Tweets by TwitterDev " />

Le Conseil fédéral a soumis son avant-projet de révision totale de la loi sur la protection des données (AP-LPD). Très attendu, ce texte doit permettre de mieux cerner le positionnement de notre pays par rapport au renforcement sévère initié par l’UE en matière de protection des données personnelles. Au final, la Suisse se distingue plus sur la forme que sur le fond. Mais à vouloir jouer l’exception, elle prend des risques.

Pour qui voudrait jouer au jeu des différences, le texte européen (RGPD) se trouve ici et l’avant-projet de la nouvelle loi suisse ici. Étant donné qu’il y a plusieurs documents et lois qui se concurrencent, la littérature sur le sujet est extrêmement fournie. Alors, pour les plus pressés d’entre vous, je vous livre ci-après ma synthèse personnelle.

 

Ce que la Suisse reprendra

Autant le dire tout de suite, la grande majorité des exigences de renforcement en matière de protection des données personnelles est reprise dans le texte suisse, qui en profite au passage pour offrir à son glossaire un petit lifting « européen compatible ». La Suisse suit donc le mouvement et imposera aux responsables de traitements et aux sous-traitants : 

  • Le devoir d’informer lors de la collecte de données.
  • La protection des données dès la conception et par défaut.
  • L’octroi facilité d’un droit d’accès / rectification aux personnes concernées.
  • L’obligation de notification en cas de violation de la protection des données.
  • La réalisation d’analyses d’impact du traitement préalablement à la collecte de données sensibles.
  • La sécurisation des systèmes et des processus de traitement des données.
  • Le principe de sanctions plus sévères.

J’aurai l’occasion de présenter plus en détails les points ci-dessus lors de nos prochaines conférences des 2 février à Sion et 9 mars à Genève. Pour obtenir une invitation, merci de m’écrire en privé. 

 

Ce que la Suisse n’obligera pas

  • L’exigence d’un Data Privacy Officer (ou DPO) n’est pas mentionnée en tant que tel dans l’AP-LPD. Toutefois, il est à relever que la loi européenne ne l’impose qu’au secteur public et aux entreprises traitant des données considérables (à des fins de profilage p.ex). Dans les faits, je vois mal comment les entreprises pourront se conformer à l’ensemble des bonnes pratiques sans désigner une fonction responsable du traitement des données ou à recourir à des compétences externes.
  • La portabilité des données, à savoir la possibilité pour la personne concernée d’obtenir du responsable de traitement ses données dans un format réutilisable auprès d’un autre prestataire.

 

Où le message devient ambigu...

...c’est lorsque l’on aborde le chapitre des violations (Art 50 et ss). La tendance générale qui prévaut en Europe et ailleurs consiste à renforcer les compétences des autorités de régulation (Data Protection Authority) pour les doter de moyens d’investigation ainsi que de la capacité à prononcer des sanctions administratives lourdes. Pour rappel, le RGPD prévoit des amendes à deux niveaux, basées sur le chiffre d’affaires mondial des entreprises contrevenantes : jusqu’à 2% ou 10 mios d’euros en cas d’incapacité à protéger les données, à implémenter des mesures de sécurité ou à notifier correctement un incident. Cette amende est doublée pour des infractions plus graves telles que la non obtention du consentement, les manquements vis-à-vis des droits des personnes concernées ou le non respect des directives en matière de transferts internationaux.

Dans son message, le Conseil fédéral a fait le choix de ne pas conférer au préposé à la protection des données le pouvoir de prononcer des sanctions administratives. Il s’en explique par le fait que ce changement impliquerait une réorganisation du modèle actuellement en place et générerait des coûts importants (!) En contrepartie, il souhaite renforcer le volet pénal en augmentant le montant maximum des amendes à CHF 500’000.- pour les personnes physiques et en renvoyant les personnes morales à l’article 102 CP sur la responsabilité pénale de l’entreprise. En outre, une peine privative de liberté jusqu’à trois ans au plus est également prévue pour qui violerait son devoir de discrétion. (Encore faut-il y être soumis!)

A mes yeux, la démarche prise par la Suisse est intéressante mais n’est pas sans risques. Pourquoi ?

Ce modèle de sanctions va à l’encontre de celui des autres pays. Le fait de renvoyer le règlement des litiges devant les tribunaux est peut être démocratiquement plus juste, mais cet idéal ne semble pas partagé par nos voisins. Par conséquent, il ne facilitera certainement pas la collaboration du préposé avec ses homologues étrangers. Sans réel autre pouvoir que celui de conseiller les responsables de traitement et d’ouvrir des enquêtes, le préposé ne pourra résoudre lui-même les litiges mais devra les transmettre aux autorités pénales, dont on connaît l’engorgement...

Partant de là, la Suisse pourrait éventuellement perdre son statut d’Etat reconnu comme offrant un niveau de protection adéquat des données, obtenu en 2000 grâce à sa compatibilité avec l’ancienne directive 95/46/CE. A l’avenir, il faudra être compatible avec le nouveau RGPD et un non renouvellement de cette adéquation poserait d’énormes problèmes en matière de transferts de données internationaux. Pour un pays qui, au travers de sa stratégie « Suisse numérique », vise à profiter d’avantage de la numérisation croissante et à se développer de manière plus dynamique et tant qu’économie publique novatrice, il est vital de conserver sa capacité à échanger des données sans devoir passer par des mécanismes compliqués de type «safe harbor».

Enfin, il ne m’appartient pas de me prononcer sur le caractère dissuasif ou non des amendes prévues. Mais force est de constater qu’elles paraissent plus faibles et plus complexes à prononcer que celles prévues dans le RGPD. En refusant d’octroyer de réels pouvoirs à son préposé, le Conseil fédéral pourrait ouvrir la porte à des entreprises aux modèles d’affaires opaques en quête de paradis numérique où les sanctions seraient plus clémentes que dans le reste de l’Europe. Il me semble en effet tout à fait plausible qu’un responsable de traitement puisse plaider la négligence pour obtenir un verdict plus favorable en Suisse qu'en Europe et limiter ainsi la sanction à CHF 250'000.- ; montant parfaitement supportable pour un acteur de la nouvelle économie.

Toute ressemblance avec nos expériences récentes de paradis fiscal... A force de vouloir cultiver l’exception, l’indépendance et la particularité, la facture pour la Suisse pourrait être au final bien plus lourde que les coûts supposés de réorganisation de son préposé.