoir la possibilité de présenter au préposé fédéral à la protection des données un code de conduite élaboré par leurs soins. Le préposé à la protection des données prend position sur ce code et publie sa prise de position. C’est une nouveauté par rapport à l’avant-projet.
La possibilité d’élaborer un code de ce type offre une chance considérable aux membres de l’UPSA et de l’ASSL et permet aux deux associations d’édicter des règles adaptées à leur propre branche. Bien qu’une prise de position favorable du préposé à la protection des données ne confère aucun droit, on peut néanmoins généralement partir du principe qu’un comportement conforme au code de conduite ne donnera pas lieu à des mesures administratives. C’est en tout cas l’avis qu’exprime le Conseil fédéral dans son message. L’observation d’un code de conduite apporterait en outre des allègements concernant l’analyse de l’impact de la protection des données personnelles (voir ci-dessous).
4. Conseiller volontaire à la protection des données
La présence d’un conseiller (interne) à la protection des données est déjà prévue dans la LPD actuelle. Il s’agit d’une personne nommée par le responsable, chargée au premier chef de surveiller la bonne application des prescriptions sur la protection des données et de conseiller les responsables concernés par les questions relatives à cette protection. Le projet ne prévoit pas d’obligation de désigner un tel conseiller, mais permet aux responsables, en désignant et en consultant un conseiller à la protection des données sur les questions d’évaluation des conséquences des mesures de protection des données, de renoncer à consulter le préposé fédéral à la protection des données.
Cependant, une minorité de la CIP-N estime qu’il faut supprimer les allègements décrits pour les entreprises nommant un tel responsable ce qui est à rejeter.
5. Obligations de déclaration
Le projet prévoit une nette extension du devoir d’informer par rapport au droit en vigueur et ce, en principe, pour toute collecte de données. Cela signifie que la personne concernée doit en principe systématiquement être informée lorsque des données la concernant sont collectées. Cette règle s’applique expressément aussi lorsque les données ne sont pas collectées auprès de la personne concernée elle-même. Le projet prévoit que toute violation intentionnelle du devoir d’informer entraîne des sanctions pénales (voir ci-dessous).
Le message précise, concernant le devoir d’informer, qu’une information d’ordre général devrait suffire si les données personnelles ont été collectées auprès de la personne concernée elle-même. À titre d’exemples sont mentionnés la déclaration de protection des données sur un site Internet de même que des symboles et pictogrammes, dans la mesure où ils fournissent les informations nécessaires.
Le projet prévoit par ailleurs certaines dispositions exceptionnelles selon lesquelles le responsable peut renoncer à l’information. Dans ce contexte, une majorité de la CIP-N a formulé d’autres exceptions qui ne sont cependant pas sans poser problème au vu du respect de la convention 108+ ratifiée par la Suisse. Il faut attendre de voir dans quel sens ira le Parlement.
6. Décision individuelle automatisée : maintien des devoirs d’informer et de consulter
6.1. Définition
Le projet prévoit, en cas de décision individuelle automatisée, une obligation d’informer et d’entendre la personne concernée. Une décision individuelle automatisée est (i) une appréciation et une décision sur le fond de certains faits, sans l’intervention d’une personne physique ([ii] y compris le profilage), (iii) qui entraîne des effets juridiques pour la personne concernée ou qui l’affecte de manière significative.
(I) Il est également déterminant, selon le message, de savoir dans quelle mesure une personne physique est autorisée à effectuer un contrôle sur le fond et à prendre, sur cette base, une décision finale qui diverge éventuellement du résultat automatisé. Ainsi, on peut être en présence d’une décision individuelle automatisée même si, après avoir été prise, la décision est communiquée par une personne physique qui ne peut plus influer sur la décision prise automatiquement. Le message indique qu’on est en présence d’une décision individuelle automatisée seulement lorsque cette décision présente une certaine complexité. Les décisions prises systématiquement dans une certaine situation ne sont pas concernées. Est cité en exemple d’une telle décision systématique un retrait au distributeur de billets qui délivre l’argent à condition que le solde du compte soit suffisant. Étant donné que toute décision automatique repose en réalité sur une (et souvent plusieurs) décision prise systématiquement dans une certaine situation, le champ d’application de cette règle reste relativement peu clair. Toutefois, le message mentionne le contrôle de solvabilité comme cas d’application possible de décisions individuelles automatisées.
(ii) Le profilage est également concerné dans le cas où sa décision entraînerait des effets juridiques pour la personne concernée ou lui porterait fortement atteinte. Le message cite en exemple le cas où la personne concernée ne peut pas conclure de contrat de crédit uniquement du fait qu’elle présente un bilan de crédit négatif. Une majorité de la CIP-N veut certes supprimer la notion de profilage mais cela ne changera rien selon nous à la situation juridique. Il s’agit seulement d’un nom donné à titre d’exemple. Tous les traitements automatisés sont saisis et restent.
(iii) Par ailleurs, les termes « effets juridiques » et « affecte de manière significative » sont porteurs d’insécurité juridique. Toujours selon le message, la décision est liée à des effets juridiques dès lors qu’elle exerce des conséquences directes, juridiquement prévisibles, pour la personne concernée. Ceci est le cas dans le domaine du droit privé, notamment lors de la conclusion ou de la résiliation d’un contrat, mais pas en cas de renonciation à conclure un contrat. La personne concernée est ainsi affectée de manière significative lorsqu’elle est durablement entravée, par ex. sur le plan économique ou personnel. Les circonstances concrètes du cas particulier sont déterminantes. Ainsi, la personne concernée peut aussi être affectée de manière significative par la non-conclusion d’un contrat, selon les effets concrets qui en résultent.
