Révision de la loi suisse sur la protection des données (LPD) : nouveautés et perspectives.

Les nouvelles technologies de l’information et de la communication jouent un rôle important dans les systèmes sociaux concernés, souvent extrêmement interconnectés. Il devient donc impératif de comprendre la structure de la société dans laquelle nous vivons et à quel point elle est dépendante ou interdépendante de la technologie.

Le progrès technologique pousse le monde juridique à un examen continu et minutieux. Cette tension en Europe, dans le thème Protection des données & amp; Vie privée, a atteint son apogée avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 24 mai 2016, mis en œuvre deux ans plus tard, le 25 mai 2018. En Suisse, en revanche, le 25 septembre 2020, après un processus législatif de près de quatre ans, le projet de révision de la loi fédérale sur la protection des données (LPD) est né. La nouvelle LPD (qui entrera en vigueur en 2022, car pour l’instant les règles d’application manquent) est plus conforme au règlement en la matière venant de l’UE et a ouvert la voie à la Suisse pour demander à la Commission européenne la reconnaissance d’adéquation.

L’objectif principal est de renforcer la protection des données en augmentant la transparence du traitement et les possibilités des personnes concernées de contrôler les données les concernant.
Dans un communiqué de presse de Berne pour les médias en 2016, on lisait: « la révision crée les conditions pour la ratification de la convention du Conseil de l’Europe sur la protection des données et la transposition de la directive européenne sur la protection des données». La révision vise donc à moderniser le paysage suisse de la protection des données et à le mettre en conformité avec la législation européenne la plus sophistiquée.
Examinons plus en détail les éléments fondamentaux des changements qui indiquent la finalité vers laquelle se dirige la Confédération:

  • L’approche fondamentale basée sur les risques: si une activité présente des risques significatifs pour les données personnelles, elle sera soumise à des obligations de protection plus strictes
  • Toutes les technologies, même futures, sont envisagée dans l’acte législatif
  • La recherche de la compatibilité avec le droit européen
  • Améliorer la transmission transfrontalière des données, afin que la Suisse puisse agir comme un interlocuteur approprié
  • La protection de la personne concernée et son contrôle constituent le sommet du cadre réglementaire.

L’objectif principal est de renforcer la protection des données en augmentant la transparence du traitement et les possibilités des personnes concernées de contrôler les données les concernant.
Dans un communiqué de presse de Berne pour les médias en 2016, on lisait: « la révision crée les conditions pour la ratification de la convention du Conseil de l’Europe sur la protection des données et la transposition de la directive européenne sur la protection des données». La révision vise donc à moderniser le paysage suisse de la protection des données et à le mettre en conformité avec la législation européenne la plus sophistiquée.
Examinons plus en détail les éléments fondamentaux des changements qui indiquent la finalité vers laquelle se dirige la Confédération:

  • L’approche fondamentale basée sur les risques: si une activité présente des risques significatifs pour les données personnelles, elle sera soumise à des obligations de protection plus strictes
  • Toutes les technologies, même futures, sont envisagée dans l’acte législatif
  • La recherche de la compatibilité avec le droit européen
  • Améliorer la transmission transfrontalière des données, afin que la Suisse puisse agir comme un interlocuteur approprié
  • La protection de la personne concernée et son contrôle constituent le sommet du cadre réglementaire.

Essayons donc de faire une brève digression sur les principales innovations approuvées par les chambres fédérales, sur lesquelles le débat reste ouvert et utile. Nous nous concentrerons sur celles particulièrement pertinentes et d’impact plus sensible:

