Protection des données
Protection des données : l’Europe va de l’avant
2 octobre 2018 upsa-agvs.ch – Vendredi dernier, la session d’automne des Chambres fédérales touchait à sa fin et la révision de la loi sur la protection des données faisait partie des thèmes abordés. Le Conseil national et le Conseil des États ont scindé ce travail en deux étapes.
sco. Il suffit de regarder la législation actuelle pour voir que cette révision arrive avec beaucoup de retard. Elle date de 1993, quand Internet en était à ses balbutiements. Aujourd’hui, la protection des données doit prendre en compte les évolutions technologiques et économiques, et les données personnelles des citoyens et citoyennes suisses doivent être mieux protégées. Concrètement, les entreprises qui collectent des données devront en informer les personnes concernées à l’avenir. Les entreprises et les sites Internet doivent collecter uniquement les données dont ils ont besoin pour adapter les services qu’ils proposent et doivent obtenir de l’utilisateur un consentement explicite pour pouvoir traiter ses données.
Nouveau droit de l’UE depuis le mois de mai
Depuis fin mai, une nouvelle loi sur la protection des données est en vigueur dans l’UE : c’est le Règlement général sur la protection des données (RGPD). Il est plus complet et a plus de poids. C’est la raison pour laquelle, ces derniers mois, nous avons tous reçu de nombreux e-mails nous demandant d’accepter les nouvelles conditions générales. Si la Suisse veut maintenir son statut d’État tiers par rapport à l’UE par un « niveau convenable de protection des données », elle doit lui emboiter le pas et appliquer sous peu la directive européenne 2016/680 issue des accords Schengen. Sans cela, toute transmission des données au-delà de ses frontières sera difficile et les conséquences négatives sur son économie sont évidentes.
Lors de leur session d’automne, le Conseil national et le Conseil des États ont décidé de diviser le projet de loi en deux parties, la première consistant à adapter les dispositions pertinentes au sens des accords Schengen. Dans le fond, il s’agit de protéger les données personnelles en matière de droit pénal.
Des questions complexes également pour la branche automobile
Cette répartition du travail permettra de réussir la révision totale de la loi sans être pris par le temps. La révision concerne aussi la branche automobile et contient quelques questions épineuses. Par exemple, sur un GPS à bord d’un véhicule, le fabricant doit exposer en détail quelles données seront collectées et dans quel but mais également où et combien de temps elles seront enregistrées. L’utilisateur a cependant toujours la possibilité de revenir sur sa décision même si, la plupart du temps, cela s’accompagne d’une réduction des services accessibles. Dans certains cas, cela implique même la fin des rapports commerciaux, comme par exemple si le GPS n’est plus autorisé à mémoriser le domicile de l’utilisateur.
Le dernier jour de la session d’automne, le Conseil national et le Conseil des États ont très clairement approuvé l’application de la directive européenne 2016/680 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en lien avec des infractions pénales ou l’exécution de sanctions pénales ». À 182 voix pour et 11 contre au sein du Conseil national, et à 45 pour et 0 contre au sein du Conseil des États. Enfin, la révision totale devrait même être à l’ordre du jour de la session d’hiver dès le 26 novembre, l’objectif du Parlement étant d’avoir terminé en 2019 les délibérations sur la loi sur la protection des données.
sco. Il suffit de regarder la législation actuelle pour voir que cette révision arrive avec beaucoup de retard. Elle date de 1993, quand Internet en était à ses balbutiements. Aujourd’hui, la protection des données doit prendre en compte les évolutions technologiques et économiques, et les données personnelles des citoyens et citoyennes suisses doivent être mieux protégées. Concrètement, les entreprises qui collectent des données devront en informer les personnes concernées à l’avenir. Les entreprises et les sites Internet doivent collecter uniquement les données dont ils ont besoin pour adapter les services qu’ils proposent et doivent obtenir de l’utilisateur un consentement explicite pour pouvoir traiter ses données.
Nouveau droit de l’UE depuis le mois de mai
Depuis fin mai, une nouvelle loi sur la protection des données est en vigueur dans l’UE : c’est le Règlement général sur la protection des données (RGPD). Il est plus complet et a plus de poids. C’est la raison pour laquelle, ces derniers mois, nous avons tous reçu de nombreux e-mails nous demandant d’accepter les nouvelles conditions générales. Si la Suisse veut maintenir son statut d’État tiers par rapport à l’UE par un « niveau convenable de protection des données », elle doit lui emboiter le pas et appliquer sous peu la directive européenne 2016/680 issue des accords Schengen. Sans cela, toute transmission des données au-delà de ses frontières sera difficile et les conséquences négatives sur son économie sont évidentes.
Lors de leur session d’automne, le Conseil national et le Conseil des États ont décidé de diviser le projet de loi en deux parties, la première consistant à adapter les dispositions pertinentes au sens des accords Schengen. Dans le fond, il s’agit de protéger les données personnelles en matière de droit pénal.
Des questions complexes également pour la branche automobile
Cette répartition du travail permettra de réussir la révision totale de la loi sans être pris par le temps. La révision concerne aussi la branche automobile et contient quelques questions épineuses. Par exemple, sur un GPS à bord d’un véhicule, le fabricant doit exposer en détail quelles données seront collectées et dans quel but mais également où et combien de temps elles seront enregistrées. L’utilisateur a cependant toujours la possibilité de revenir sur sa décision même si, la plupart du temps, cela s’accompagne d’une réduction des services accessibles. Dans certains cas, cela implique même la fin des rapports commerciaux, comme par exemple si le GPS n’est plus autorisé à mémoriser le domicile de l’utilisateur.
Le dernier jour de la session d’automne, le Conseil national et le Conseil des États ont très clairement approuvé l’application de la directive européenne 2016/680 « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en lien avec des infractions pénales ou l’exécution de sanctions pénales ». À 182 voix pour et 11 contre au sein du Conseil national, et à 45 pour et 0 contre au sein du Conseil des États. Enfin, la révision totale devrait même être à l’ordre du jour de la session d’hiver dès le 26 novembre, l’objectif du Parlement étant d’avoir terminé en 2019 les délibérations sur la loi sur la protection des données.