Indice
En 2010, l’Office fédéral de la justice a décidé de faire évaluer la loi fédérale sur la protection des données (LPD)1. La loi, entrée en vigueur en 1993, avait alors presque 20 ans.
L’évaluation a montré que la LPD ne permettait plus de faire suffisamment face aux nouveaux dangers induits par les développements technologiques et sociétaux (Bolliger/Féraud/Epiney/Hänni 2011). Ces conclusions étaient prévisibles dans la mesure où la loi date d’une époque où l’Internet pour tous relevait encore de la science-fiction, alors qu’il est question aujourd’hui d’intelligence artificielle, de Big Data, de profilage prédictif – financier, médical, publicitaire, et même criminel – ou d’objets connectés. Il faut noter que l’évaluation, par manque de ressources principalement, n’a porté que sur certains aspects de la loi, à savoir sa notoriété et l’efficacité de sa mise en œuvre. Par ailleurs, les révisions de 2008 (RO 2007 4983) et de 2010 (RO 2010 3387) n’ont pas été examinées, faute de disposer du recul nécessaire. On peut toutefois présumer que les résultats de l’évaluation n’auraient pas été différents dans la mesure où ces révisions n’ont entraîné que des actualisations ponctuelles.
Suite aux conclusion de l’évaluation, le Conseil fédéral a chargé le Département fédéral de justice et police (DFJP) d’examiner quelles mesures législatives pouvaient améliorer l’efficacité de la législation en matière de protection des données2. Un groupe de travail a été constitué. Son rapport a été publié en octobre 20143. Sur cette base notamment, le Conseil fédéral a décidé d’aller de l’avant avec une révision totale de la LPD. Le projet de loi (FF 2017 6803) et le message (FF 2017 6565) ont été adoptés par le Conseil fédéral le 15 septembre 2017. Le projet comprenait principalement une révision totale de LPD et la révision partielle d’autres lois fédérales. Il devait permettre de renforcer la protection des données, et dans le même temps de mettre en œuvre la directive (UE) 2016/680 sur la coopération judiciaire et policière dans le domaine pénal4, qui fait partie de l’acquis de Schengen (directive [UE] 2016/680). Le projet devait aussi permettre à la Suisse de se rapprocher des exigences du Règlement (UE) 2016/6795 afin de s’assurer que la décision d’adéquation de la Commission européenne dont elle bénéficie soit reconduite. Il devait enfin créer un cadre légal suffisant pour que la Suisse puisse sans autre révision ratifier le Protocole d’amendement à la Convention 108 du Conseil de l’Europe. Ce protocole a été adopté par le Conseil des ministres le 18 mai 20186. Il est ouvert à la signature depuis le 10 octobre 20187.
En janvier 2018, la Commission des institutions politiques du Conseil national (CIP-N) a décidé de scinder le projet du Conseil fédéral susmentionné. Elle a souhaité traiter dans un premier temps uniquement les modifications nécessaires à la reprise de l’acquis de Schengen, et différer l’examen de la révision totale de la LPD, afin principalement de permettre à la Suisse de transposer la directive (UE) 2016/680 aussi vite que possible. Dans ce but, la CIP-N a chargé l’administration fédérale d’élaborer une loi pour les aspects Schengen uniquement. Cette loi a été adoptée par le Parlement le 28 septembre dernier (FF 2018 6049), et devrait entrer en vigueur le 1er mars 2019. Le délai référendaire court jusqu’au 17 janvier 2019.
La CIP-N a commencé les discussions de détail sur le projet de révision totale de la LPD (P-LPD) en août 2018. La loi devrait être examinée par le Conseil national dans la première moitié de 2019.
La LPD est une loi transversale (Querschnittsgesetz), en ce sens qu’elle s’applique aussi bien au secteur privé qu’au secteur public fédéral. Les traitements de données opérés par des organes cantonaux relèvent eux du droit cantonal, sous réserve de l’art. 37 LPD, ou de législations fédérales contenant des normes matérielles de protection des données (asile, assurances sociales notamment). Cette caractéristique correspond à la solution adoptée selon nos informations par la majorité de nos pays voisins, de même que par le législateur européen pour le Règlement (UE) 2016/679.
La LPD est une loi-cadre. Elle s’applique à tous les domaines juridiques, sous réserve d’une volonté contraire du législateur.
La LPD est dans une large mesure neutre technologiquement. Elle concerne tous les types de traitements de données personnelles (collecte, conservation, archivage, effacement, modification des données) et n’opère dans la mesure du possible pas de différence entre les techniques utilisées. Les traitements peuvent être manuels ou automatisés. Ils peuvent découler de l’utilisation de caméras, d’Internet, de photos, de téléphones portables ou d’une feuille et d’un crayon.
