La nouvelle LPD arrive, voici ce qui va changer pour les citoyens et les entreprises
Enfin.
“Enfin !” devrais-je m’écrier. Pourtant, j’éprouve un léger sentiment d’amertume face à cette nouvelle loi fédérale sur la protection des données (LPD).
Alors que le projet du Conseil fédéral avait tout (ou presque) pour garantir que la Suisse conserve l’adéquation européenne, pour calquer le niveau de protection suisse à celui de l’Union européenne, pour mieux protéger les citoyens contre les abus et pour responsabiliser davantage les entreprises et l’Etat, le Parlement fédéral a décidé qu’il ne fallait pas qu’on protège mieux les citoyens demain qu’aujourd’hui. Les propos que Damien Cottier, élu PLR, a tenus au Conseil national le 24 septembre 2020 concernant le profilage relèvent de la science-fiction.
Vous vous souvenez que le Conseil national craignait un “Swiss finish” et une règlementation plus restrictive que la situation actuelle avec cette norme, et plus restrictive également que ce que n’impose la règlementation européenne. A l’inverse, une minorité du Conseil national et le Conseil des Etats craignaient que sans cette disposition la situation et la protection des personnes ne soient moins bonnes après qu’avant, c’est-à-dire qu’elles soient moins bonnes avec la nouvelle loi qu’avec la loi actuelle et la définition du profil de personnalité qui y figure. Devant les assurances du Conseil fédéral, de l’administration et du Préposé fédéral à la protection des données que la version du Conseil des Etats n’impliquait pas une complication des procédures ni une augmentation de la protection par rapport à la situation actuelle et à l’application qui est faite de la jurisprudence dite “Moneyhouse”, la Conférence de conciliation a accepté de se rallier à la version du Conseil des Etats.
Ainsi, après trois années de discussions et d’élimination des divergences entre les deux Conseils, le Parlement a péniblement expulsé cette nouvelle LPD après une césarienne d’urgence pratiquée par la conférence de conciliation. Un accouchement à la Pyrrhus, en quelque sorte.
Principaux changements
Si le résultat de tout ce processus législatif est un peu décevant, en raison notamment des partis de droite, il n’en constitue pas moins une amélioration certaine de la situation actuelle, ne serait-ce que parce qu’il permettra à la Suisse de ratifier la Convention 108 révisée.
Je vous propose ci-dessous une liste non exhaustive des changements que va apporter cette nouvelle LPD.
Le texte soumis au vote final du Parlement le 25 septembre 2020 peut être consulté ici.
Ce qui ne change pas ou peu
- Les principes généraux de la protection des données restent les mêmes.
- L’autorégulation est toujours la règle.
- Le champ d’application territorial reste le même mais il est maintenant explicitement mentionné que la LPD s’applique “aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger”.
- Alors que le RGPD exige que l’une des six bases juridiques soit présente pour rendre licite un traitement de données personnelles, la LPD continuera à reposer sur les principes de l’art. 28 du Code civil, à savoir qu’une atteinte à la personnalité n’est licite que si la loi, le consentement de la personne ou un motif justificatif l’autorise.
- L’approche de la nouvelle LPD reste “technologiquement neutre”, ce qui signifie qu’elle englobe tous les traitements de données personnelles, quel que soit le moyen technique ou technologique utilisé.
Pour les personnes concernées
- Les traitements de données mis en œuvre pour contrôler la solvabilité sont limités et ne pourront par exemple pas utiliser des données personnelles datant de plus de 10 ans.
- Les personnes concernées seront mieux informées au sujet de la collecte et des traitements de leurs données personnelles (bien que la liste des exceptions au devoir d’information soit assez longue), y compris lorsque des décisions individuelles automatisées sont prises.
- Les droits des personnes concernées ont été renforcés, en particulier le droit d’accès. Le droit à la portabilité des données fait son apparition. Le droit de rectifier les données ne change pas fondamentalement et les prétentions que la personne concernée peut faire valoir à l’encontre d’un responsable de traitement restent sensiblement similaires à la LPD actuelle.
- Les données génétiques et biométriques sont officiellement reconnues comme des données sensibles.
- Le profilage en tant qu’activité de traitement remplace le “profil de la personnalité”, et la notion de profilage à risque élevé est introduite. Celui-ci nécessitera un consentement exprès de la personne concernée.
Pour les responsables de traitement
- Les entreprises doivent prendre une approche fondée sur le risque : plus le risque pour les personnes concernées est élevé, plus les mesures de protection devront être strictes.
- Le principe de proportionnalité est expressément complété avec le concept de “proportionnalité temporelle”, autrement appelé durée de conservation des données.
- Les données personnelles des personnes morales ne sont plus protégées par la LPD. Seules celles ces personnes physiques le sont. En pratique, cela n’a pas de réelle conséquence.
