Login für Mitglieder
Login für Mitglieder
Mitglied werden
Mitglied werden

Protection des données

En septembre 2017, le Conseil fédéral a présenté son projet de révision totale de la loi sur la protection des données (LPD révisée, abrégé P-LPD). Cette révision tient compte des développements récents au sein de l’UE et du Conseil de l’Europe. Elle poursuit notamment les objectifs suivants : offrir davantage de transparence aux personnes concernées, renforcer l’indépendance du Préposé fédéral à la protection des données et à la transparence (PFPDT), et garantir que la Commission européenne continue de reconnaître la Suisse comme un pays tiers disposant d’un niveau de protection adéquat, permettant ainsi la poursuite des transferts transfrontaliers de données.

La révision du droit suisse de la protection des données a été débattue dans les deux Chambres et se trouve encore dans la procédure d’élimination des divergences. Certaines divergences subsistent et feront encore l’objet de discussions ; cependant, les modifications essentielles suivantes sont déjà connues, à condition que le projet n’échoue pas:

Sanctions pénales à l’encontre des personnes physiques

Comme dans la version actuelle de la LPD, la version révisée prévoit des dispositions pénales, mais la liste des infractions punissables a été sensiblement étendue. Une amende maximale de 250 000 CHF y est désormais expressément prévue. Contrairement au RGPD, les amendes ne visent les entreprises que dans des cas exceptionnels, lorsque les mesures d’enquête à l’encontre des personnes physiques concernées seraient disproportionnées au regard de la sanction envisagée (art. 58 P-LPD).

À l’instar du RGPD, le P-LPD introduit l’obligation pour le responsable du traitement et le sous-traitant de tenir un registre des activités de traitement (art. 11 P-LPD). Le Conseil fédéral prévoit une exception pour les entreprises comptant moins de 250 collaborateurs·trices et dont le traitement de données n’entraîne qu’un faible risque d’atteinte à la personnalité des personnes concernées.

L’article 6 P-LPD consacre explicitement les principes de « protection des données dès la conception » et de « protection des données par défaut ». Le responsable du traitement est tenu d’organiser le traitement des données dès la phase de planification, sur les plans technique et organisationnel, de manière à respecter les dispositions en matière de protection des données (Privacy-by-Design). Il doit également veiller, au moyen de réglages par défaut appropriés, à ce que le traitement des données personnelles soit limité au strict nécessaire pour la finalité prévue (Privacy-by-Default).

Contrairement au droit actuellement en vigueur, qui se contente d’exiger que le traitement des données soit identifiable pour les personnes concernées, le P-LPD introduit une obligation générale d’information active à l’égard de la personne concernée lors de toute collecte de données personnelles.

Selon le P-LPD, les responsables du traitement doivent procéder à une évaluation d’impact sur la protection des données lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

Les responsables du traitement doivent informer le PFPDT aussi rapidement que possible en cas de violation de données si celle-ci présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

État actuel des débats: Le Conseil des États a poursuivi le 2 juin 2020 la procédure d’élimination des divergences, sans toutefois la clore. Les délibérations au Conseil national sont attendues lors de la session d’automne (7–25 septembre 2020). Il n’est pas encore clair si les divergences restantes pourront être réglées à ce stade ou s’il faudra recourir à une conférence de conciliation (après trois lectures, avec des représentants des deux Chambres).

Informations complémentaires: