en suisse, révisions de la loi sur la lpd

Loi sur la Protection des Données ( LPD )

• En Suisse, le Conseil Fédéral a rendu le 21 décembre 2016 son avant-projet de loi sur la révision totale de la loi sur la protection des données (LPD). Celui-ci s'inscrit dans la "Stratégie Suisse numérique" du 20 avril 2016 et fait suite à une évaluation de la législation en vigueur. Il en est ressorti, sans surprises, que cette dernière n'était plus adaptée aux évolutions technologiques actuelles.

Le projet de loi s'articule autour de plusieurs grandes lignes directrices, dont notamment les suivantes :

• Une approche basée sur les risques

Les obligations des responsables de traitement seront ainsi plus strictes pour les entreprises à mesure que le risque est accru. Par exemple, une entreprise dont l'essentiel de l'activité réside dans le traitement de données sensibles (santé, biométrie, opinions politiques, etc.) et qui fait régulièrement appel à des sous-traitants sera jugée plus sévèrement qu'une entreprise collectant des données de manière ponctuelle.

• Une terminologie adaptée à la législation européenne

Le "maître du fichier" de l'actuelle LPD devient ainsi le "responsable du traitement". Les "données sensibles" sont étendues aux données génétiques et biométriques. La notion de "profilage" traite spécifiquement du traitement de données à des fins prédictives (Big Data, Smart Data).

• Une amélioration des échanges de données avec l'étranger

La transmission de données vers l'étranger reste soumise au principe du niveau adéquat de protection. En revanche, celui-ci ne sera plus déterminé par le responsable du traitement mais par le Conseil Fédéral directement.

• Une meilleure protection des droits des individus

Sont ainsi renforcés les droits d'accès (droit de d'obtenir - gratuitement - de la part du responsable du traitement les données la concernant), le droit à la rectification des données, à l'interdiction du traitement ou de la communication des données à des tiers, le droit à l'oubli, voire à la destruction des données concernées. Le projet traite également des droits relatifs aux données des personnes décédées, en reconnaissant une qualité pour agir aux héritiers.

• Une clarification des obligations des responsables de traitement

Notamment, l'obligation d'informer la personne concernée que des données la concernant sont traitées, ou qu'elle est susceptible de faire l'objet d'une décision individuelle automatisée. Le responsable du traitement doit également notifier la personne concernée dès qu'un traitement non autorisé a été effectué sur des données la concernant (hacking) ou si ses données ont été perdues ou détruites. Enfin, il est prévu que le traitement de données soit protégé par défaut privacy by default ( • quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible • ) et dès sa conception privacy by design ( • intégrer le respect de la vie privée directement dans la conception et le fonctionnement des systèmes et réseaux informatiques, mais également dans l’élaboration de pratiques responsables • )

• Renforcement des contrôles et de l'indépendance du Préposé fédéral à la protection des données (PFPDT)

Ceci s'accompagne d'un renforcement des infractions pénales en vigueur, et la possibilité pour les autorités pénales d'imposer des amendes jusqu'à CHF 500'000.

mais la suisse édulcore sa lpd

Le Conseil fédéral a toutefois expressément décidé d'écarter certaines solutions consacrées à l'étranger ou au niveau européen.

En particulier, il a été renoncé :

1. A la protection des données de personnes morales,
2. Au pouvoir du PFPDT d'édicter des règles contraignantes. Le Conseil fédéral désire par là éviter d'éventuels problèmes relatifs au principe de légalité et à la délégation de pouvoirs. Le PFPDT ne pourra par ailleurs pas imposer d'amendes (au contraire de ce que prévoit le RGPD européen) ,
3. Au renversement du fardeau de la preuve. Il avait été envisagé, en cas de litige avec un particulier, d'exiger du responsable du traitement qu'il démontre que le traitement était conforme au droit. Le Conseil fédéral a finalement estimé que les tribunaux disposaient déjà de mécanismes suffisants leur permettant d'apprécier une situation donnée et de résoudre les éventuels problèmes liés à l'établissement des preuves,
4. A un exercice collectif des droits (class action) en matière de protection des données. Le principe général d'un exercice collectif des droits étant actuellement à l'étude, il est apparu inutile de prévoir un mécanisme particulier limité à la protection des données.
5. Au droit à la portabilité des données. Le Conseil fédéral estime en effet que ce droit a pour principal objectif de stimuler la concurrence, non de protéger les individus. Ceci parait regrettable dans la mesure où il s'agissait d'une nouveauté européenne, qui permet aux individus d'éviter de se retrouver "bloqués" avec un opérateur ou un prestataire de service,
6. A la mise en place d'un mécanisme spécial de résolution des conflits. Le Conseil fédéral estime en effet que de tels organismes existent déjà dans différents domaines (en particulier dans le domaine bancaire et des assurances).

L'avant-projet du Conseil fédéral doit encore être discuté aux les chambres fédérales. Il est ainsi susceptible d'être modifié avant son adoption définitive. Dans cette attente, il donne des indications claires quant à l'évolution prévisible du paysage réglementaire suisse et européen en matière de protection des données, et va contraindre les entreprises à adapter leurs conditions générales, politique de confidentialité et processus de traitement de données.