  1. La nouvelle catégorisation des données personnelles, notamment celles identifiées comme sensibles. Ce sont des données qui nécessitent une protection particulière; la catégorie a été étendue aux données sur l’ethnicité, la génétique et les données biométriques qui permettent d’identifier clairement une personne physique;
  2. L’introduction du concept de « profilage à haut risque« . Prenons un exemple: il s’agit de profilage quand on nous propose de la publicité comportementale, comme par exemple lorsque nous visualisons une affiche publicitaire sur un site internet relative à un service que nous avions préalablement recherché: il s’agit donc d’un traitement automatisé de données personnelles. D’autre part, le profilage à haut risque, c’est quand il y a une analyse visant un sujet spécifique. Ce profilage est donc mis en évidence, souligné sur le plan juridique et donc individualisé: « tout traitement de données ou de données personnelles visant à analyser ou à prédire les caractéristiques personnelles essentielles d’une personne, notamment les performances professionnelles, la situation économique, la santé, la vie intime ou les voyages». Dans ce cas, la notion retenue correspond à la définition légale faite dans le RGPD européen. Par ailleurs, la perspective du consentement des intéressés était initialement une porte ouverte. Nous avons essayé de comprendre si le consentement pouvait ou non discriminer l’utilisation du profilage dans ce sens: apparemment non et le profilage (pour l’instant) devrait être autorisé sans consentement;
  3. le droit des organisations de nommer un consultant pour la protection des données personnelles, qui agira en tant qu’interlocuteur tant vis-à-vis des intéressés que des autorités (dont le PFPDT – Préposé fédéral à la protection des données et à la transparence);
  4. obligation de notifier toute « violation de données » au PFPDT et plus encore précisément lorsque la violation comporte un risque élevé pour les droits et libertés fondamentaux des parties intéressées et, dans certains cas, l’obligation de communiquer la violation aux parties intéressées a également été incluse;
  5. L’importance de réaliser une analyse d’impact sur la protection des données, si le traitement présente un risque élevé pour les droits et libertés des personnes concernées. Il s’agit d’un aspect particulièrement délicat qui nécessite une réflexion approfondie de la part des entreprises concernées. En particulier, de nouvelles obligations en matière de transparence et de documentation seront imposées, ainsi que des activités de traitement spécifiques liées aux risques.
    Quelques exemples:
    • établir un inventaire des activités de traitement, sauf si l’exception des petites et moyennes entreprises (article 12) s’applique;
    • rédiger ou mettre à jour les informations relatives à la vie privée des personnes concernées afin de remplir l’obligation de fournir des informations lors de la collecte de données personnelles (article 19 et suivants);
    • examiner les contrats avec les sous-traitants, les responsables conjoints du traitement et les tiers (par exemple, articles 9 et 16 et suivants);
    • évaluer l’impact sur la protection des données lorsque le traitement risque d’entraîner un risque élevé pour les droits et libertés de la personne concernée, incluant potentiellement tout « profilage à haut risque » (article 22) (voir point 2 de cette liste);
      Comme on peut le voir, les entreprises sont incitées à mettre à profit le temps d’entrée en vigueur de la LPD pour mettre à jour leurs dispositifs et évaluer l’impact sur leurs activités, commencer à mettre en œuvre ou à développer des processus qui seront conformes aux développements en cours sur la Protection des données & Vie privée.
  6. Un autre aspect fondamental, mais pas le dernier à considérer, est l’attribution au PFPDT de pouvoirs d’inspection, d’accès aux lieux et documents appartenant à l’entreprise pour effectuer les investigations nécessaires. En cas de violation de la loi, l’accent est mis sur l’utilisation éventuelle de l’instrument des amendes jusqu’à CHF 250’000.00-. Nous soulignons que la révision de la loi sur la Vie privée en Suisse renforce les dispositions pénales sur la protection des données, d’autant plus que, contrairement à ses homologues européens, le Préposé à la protection des données et à la transparence ne peut imposer de sanctions administratives. En outre, au cours du processus législatif, il a été exprimé que les sanctions pénales visent principalement les dirigeants et non les employés qui, dans l’exercice de leur travail, sont en contact avec des données soumises à protection. Dans le même temps, cependant, il n’a pas été complètement exclu qu’il puisse y avoir des cas dans lesquels la sanction puisse également être infligée à des employés sans fonctions de direction. Toutefois, en cas d’infractions pour lesquelles une amende de CHF 50’000.00 est envisagée, mais que l’effort d’identification de l’auteur au sein de l’entreprise serait disproportionné, l’entreprise peut être condamnée à payer l’amende à la place de la personne physique qui a commis l’infraction. Ce point reste ouvert aux évolutions législatives.

Cependant, tant que la date d’entrée en vigueur n’est pas annoncée, il demeure nécessaire et impératif pour les entreprises de disposer de professionnels capables de les accompagner dans la mise en œuvre des projets de mise en conformité requis.

Sources:

Condividi