- De nouvelles mesures et de nouveaux outils font leur apparition, ou sont mis au gout du jour :
- le devoir d’information envers les personnes concernées est renforcé ;
- le principe “privacy by design & by default” est désormais ancré dans la loi et suit immédiatement l’article consacré aux principes généraux, c’est dire s’il revêt une grande importance ;
- chaque responsable de traitement devra tenir un registre des traitements de données, sauf exception prévue par le Conseil fédéral (notamment pour les entreprises de moins de 250 collaborateurs et dont les traitements sont peu risqués) ;
- des analyses d’impact préalables seront obligatoires lorsque le traitement envisagé est susceptible d’entrainer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée ; si le risque s’avère élevé, le responsable de traitement devra en principe consulter le Préposé fédéral ;
- les violations de données (vol ou fuite de données notamment) devront être annoncées au Préposé fédéral lorsque ces violations présentent un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée ;
- Les codes de conduite des associations professionnelles, sectorielles et économiques pourront être soumis au Préposé fédéral pour prise de position.
- L’existence du Data Protection Officer (ou conseiller à la protection des données) et son statut figurent dans la loi, il dispose d’un article dédié dont le contenu ne change pas beaucoup par rapport au droit actuel.
- Les responsables de traitement ayant leur siège ou leur domicile hors de Suisse devront désigner un représentant en Suisse lorsqu’ils traitent des données de personnes en Suisse (cette obligation est très similaire à celle du RGPD).
- Les dispositions concernant les transferts de données à l’étranger ont été actualisées ; le Préposé fédéral aura un plus grand rôle à jouer à cet égard puisque les responsables de traitement devront lui communiquer les garanties préalablement aux transferts.
- Le concept de sous-traitance est expressément introduit et exigera à l’avenir l’existence d’un contrat ou d’une loi pour qu’un responsable de traitement soit autorisé à déléguer un traitement à un sous-traitant.
- Les fournisseurs de systèmes et logiciels, de même que les systèmes, produits et services des responsables de traitement et sous-traitants pourront se soumettre à une certification, qui permet d’échapper aux analyses d’impact.
- De nouvelles sanctions pénales ont été introduites, plus dissuasives qu’avant, mais en deçà de celles du RGPD. Par exemple, l’irrespect des exigences minimales de sécurité constitue une infraction pénale s’il est commis intentionnellement ou par dol éventuel (c’est-à-dire que le responsable de traitement était au courant et a choisi de ne pas agir pour corriger la situation).
- Si l’infraction pénale est commise dans une entreprise, la sanction pénale sera infligée aux personnes physiques qui ont commis l’infraction, en premier lieu desquelles on trouvera la direction de l’entreprise.
Pour le Préposé fédéral
- Le Préposé fédéral est désormais élu par l’Assemblée fédérale (il était jusqu’alors nommé par le Conseil fédéral et approuvé par l’Assemblée fédérale).
- Il peut ouvrir d’office ou sur dénonciation une enquête si des indices suffisants font penser qu’un traitement viole la LPD. Lors de l’enquête, il peut (ordonner d’) accéder à tous les documents et renseignements qui lui sont nécessaires, ainsi qu’aux locaux. Il peut auditionner des témoins et ordonner des expertises.
- Ses pouvoirs administratifs sont largement renforcés : alors qu’il n’a pour le moment qu’un pouvoir de recommandation, il aura à l’avenir le pouvoir de suspendre, modifier ou faire cesser un traitement, d’ordonner l’effacement et la destruction de données personnelles, de suspendre des transferts de données à l’étranger, etc. Par rapport à aujourd’hui, ses futurs pouvoirs sont immenses.
Quoi d’autre ?
Cette nouvelle LPD modifie une centaine d’autres lois. La modification la plus intéressante et notable est celle du Code pénal qui accueille une nouvelle infraction relative à l’usurpation d’identité à l’art. 179novies CP :
Celui qui aura utilisé l’identité d’une autre personne sans son consentement dans le dessein de lui nuire ou de se procurer ou de procurer à un tiers un avantage illicite sera, sur plainte, puni d’une peine privative de liberté d’un an au plus ou d’une peine pécuniaire.
Et maintenant ?
Entrée en vigueur
Le Conseil fédéral va s’atteler à la rédaction de l’ordonnance (OLPD), qu’il mettra en consultation prochainement. La LPD sera soumise au référendum facultatif une fois qu’elle aura été publiée au bulletin officiel. Si le référendum n’est pas demandé, le Conseil fédéral fixera la date d’entrée en vigueur. Cette dernière n’est pas attendue avant le 1er janvier 2022, peut-être même l’été 2022.
Délais transitoires
Les traitements de données personnelles en cours devront être conformes à la nouvelle LPD dès son entrée en vigueur.
Le principe de privacy by design & by default ne s’appliquera pas rétroactivement. Les analyses d’impact ne devront pas être effectuées sur des traitements existants tant que les finalités de ces derniers ne sont pas modifiées et que de nouvelles données ne sont pas collectées.
Mesures à prendre par les entreprises suisses
Au vu de la quasi-absence de délais transitoires, les entreprises suisses seraient avisées, si ce n’est pas déjà fait, de :
nommer un DPO ;
vérifier et adapter les déclarations de protection des données aux nouvelles exigences ;
établir un registre des traitements de données personnelles ;
vérifier et adapter les contrats de sous-traitance ;
identifier les transferts de données vers l’étranger, et vérifier s’ils répondent aux nouvelles conditions ;
préparer un processus d’analyse d’impact ;
préparer un processus de détection et d’annonce des violations de données ;
préparer ou mettre à jour les processus de traitement des demandes des personnes concernées (droit d’accès, rectification, droit à l’oubli, etc.).