François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

RGPD : le Conseil fédéral donne son opinion

06/03/2018 7 Min. lecture Droit François Charlet

En décembre 2017, Fiala Doris, conseillère nationale PLR, a déposé une interpellation intéressante au sujet du RGPD. Celle-ci contenait neuf questions à l’attention du Conseil fédéral relativement à la mise en œuvre concrète du RGPD en Suisse. Elles apportent quelques réponses et développements suite aux informations données fin 2017 par le Préposé fédéral à la protection des données (PFPDT).

En effet, et pour rappel, le RGPD n’est applicable aux entreprises sises en Suisse que dans les deux cas suivants :

  • lorsque les activités de traitement sont liées à l’offre de biens ou de services à des personnes dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
  • lorsque les activités de traitement sont liées au suivi du comportement des personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Le considérant 23 du RGPD indique notamment à ce sujet que

[Pour] déterminer si un […] responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l’Union, il y a lieu d’établir s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir des services à des personnes concernées dans un ou plusieurs États membres de l’Union.

Le considérant 24 du RGPD précise que le suivi du comportement désigne

[le cas où] les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.

Les questions et les réponses du gouvernement

1. L’UE continuera-t-elle de reconnaitre l’équivalence de la législation suisse en matière de protection des données ?

Le maintien de la décision d’adéquation de l’UE est une des priorités du Conseil fédéral. […] Il n’est, à l’heure actuelle, pas possible de prévoir quand la Commission européenne procèdera à une nouvelle évaluation du droit suisse de la protection des données, ni s’il en découlera un résultat positif. Si la Suisse veut conserver sa décision d’adéquation, elle doit offrir un niveau de protection comparable à l’UE. Le résultat de l’évaluation dépendra en grande partie des décisions du Parlement dans le cadre de la révision de la législation suisse en matière de protection des données.

Étant donné que la CIP-N a décidé de scinder le projet et de procéder à son examen en deux temps (voir ch. 9 ci-dessous) des retards sont probables. Si, lors de sa prochaine évaluation, la Commission européenne arrive à la conclusion que la législation helvétique n’offre plus un niveau de protection adéquat - parce que la LPD n’a pas encore été révisée - elle pourra révoquer, modifier ou suspendre sa décision. L’économie, et en particulier les PME, s’en trouverait pénalisées. Les données personnelles en provenance de l’UE ne pourraient plus être transférées sans autre en Suisse et des garanties supplémentaires devraient être prévues. Ainsi, les entreprises suisses devraient s’engager contractuellement à l’égard des entreprises de l’UE à respecter le niveau de protection européen.

2. Quel est l’interlocuteur des entreprises suisses (par ex. en matière d’obligation d’informer) en ce qui concerne le RGPD et la nouvelle loi sur la protection des données (p-LPD) ? Est-ce le PFPDT, un organe de l’UE, voire les deux ?

Chaque autorité appliquera son propre droit. Lorsque le responsable du traitement estime être soumis tant à la LPD qu’au RGPD, il s’annoncera au préposé et à l’autorité de contrôle étrangère compétente.

3. Est-ce un organe suisse qui est compétent pour enquêter sur des entreprises suisses et, le cas échéant, leur imposer des sanctions ? Selon quelles modalités et quel est cet organe ?

Une enquête et le prononcé de sanctions contre une entreprise sise en Suisse, mais soumise au RGPD seront de la compétence des autorités de contrôle des États membres de l’UE. Sans accord de coopération, ces dernières ne pourront toutefois pas effectuer des actes d’enquêtes par elles-mêmes en Suisse. Lorsque l’entreprise est tenue de désigner un représentant dans l’UE (art. 27 RGPD), les autorités de contrôle européennes pourront notifier leurs décisions à l’entreprise suisse par le biais de ce représentant, sans passer par la voie diplomatique.

4. Une entreprise peut-elle être sanctionnée deux fois pour une même infraction, une fois par la Suisse et une fois par l’UE ?

Cette hypothèse n’est pas exclue. Le principe ne bis in idem (interdiction de la double incrimination) pourrait cependant entrer en ligne de compte s’agissant d’un concours entre des amendes administratives de l’UE et des sanctions pénales des autorités de poursuite pénale en Suisse.

5. Une entreprise peut-elle être sanctionnée par l’UE ou par un de ses États membres même si elle se conforme au droit suisse ?

Oui, si elles sont soumises au RGPD et qu’elles y contreviennent.

6. Les certifications et les organismes de certification suisses sont-ils reconnus par l’UE ?

Le RGPD ne prévoit pas de procédure de reconnaissance de la part de l’UE concernant des certifications et des organismes de certification suisses.

7. La Suisse est-elle associée à l’élaboration des normes ?

Le RGPD ne contient aucune disposition prévoyant une telle association. Il n’est toutefois pas exclu que des entreprises suisses puissent être impliquées, par exemple dans le cadre de l’élaboration de codes de conduites.

8. Plusieurs dispositions du RGPD renvoient à la législation des États membres. Quel rôle joue le droit suisse à cet égard ?

La Suisse n’est pas un État membre au sens du RGPD, et ce indépendamment du fait que cet acte puisse s’appliquer à des entreprises suisses en vertu de son art. 3, al. 2. Les renvois à la législation des États membres ne visent ainsi pas le droit suisse, qui ne joue dès lors aucun rôle.

9. Quelles démarches le Conseil fédéral entend-il prendre pour pallier le manque de coordination aussi rapidement que possible par la voie d’accords internationaux ?

[…] le Conseil fédéral avait estimé opportun d’attendre le début des travaux parlementaires. Il avait envisagé une première prise de contact avec la Commission européenne début 2018. Compte tenu toutefois de la décision de la CIP-N du 11 janvier dernier de traiter en priorité les modifications législatives nécessaires à la mise en œuvre de l’acquis de Schengen, et de traiter les modifications visant à se rapprocher des exigences du RGPD dans un deuxième temps, le Conseil fédéral entend suspendre ses démarches pour l’instant.

Commentaire

La réponse donnée à la question 1 correspond aux réactions (inquiètes) des professionnels de la protection des données à l’annonce de la CIP-N de reporter à plus tard l’examen de la révision totale de la LPD. La réponse à la question 2 n’appelle pas de commentaire particulier.

La réponse 3 rappelle que la Suisse n’est pas un État membre de l’UE et que les autorités de celle-ci, au même titre que les autorités des États membres, ne peuvent pas procéder à des actes d’enquêtes sur territoire helvétique. Une entraide administrative sera cependant possible. Il est ainsi envisageable que le PFPDT (ou une autre autorité fédérale) procède sur délégation aux mesures d’enquête.

La réponse à la question 4 amène une interrogation. Si le principe ne bis in idem (pas de double condamnation pour une seule infraction) est applicable, laquelle des deux sanctions sera retenue ? Celle prononcée par une autorité européenne, ou celle du PFPDT (ou d’un juge suisse) ? Je vois mal les autorités européennes renoncer aux sanctions du RGPD pour laisser le droit suisse sanctionner une entreprise, en particulier puisque la quotité des sanctions est sans commune mesure (CHF 250'000 d’amende au maximum selon le projet de nouvelle LPD ; 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial).

La réponse 5 sonne comme une évidence : respecter le droit suisse ne sera pas suffisant pour se considérer conforme au RGPD. Les réponses suivantes n’appellent pas non plus de commentaire.