Ce que le Préposé fédéral dit de la nLPD

Que pensez-vous personnellement de la nouvelle loi sur la protection des données?

Contrairement à ce que l'expression «protection des données» signifie, la loi sur la protection des données ne vise pas à protéger les données, mais la personnalité humaine. Celle-ci constitue le noyau de l'aspiration singulière de chaque individu à une vie privée et autodéterminée, que l'ordre juridique suisse garantit par un droit fondamental à la sphère privée et à l'autodétermination en matière d'information. Le passage de l'ancienne à la nouvelle loi sur la protection des données ne change rien à cet objet et à cette préoccupation de protection. L'exigence, déjà codifiée en 1992, de traiter les données dans le respect de la personnalité des personnes concernées, de manière transparente, proportionnée et dans un but précis, constitue également l'épine dorsale de la nouvelle loi sur la protection des données de 2020 (nLPD). 

CHANGEMENTS

Pourquoi cette révision était-elle malgré tout nécessaire?

Avec le smartphone et la connexion permanente à Internet, via lesquels la société numérique actuelle accomplit en ligne quantité de tâches de la vie quotidienne, des opérations bancaires aux rencontres, le volume, la vitesse et l'intensité du traitement des données personnelles ont énormément augmenté. Et avec l'utilisation d'algorithmes toujours plus performants, jusqu'aux réseaux neuronaux et à l'intelligence artificielle, la traçabilité et la transparence du traitement ont diminué. Dans ce contexte de mutation numérique, je considère que l'objectif principal de la nouvelle loi, dont découle le mandat confié à mon autorité de surveillance, est de protéger le droit à une vie privée et autonome de manière efficace et conforme à l'État de droit.

Désormais, mon autorité peut suspendre, limiter ou interdire des traitements de données illégaux par voie de décision. 

Quel aspect du droit de la protection des données la révision améliore-t-elle?

Je considère que la principale valeur ajoutée réside dans les instruments «basés sur les risques», grâce auxquels le législateur entend répondre aux attentes légitimes de la population suisse en matière de protection crédible de la personnalité dans la réalité numérique. Ces instruments obligent les acteurs de l'économie et de l'administration fédérale traitant des données à analyser et à documenter à temps les effets des applications numériques sur la sphère privée et sur l'autodétermination des personnes concernées. Plutôt que de miser sur la crainte de sanctions, ces instruments contraignants mettent l'accent sur l'action préventive des acteurs concernés et sur leur responsabilité personnelle en matière de protection des citoyens et des clients, dont dépend leur réputation. Les sanctions ont certes été renforcées, mais elles ne constituaient pas un objectif central de la révision pour le législateur. La révision de 2020 repose sur une évaluation objective de la réalité numérique. 

Pouvez-vous en dire plus sur cette analyse basée sur les risques? 

Le législateur n'est pas parti du principe que les risques des opérations de traitement numérique des données pouvaient être circonscrits par une limite définie par la loi. Dans le cas des instruments basés sur les risques, comme l'analyse d'impact relative à la protection des données (AIPD), il s'agissait avant tout de faire en sorte que les responsables du traitement documentent de manière transparente les risques systémiques élevés et les mesures visant à les réduire. Pour les applications commerciales, les clients doivent disposer de choix conviviaux leur permettant de décider des risques résiduels de l'application qu'ils acceptent de prendre en charge. Dans le cas des applications gouvernementales, les organes politiques doivent prendre ces décisions au nom des citoyennes et des citoyens. Ils le font lors de l'évaluation des bases légales sur lesquelles reposent les projets de transformation numérique de l'administration fédérale, en tenant compte des résultats des analyses de risques que l'administration doit leur présenter conformément à la nLPD.

Quelles autres nouveautés sont importantes à vos yeux? 

La deuxième avancée centrale réside dans l'extension des compétences de la surveillance fédérale de la protection des données. Désormais, mon autorité peut suspendre, limiter ou interdire des traitements de données illégaux par voie de décision. Je ne dois plus, comme dans le droit en vigueur, porter plainte devant le Tribunal administratif fédéral. En introduisant des obligations de présentation et de notification à mon autorité en cas de risques élevés, le législateur a également renforcé la visibilité de ces risques.

Si nécessaire, nous devrons interdire des applications dont le risque n'est pas justifiable, ce qui, selon l'ampleur d'un projet, peut avoir un écho médiatique.

Où faut-il encore agir?

Le nouveau droit renforce les attentes légitimes de la population à l'égard d'une protection des données moderne et d'une surveillance efficace. Nous avons obtenu neuf postes supplémentaires. Le personnel nouvellement recruté me permettra d'intensifier l'activité de surveillance et d'augmenter progressivement le nombre d'enquêtes dès l'entrée en vigueur du nouveau droit, d'autant plus que nous nous attendons à une augmentation des dénonciations. Le développement de notre activité de surveillance doit se faire de manière efficace, mais aussi dans le respect de l'État de droit. Le législateur a lié l'extension de mes compétences à une formalisation de la procédure d'enquête et à un renforcement des droits des parties, ce qui aura des répercussions sur la durée des procédures. Si une autorité de surveillance de la protection des données veut déployer un effet global crédible, il est important qu'elle utilise résolument les moyens améliorés de la surveillance, mais qu'elle ne néglige pas pour autant son activité de conseil. Le dialogue que ma suppléante et moi-même entretenons avec les responsables de la protection des données des entreprises privées dans toutes les régions linguistiques de Suisse permet d'aborder des questions techniques, de clarifier les positions à un stade précoce et d'éviter les conflits ultérieurs. Ces aspects de notre activité sont peu perçus par le public et les médias, bien que nous les abordions également dans notre rapport d'activité.

