La nouvelle loi sur la protection des données
Social Bookmarks
Une nouvelle loi sur la protection des données (nLPD) était nécessaire et n’a que trop tardé. Les débats d’experts et les tractations politiques ont pris beaucoup de temps. Le Parlement s’est assidument penché sur le projet en 2019/2020 mais l’issue – accord entre les Chambres ou enterrement de la nLPD – est restée incertaine jusqu’au bout. L’importance de ce texte, de même que la complexité parfois extrême de ses enjeux, expliquent que le processus politique ait autant duré.
L’essentiel pour commencer: la nLPD n’est ni un calque, ni une copie du Règlement général de l’UE sur la protection des données (RGPD). Des spécificités suisses existantes ont été conservées, de nouvelles ont été insérées. Toutefois, il était inévitable que l’on s’aligne dans une certaine mesure sur le RGPD et/ou que l’on en reprenne des règles. Sur Internet et dans la littérature spécialisée, quantité de synthèses et d’articles se livrent d’ores et déjà à un examen comparatif détaillé de la nLPD, par rapport à la LPD en vigueur d’une part et par rapport au RGPD d’autre part.1 Nous nous bornerons donc ici à présenter un choix subjectif des principales nouveautés.
Données personnelles sensibles:
si la notion de «données personnelles sensibles» figure à l’identique dans la nLPD et dans le RGPD, sa définition diffère et, par rapport à la LPD en vigueur, elle est plus large. Elle recouvre en effet désormais les données sur l’origine ethnique, les données génétiques, ainsi que les données biométriques identifiant une personne physique de manière univoque.
Profilage:
ce concept, repris du RGPD, fait son entrée dans la loi sur la protection des données dont la Suisse vient de se doter. On entend par «profilage», en termes simples, le traitement automatisé de données personnelles relatives par exemple à la santé de la personne concernée, à sa localisation, etc. Il est à distinguer du «profilage à risque élevé», également défini dans la nLPD, qui apparie des données de telle sorte qu’il devient possible d’apprécier les caractéristiques essentielles de la personnalité. Ce concept est très proche de celui de «profil de la personnalité», que l’on trouve dans la LPD en vigueur mais plus dans la nLPD.2 La notion de «risque élevé» fait référence à une probabilité accrue d’atteinte à la personnalité. En vertu de la nLPD, l’accord de la personne concernée n’est pas requis pour le profilage.
Devoir d’informer:
la nLPD étend fortement le devoir d’informer de la ou du responsable (c’est-à-dire de la personne ou de l’organe fédéral qui détermine la finalité et les moyens du traitement des données). D’une part, le devoir d’informer vaut désormais pour toute collecte de données personnelles (et non plus seulement en cas de collecte de données personnelles sensibles); d’autre part, les informations à communiquer sont plus nombreuses. En vertu de la nLPD, il y a lieu de communiquer à la personne concernée au moins l’identité et les coordonnées de la ou du responsable du traitement, la finalité du traitement et, le cas échéant, les destinataires ou les catégories de destinataires des données personnelles, pour autant que ces dernières ne soient pas transmises à l’étranger. Si tel est le cas, d’autres informations doivent être communiquées en sus.
Droits de la personne concernée:
outre le droit à l’information et le droit d’accès, déjà reconnus dans la LPD en vigueur et partiellement étendus dans la nLPD, la personne concernée (c’est-à-dire, selon la définition donnée par la loi, toute personne physique dont les données personnelles font l’objet d’un traitement) dispose désormais d’un droit à la remise et à la transmission de ses données personnelles. Par ailleurs, dans la mesure où l’on recourt de plus en plus à l’informatique (on parle aussi souvent d’intelligence artificielle) et où, dans certains cas, celle-ci devient décisionnelle (p. ex. sélection informatisée de dossiers dans un processus de candidature), la nLPD prévoit un droit d’opposition à ce qu’elle appelle les «décisions individuelles automatisées». En vertu de ce droit d’opposition, la personne concernée peut exiger qu’une décision individuelle automatisée soit revue par une personne physique.
Dispositions pénales:
une tendance prévaut depuis des années qui consiste, pour assurer la mise en œuvre des réglementations, à reconnaître une compétence de sanction à diverses instances administratives et à incorporer des dispositions pénales (renforcées) dans les lois. La nLPD reflète cette tendance: elle élargit nettement le catalogue des infractions par rapport à la LPD en vigueur et porte l’amende maximale encourue à CHF 250 000. C’est une augmentation d’autant plus significative que, contrairement au RGPD, la nLPD permet d’engager la responsabilité non pas de l’entreprise concernée, mais de la personne physique responsable.
Secret professionnel:
le secret professionnel est déjà ancré dans la loi et sanctionné pénalement pour les professions et secteurs réglementés, comme les avocats ou les banques. Avec la nLPD, il s’impose à toutes les professions. Sera ainsi puni d’une amende de CHF 250 000 au plus quiconque révèle intentionnellement des données personnelles secrètes portées à sa connaissance dans l’exercice de sa profession. Autre élément à noter: la nLPD prévoit expressément que ce devoir de discrétion perdure «alors même que l’exercice de la profession ou la formation ont pris fin».
On relèvera également avec intérêt, à propos de la nLPD, que l’infraction d’usurpation d’identité a désormais trouvé sa place dans le code pénal, comme le demandaient depuis longtemps les experts et les milieux politiques dans le cadre de la révision.
La révision de la loi fédérale sur la protection des données conduit globalement à un rapprochement par rapport à la norme européenne, même si des spécificités suisses ont été conservées. C’est avec impatience que l’on attend à présent la mise en consultation de l’ordonnance révisée (sans doute au premier trimestre 2021). Mais on peut dire d’ores et déjà que les entreprises qui appliquent la norme RGPD aujourd’hui n’auront aucun mal à appliquer la nLPD demain.
1 Voir p. ex. les nombreux commentaires et articles publiés sur www.datenrecht.ch, le synopsis de la LPD, du RGPD et de la nLPD par Meyenberger Lustenberger Lachenal (MML) en date du 19.10.2020, consultable sur www.mml-news.com, ou David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16.11.2020 (le tout en allemand uniquement).
2 Voir à ce sujet Rosenthal, op. cit., Cm 27.