6.2. Devoir d’informer et d’entendre
La personne concernée doit, sur demande, avoir la possibilité d’exposer son point de vue. Elle peut exiger que la décision prise de façon automatique soit contrôlée par une personne physique. L’audition peut avoir lieu avant ou après la décision.
6.3. Exceptions
Le devoir d’informer et d’entendre ne s’applique pas lorsque (i) la décision se trouve en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable et la personne concernée, et que la demande de cette dernière est satisfaite ou lorsque (ii) la personne concernée a expressément accepté que la prise de décision soit automatisée.
(i) Selon les termes du message, une demande de la personne concernée est satisfaite lorsque le contrat est conclu exactement aux conditions qui figurent sur le devis, par exemple, ou que la personne concernée avait demandées. Ainsi, sa demande est satisfaite, par exemple, lorsqu’un contrat de leasing est conclu au taux d’intérêt indiqué dans l’offre. Il en va autrement lorsqu’un contrat de leasing a été conclu, mais que le taux d’intérêt indiqué dans l’offre a été revu avec des conditions moins avantageuses en raison d’une mauvaise notation de crédit de la personne concernée. Ce qui est déterminant dans ce cas est de savoir si la demande de la personne concernée a été satisfaite dans son ensemble. Il n’est pas suffisant que sa demande ait été satisfaite pour certains éléments seulement.
(Ii) Le devoir d’informer et d’entendre la personne concernée ne s’applique pas non plus lorsque celle-ci a expressément consenti à ce que la décision soit prise de façon automatisée. Le message précise que cette exception est logique étant donné que la personne concernée doit avoir été informée avant de donner son consentement juridiquement valable.
La disposition de l’avant-projet selon laquelle le devoir d’informer et d’entendre la personne concernée ne s’applique pas lorsqu’une loi prévoit une décision individuelle automatisée a été supprimée du projet. Selon la majorité de la CIP-N, cette disposition doit être réintégrée dans la loi.
6.4. Devoir de fournir des renseignements
Le projet prévoit désormais que, le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle elle se fonde doivent être communiquées à la personne concernée. Le message précise qu’il n’est pas nécessaire de révéler les algorithmes à la base de la décision, qui relèvent souvent du secret d’affaires, mais plutôt les hypothèses de base qui sous-tendent la logique algorithmique sur laquelle repose la décision individuelle automatisée. Cela signifie, par exemple, que la personne concernée doit être informée du fait que, en raison du résultat négatif de son bilan de crédit, les conditions qui lui sont proposées pour conclure un contrat sont moins favorables qu’annoncé initialement. La quantité et la nature des données à la base de cet examen de même que leur pondération respective doivent en outre être précisées. Cette règle n’empêche ainsi toujours pas d’empiéter sur des secrets d’affaires pertinents.
7. Analyse de l’impact de la protection des données personnelles
En introduisant cette obligation légale, le projet prévoit une protection des données dès la phase de planification d’un traitement. La personne responsable établit au préalable une analyse de ce type si le traitement des données présente vraisemblablement un risque important pour la personnalité ou les droits fondamentaux de la personne concernée. Si, au cours d’une analyse, un risque de ce type devait se confirmer en l’absence de mesure, il convient de faire appel au préposé fédéral à la protection des données.
Il est possible d’éviter de devoir consulter le préposé fédéral en désignant un préposé (interne) à la protection des données. Les entreprises d’une certaine taille, en particulier, devront évaluer si la désignation d’un préposé à la protection des données entre en ligne de compte. Une minorité de la CIP-N veut supprimer cet allègement ce qui est à rejeter.
L’obligation de réaliser une analyse de l’impact de la protection des données personnelles ne s’applique pas aux entreprises qui se sont soumises à une procédure de certification ou qui appliquent d’ores et déjà un code de conduite. La possibilité d’établir un code de conduite applicable à toute la branche représente également une chance considérable en ce qui concerne l’analyse de l’impact de la protection des données personnelles.
8. Sanctions
Le projet s’en tient au système des sanctions pénales, fortement critiqué. Le montant maximal des amendes infligées aux personnes physiques a baissé de CHF 500 000 à CHF 250 000 et un manquement par négligence n’est plus punissable.
Selon le message, l’inquiétude exprimée lors de la consultation que n’importe quel employé d’une entreprise s’exposerait ainsi à des sanctions pénales n’est pas fondée. En Suisse, le respect des obligations administratives est assuré par l’application du droit pénal administratif, dont les destinataires sont les personnes physiques. Le droit pénal administratif repose sur le principe selon lequel l’obligation administrative incombe à l’entreprise et que sa violation est imputée aux personnes (physiques) responsables.
Le système de sanctions reste très contesté et la présente solution n’est pas totalement satisfaisante. Vu la structure de droit pénal de la Suisse, un changement de système dans le cadre de la révision totale de la LPD semble pourtant peu réaliste. À plus long terme, il faudrait envisager une orientation du système de sanctions sur les entreprises.
Une minorité I de la CIP-N veut relever les sanctions jusqu’à CHF 20 millions ou 4 % du chiffre d’affaires annuel total réalisé dans le monde entier mais on ne sait toujours pas clairement comment calculer le « chiffre d’affaires » d’une personne physique. La minorité II veut relever les amendes à CHF 500 000. Nous estimons que les deux approches doivent être rejetées.
Ajouter un commentaire
Commentaires