Le 15 septembre 2017, le Conseil fédéral a publié le projet et le message d'une nouvelle loi sur la protection des données (LPD). La consultation sur l'avant-projet avait suscité de vives critiques, en particulier un "Swiss Finish" trop large par rapport aux exigences du règlement général sur la protection des données de l'UE (RGPD). Le projet adopte maintenant une approche davantage fondée sur les risques et neutre du point de vue technologique. Concernant son contenu, le projet est plus proche du RGPD et de la LPD actuelle que l'avant-projet (voir à ce sujet le Schellenberg Wittmer newsletter de mars 2017).

Ce bulletin d'information vise à mettre en lumière certains aspects pertinents et certaines différences par rapport à l'avant-projet, sans prétendre être exhaustif.

Les changements les plus importants par rapport à l'avant-projet

Dans l'avant-projet, l'obligation de documentation complète, mais pas clairement définie, a fait l'objet de vives critiques. L'obligation de documentation a été remplacée par l'obligation du responsable du traitement (controller) et du sous-traitant (processor) de tenir un registre des activités de traitement. Le Conseil fédéral peut exempter les entreprises de moins de 50 employés de l'obligation de tenir un tel registre, à condition que leurs activités présentent un risque limité d'atteinte à la personnalité des personnes concernées. Cela allégerait notamment les PME non numériques de la charge administrative.

L'obligation des responsables du traitement de procéder à une analyse d'impact relative à la protection des données personnelles (privacy impact assessment) et de la soumettre au préposé (préposé fédéral à la protection des données et à la transparence) a également été atténuée. Les responsables du traitement ne devront procéder à une analyse d'impact relative à la protection des données personnelles que s'il existe un risque "élevé" pour la personnalité ou les droits fondamentaux des personnes concernées; ce seuil correspond à celui du RGPD.

Dans le cas d'un traitement des données certifié ou fondé sur des codes de conduite (voir ci-dessous), une analyse d'impact exhaustive relative à la protection des données personnelles peut être omise. Le responsable du traitement est également exempté de l'obligation de consulter le préposé s'il consulte son conseiller d'entreprise à la protection des données (réintroduit dans le projet). Ces modifications promettent de réduire la charge écrasante et coûteuse des analyses d'impact relative à la protection des données personnelles, qui a été critiquée dans le cadre de la consultation. Dans le cas d'un transfert à l'étranger, l'exportateur de données n'est plus tenu de procéder à une évaluation séparée si le Conseil fédéral a pris une décision d'adéquation. Dans ce cas, l'exportation de données personnelles de la Suisse vers le pays de destination est considérée comme autorisée sans vérification supplémentaire par le responsable du traitement. Il suffira de consulter la liste des états considérés comme assurant un niveau de protection adéquat. L'obligation d'aviser le préposé a également été assouplie; en particulier, une notification n'est plus requise lorsqu'on utilise des clauses type de protection des données préalablement établies par le préposé. Si d'autres clauses de protection des données sont utilisées, il n'est plus nécessaire de les faire approuver comme c'est le cas actuellement dans la LPD.

Afin de promouvoir l'autorégulation, le concept de codes de conduite (best practices) a été introduit, qui spécifient, par exemple, le "risque élevé", l'obligation de fournir des informations ou l'obligation de procéder à une analyse d'impact relative à la protection des données personnelles. A la différence de l'avant-projet, seules les associations professionnelles et les associations économiques dont le but statutaire inclut la défense des intérêts économiques de leurs membres sont autorisées à définir de tels codes. Contrairement au RGPD et à l'avant-projet, le préposé ne pourra que publier des prises de position sur les codes; il ne sera pas nécessaire de les faire approuver par le préposé. Sa prise de position ne sera pas juridiquement contraignante.

Les obligations des sous-traitants seront moins nombreuses que dans l'avant-projet. Outre l'exemption de l'analyse d'impact relative à la protection des données personnelles, ils ne sont pas tenus d'appliquer le privacy by design ou privacy by default ni de fournir des informations aux personnes concernées, même si le responsable du traitement est inconnu ou a son siège en dehors de la Suisse.

La peine maximale pour les infractions à la LPD a été réduite de moitié, à 250'000 francs suisses, et la liste des infractions passibles de sanctions a également été réduite. La négligence n'est plus punie. Les sanctions frappent encore principalement les personnes physiques. L'entreprise peut être condamnée à payer des amendes pouvant aller jusqu'à 50'000 francs suisses au lieu de l'employé si l'enquête rendrait nécessaires des mesures d'instruction disproportionnées. Contrairement à son homologue dans le cadre du RGPD, le préposé ne pourra pas imposer de sanctions administratives. Bien que les sanctions aient été réduites dans leur ensemble par rapport à l'avant-projet, le maintien du système de sanctions (criminalisation de la personne physique au lieu de sanctions administratives pour les entreprises) est un inconvénient du projet.

Premières conclusions et perspectives

Les critiques formulées au cours de la consultation ne sont pas restées sans réponse. Le projet est désormais plus aligné sur le RGPD ainsi que sur la LPD actuelle que l'avant-projet. L'idée d'un "Swiss Finish" a été largement abandonnée et de nombreux obstacles administratifs ont été levés. Le projet continue à garantir que la Suisse offre un niveau de protection des données adéquat du point de vue de l'UE, sans créer d'obstacles excessifs pour les entreprises domiciliées ou opérant en Suisse.

Le projet sera discuté au Parlement lors de la session d'hiver de 2017 et éventuellement lors de la session de printemps de 2018. Il est fort probable qu'il sera adopté par le Parlement à la fin de la session de printemps 2018, ce qui déclenchera la période référendaire de trois mois, de sorte que la loi révisée sur la protection des données (et l'ordonnance correspondante) ne devrait pas entrer en vigueur avant l'été 2018.