Quel changement fera sans doute le plus causer?

En premier lieu, les grands projets de transformation numérique de l'administration fédérale que nous supervisons avec les nouveaux instruments de travail. Je peux citer en exemple le projet de transformation DAZIT de l'administration fédérale des douanes, un projet aussi vaste que controversé. Mon autorité a incité l'office fédéral à élaborer une AIPD complète et a ainsi œuvré à ce que le traitement prévu soit conforme à la protection des données - ce qui était possible parce que les règles de la nLPD pour les autorités assumant des tâches dans le cadre de la convention de Schengen sont déjà entrées en vigueur en 2019. En second lieu, il faut partir du principe que, grâce à ses nouvelles compétences, mon autorité évaluera de nombreux projets exigeants du secteur privé et pourra ainsi contribuer à leur conformité avec la protection des données. Si nécessaire, nous devrons interdire des applications dont le risque n'est pas justifiable, ce qui, selon l'ampleur d'un projet, peut avoir un écho médiatique.

IMPACT SUR LES PME

D'après vous, quelle est la proportion de PME locales qui ne sont pas encore prêtes pour les nouvelles dispositions? 

Les services numériques que les PME fournissent sont généralement accessibles aux clients résidant dans l'UE. En raison de l'effet extraterritorial revendiqué par le droit de l'UE, ces entreprises ont donc adapté depuis des années déjà leurs traitements de données aux standards de protection des données modernes. Sur notre nouveau site web, les PME et les particuliers trouveront d'ailleurs toutes les informations nécessaires pour s'informer sur les prescriptions de la nLPD. L'offre est développée et complétée en permanence. Nous répondons également actuellement à de nombreuses demandes de PME concernant le nouveau droit via notre hotline quotidienne.

A quoi les PME doivent-elles faire attention lors de la mise en œuvre des directives?

La base de toute évaluation en matière de protection des données est d'avoir une vue d'ensemble des données traitées. Si une entreprise ne sait pas quelles données elle traite et à quelles fins, il lui sera difficile de satisfaire aux exigences légales. Si, dans une entreprise, l'inventaire des données prescrit par la loi est à jour et complet, si le traitement des données est expliqué sur un site web convivial, si les compétences et les processus sont organisés au sein de l'entreprise et si la formation et l'instruction des collaborateurs sont également assurées, l'entreprise répond aux attentes centrales de ses clients et peut ainsi, par exemple, satisfaire aux demandes de renseignements conformément à la loi.

En étant prêt à se mettre mentalement dans la peau de ses clients et en faisant preuve d'un peu de bon sens, chaque entreprise peut trouver des solutions acceptables avec le texte concis de la loi et de l'ordonnance. 

Quels problèmes les entreprises peuvent-elles rencontrer dans l'application des nouvelles dispositions?

La législation suisse se limite à ce qui est important et le règle de manière générale et abstraite, et neutre sur le plan technologique. L'avantage de cette culture législative est que son application n'exige pas en premier lieu des connaissances, mais de la réflexion. En étant prêt à se mettre mentalement dans la peau de ses clients et en faisant preuve d'un peu de bon sens, chaque entreprise peut trouver des solutions acceptables avec le texte concis de la loi et de l'ordonnance. Notre site web ne contient pas de manuels de centaines de pages, mais des précisions sur le nouveau droit, compréhensibles par les citoyens, ainsi que des portails de notification numériques accessibles à tous dans toutes les langues courantes. Les entreprises et les autorités qui se cachent derrière un mur de règlements d'utilisation fastidieux et d'exclusions de responsabilité au lieu de prendre au sérieux les intérêts de protection des citoyens et des clients et de les mettre en œuvre de manière pragmatique se plaindront de problèmes avec les nouvelles prescriptions. Mon message à leur intention est de ne pas attendre le 1er septembre. Mon autorité accordera aux entreprises la marge de manœuvre nécessaire dans l'application de la nouvelle loi. Avec le temps, les meilleures pratiques s'établiront dans l'économie et la jurisprudence se densifiera de la part de mon autorité de surveillance et des tribunaux fédéraux.

nLPD vs RGPD

La révision de la LPD n'aurait sans doute pas été possible sans le RGPD de l'UE. Quels autres effets le règlement européen sur la protection des données a-t-il eus en Suisse? 

Je considère le règlement général sur la protection des données de l'UE (RGPD) comme un succès en raison de son rayonnement international et de son effet de conscientisation. Certaines parties de ce texte législatif de l'UE, connu dans le monde entier, ont également servi de modèle à la nLPD. Cette dernière n'est toutefois pas une copie du RGPD de l'UE qui - en raison de la culture législative différente - se distingue de la nLPD suisse en termes d'exhaustivité et de terminologie. Cinq ans après l'entrée en vigueur du RGPD, nous constatons que les autorités de protection des données de l'UE ont elles aussi atteint leurs limites en termes de ressources pour faire appliquer la législation sur la protection des données, malgré des cas isolés très médiatisés et des amendes élevées. Dans les États membres de l'UE, toutes les dénonciations ne donnent pas lieu à des sanctions, loin s'en faut. Il existe par exemple des lois nationales d'exécution du RGPD de l'UE qui donnent aux responsables de traitement la possibilité de corriger les traitements illégaux avant la fin de la procédure. 

Dans les États membres de l'UE, toutes les dénonciations ne donnent pas lieu à des sanctions, loin s'en faut. 

En quoi la LPD révisée se distingue-t-elle du RGPD de l'UE?

De manière générale, on peut dire que les deux textes ne se contredisent pas et que les responsables de traitement qui respectent le RGPD se conforment également à la nouvelle LPD. Il existe néanmoins des différences de contenu. Ainsi, la nLPD part du principe que les personnes privées peuvent traiter des données personnelles, alors que le RGPD ne l'autorise que lorsque des raisons particulières le justifient. Les sanctions sont également réglées de manière très différente. Alors que les autorités de protection des données des pays de l'UE peuvent infliger des amendes élevées aux entreprises, mon autorité ne dispose d'aucune compétence en matière de sanctions, même en vertu du nouveau droit. L'imposition d'amendes selon la nLPD reste l'affaire des autorités pénales ordinaires de la Confédération et des cantons. Comme les amendes prévues par la nLPD s'adressent en premier lieu aux personnes physiques, qui sont plus sensibles aux sanctions que les personnes morales, elles sont, avec un plafond de 250'000 francs, nettement moins élevées que les amendes que les autorités de protection des données des Etats de l'UE peuvent infliger aux entreprises. La différence la plus importante réside toutefois dans le champ d'application totalement différent des deux textes : le RGPD a communautarisé le droit de la protection des données dans l'ensemble de l'UE et introduit des mécanismes de coordination entre les autorités de surveillance des États membres, qui exécutent ce texte de loi de manière supranationale en tant qu'organes d'exécution de l'UE. En revanche, la nLPD de la Suisse est une loi fédérale qui oblige les autorités fédérales et les entreprises du secteur privé, mais pas les administrations cantonales dont mes collègues des cantons et des communes supervisent les activités de traitement. La collaboration entre les autorités de protection des données de la Confédération et des cantons et nos échanges dans le cadre de l'association privatim fonctionnent parfaitement. Toutefois, ils se distinguent considérablement, en termes d'étendue et de contrainte, de la coopération entre les autorités de surveillance des pays de l'UE au sein du Comité européen de la protection des données. Au sein de ce dernier, mon autorité n'est représentée que de manière très limitée en raison de la participation de la Suisse à l'accord de Schengen.

AMENDES

La LPD révisée prévoit des amendes allant jusqu'à 250’000 francs à l'encontre des personnes physiques. Quel type d'infraction serait passible d'une telle amende? 

La loi prévoit des amendes en cas de violation de l'obligation d'informer, de renseigner et de collaborer. Ensuite, en cas de non-respect du devoir de diligence, par exemple en cas de communication de données personnelles à l'étranger, de traitement sur mandat ou de non-respect des prescriptions relatives à la sécurité technique des données. Une amende n'est infligée que si ces obligations ont été violées intentionnellement et qu'une plainte pénale a été déposée. 

Une amende n'est infligée que si ces obligations ont été violées intentionnellement et qu'une plainte pénale a été déposée. 

Pourquoi seules les personnes physiques sont-elles pénalement responsables dans la nouvelle LPD et non les entreprises comme dans le RGPD? 

Il s'agit probablement en premier lieu de raisons liées aux compétences. Alors que l'UE n'a, à ma connaissance, aucune compétence législative en matière de sanctions contre les personnes physiques, la Confédération ne dispose pas d'un droit pénal général des entreprises au niveau fédéral. La nLPD prévoit tout de même une obligation d'amende subsidiaire pour les entreprises, si aucun auteur ne peut y être trouvé avec des efforts proportionnés. La limite supérieure de 50 000 francs est toutefois modeste.

Selon vous, combien d'amendes seront infligées au cours des trois prochaines années?

Le droit pénal a une fonction d'exemplarité. Celui qui fait fi des droits de la personnalité et de la sphère privée des citoyens ou des clients en violant délibérément la nLPD lors du traitement de leurs données et qui porte ainsi atteinte aux personnes concernées et à la réputation de son autorité ou de son entreprise, est passible d'une amende et d'une inscription au casier judiciaire en cas de condamnation pénale. La jurisprudence future des autorités pénales compétentes montrera à quelle fréquence les amendes sont infligées et pour quels montants.