François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

PFPDT : Les chiffres de la nLPD, un an après son entrée en vigueur

19/11/2024 4 Min. lecture Droit François Charlet

Le 18 novembre 2024, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié quelques statistiques sur la nouvelle LPD.

Selon le PFPDT, la protection des données personnelles a ainsi franchi une nouvelle étape en Suisse en 2023. La version révisée de la LPD a apporté son lot de nouveautés qui renforcent les droits des personnes concernées, tout en imposant un cadre plus strict aux organisations et organismes étatiques qui traitent des données personnelles.

Le PFPDT a vu ses pouvoirs étendus. Les personnes concernées peuvent signaler toute suspicion de violation de la loi, et les entreprises, quant à elles, doivent annoncer les violations de la sécurité des données (a.k.a. data breaches) et peuvent désigner un conseiller à la protection des données via des portails dédiés.

Ces nouveaux outils ont rencontré un vif succès depuis leur lancement. Le premier trimestre 2024 a marqué l’aboutissement des principaux travaux de mise en œuvre de la loi. Les experts du PFPDT peuvent maintenant se concentrer pleinement sur leur mission de surveillance.

Le PFPDT établit ainsi un bilan intermédiaire. Du 1er septembre 2023 au 5 novembre 2024, le PFPDT

  • a reçu 1183 dénonciations pour violation de la LPD (889 ont été clôturées)

  • a reçu 293 annonces de violation de la sécurité des données

  • a réalisé 86 interventions à bas seuil,1 dont environ 90% ont été suivies volontairement par les responsables du traitement des données

  • a ouvert 26 enquêtes préliminaires2 et enquêtes formelles3, 7 ont été clôturées.

Commentaires

Ces chiffres nous informent d’abord sur plusieurs éléments :

  • Il y a une forte activité de signalement (1183 dénonciations en 14 mois), ce qui suggère soit une bonne sensibilisation du public, soit de nombreuses violations, soit les deux.
  • Le taux de résolution est bon (75% des dénonciations traitées).
  • Le taux de correction volontaire suite aux interventions à bas seuil est très élevé (90%), ce qui est encourageant.
  • Le nombre d’enquêtes formelles est relativement faible (26) par rapport au volume total, ce qui peut indiquer une approche très sélective, soit un manque de ressources.
  • Le nombre d’annonces de violations semble relativement bas, suggérant une possible sous-déclaration.

Le nombre de dénonciations est élevé dans l’absolu (la CNIL a reçu plus de 16 000 plaintes en 2023), mais doit néanmoins être relativisé puisque tout le monde peut déposer une dénonciation et que le PFPDT ne donne pas de détails sur le type de dénonciations et leur issue. On peut supposer que, si les interventions à bas seuil découlent des dénonciations et qu’il en va de même des enquêtes (préliminaires), cela signifie probablement que, sur près de 1200 dénonciations, seule une grosse centaine d’entre elles nécessiteraient une intervention du PFPDT et que le reste serait classé sans suite — ce qui représenterait un taux de dénonciation non avérée d’environ 90%.

Les statistiques du PFPDT ne distinguent malheureusement pas entre les entités privées et les entités publiques, de sorte qu’on ne sait pas dans quelles proportions les dénonciations, annonces de violations de la sécurité des données, interventions et enquêtes concernent le secteur privé et le secteur public.

On ne sait pas dans quel sens les dénonciations sont clôturées : débouchent-elles sur les 26 enquêtes ou enquêtes préliminaires, ou sur les 86 interventions à bas seuil ? En outre, dans combien de situations le PFPDT intervient-il spontanément, par exemple lorsque des informations lui parviennent par les médias ?

En définitive, ces premiers chiffres donnent un petit aperçu, mais des informations manquent, et il serait intéressant de connaître lors du prochain pointage :

  • quelle est la nature/typologie des violations dénoncées (types les plus fréquents, secteurs d’activité, proportion entre les violations graves vs mineures) ;
  • pour les violations de la sécurité des données, combien de personnes ont été impactées au total, quels types de données ont été compromis, quel est le délai moyen entre l’incident et sa notification ;
  • au sujet des enquêtes clôturées, quel est le délai moyen de traitement et quelle est la raison de la clôture ;
  • comment le PFPDT se compare, proportionnellement, aux autorités des pays voisins ;
  • quels sont les aspects budgétaires/ressources, en particulier les moyens humains dédiés au traitement des dossiers, le coût moyen de traitement par type de dossier, les délais moyens de traitement.

  1. une intervention à bas seuil est une invitation écrite au responsable du traitement à contribuer volontairement à la mise en conformité rapide d’un traitement dans le cas de faits simples. ↩︎

  2. une enquête préliminaire consiste en une clarification informelle pour déterminer si les conditions d’une ouverture d’enquête formelle sont réunies ou non. ↩︎

  3. une enquête formelle est une enquête menée selon les règles de la procédure administrative sur la base d’indices concrets pour analyser si des prescriptions fédérales en matière de protection des données ont été violées. ↩︎

Protection des données PFPDT
© 2008 - 2024 François Charlet
This work is licensed under a Creative Commons Attribution 4.0 International License