Ces trois piliers de la protection des données ont permis à la loi de résister près de 20 ans à une obsolescence programmée par les avancées technologiques et la modification des comportements sociaux. Par cette raison, le Conseil fédéral a fait le choix de conserver ces caractéristiques dans son projet.
Les particularités présentées ci-dessus n’ont pas que des avantages. Elles impliquent un besoin de concrétisation et de différenciation accru, selon le secteur concerné, ou selon la technologie utilisée. Ce besoin est encore accentué par le fait que le projet de révision opte clairement pour une approche fondée sur le risque : plus un traitement de données comporte des risques pour les droits des personnes concernées, plus les responsables du traitement seront soumis à des règles sévères. Les entreprises dont le fonds de commerce réside dans le traitement de données sensibles ne présentent en effet pas le même risque que celles qui ont uniquement des fichiers clients contenant leurs coordonnées ainsi que leurs préférences culinaires. Encore qu’une préférence culinaire peut révéler une intolérance alimentaire, et donc une donnée relative à la santé, soit une donnée sensible !
Cette approche fondée sur le risque se matérialise à différents endroits de la loi. Ainsi, par exemple, les mesures techniques concrètes à prendre pour satisfaire au principe de privacy by default (art. 6 P-LPD) dépendent en très grande partie des risques inhérents au traitement. Tel est le cas également des mesures à prendre pour garantir la sécurité des données (art. 7 P-LPD). Les informations à fournir à la personne concernée lors de la collecte de ses données ou celles à transmettre dans le cadre du droit d’accès dépendront aussi en partie des risques liés au traitement (art. 17, al. 2 et 23, al. 2, P-LPD). Enfin, l’existence d’un risque élevé constitue la condition pour devoir effectuer une analyse d’impact relative à la protection des données (art. 20 P-LPD) ou pour annoncer les violations de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (Préposé).
Compte tenu notamment de la quantité de domaines visés par la loi, de la diversité des types de traitements, du nombre incalculable d’acteurs concernés et des évolutions technologiques à venir, force est de constater, comme l’a fait le Conseil fédéral, qu’une réglementation purement étatique, légale ou réglementaire, n’est pas suffisante. Un système efficace de protection des données se doit d’être élaboré avec la participation des milieux intéressés. Ce sont eux qui sont les plus à même de proposer des solutions réalisables et adaptées à leurs situations particulières. Les associer au processus réglementaire permettra également de les responsabiliser, et de faire naître au sein des différentes branches des pratiques plus précises, respectueuses de la protection des données, et bien acceptées. L’introduction d’instruments d’autorégulation a d’ailleurs été plébiscitée par les responsables du traitement interrogés dans le cadre de l’analyse d’impact de la réglementation réalisée lors de l’élaboration de l’avant-projet de loi (PwC / B,S,S. 2016, p. 106-107).
Il convient ici de souligner que certains milieux intéressés n’ont pas attendu la révision de la loi, ou l’entrée en vigueur du règlement (UE) 2016/679, pour adopter des codes de conduite. Ainsi, dans le domaine de l’Internet et des télécommunications, certaines organisations ont adopté des textes qui, bien que n’étant pas spécialement orientés vers la protection des données, protègent aussi les droits des personnes concernées dans ce domaine dans certaines situations. On peut citer ici le Code de conduite Hébergement de la Simsa du 1er février 2013, qui est un code de conduite destiné aux fournisseurs suisses de services d’hébergement8 ou l’initiative sectorielle de l’asut pour la protection de la jeunesse face aux médias de septembre 2018, qui prévoit des obligations pour ses signataires concernant le blocage de certains sites Internet et la mise en œuvre de mesures pour améliorer la protection de la jeunesse dans les nouveaux médias9. Dans un tout autre domaine, on peut aussi citer le Code de conduite relatif à la protection des données à caractère personnel de novembre 2015 du Réseau des liens familiaux du Mouvement international de la Croix-Rouge et du Croissant-Rouge10.
L’avant-projet du Conseil fédéral (AP-LPD) proposait des « recommandations de bonnes pratiques ». L’art. 8, al. 1, AP-LPD prévoyait une compétence du Préposé d’édicter ces recommandations pour le secteur privé et le secteur public fédéral. Il devait pour ce faire consulter les milieux concernés, soit tant les organisations proches de l’économie que celles représentant les consommateurs. Il devait ainsi tenir compte des particularités des divers domaines ainsi que du besoin de protection des personnes particulièrement vulnérables (personnes âgées, mineurs ou personnes en situation de handicap). L’art. 8, al. 2, AP-LPD prévoyait que les responsables du traitement et les milieux intéressés, sous-entendu les branches, pouvaient édicter leurs propres recommandations ou compléter celles du Préposé. Ils étaient ensuite libres de lui faire approuver leurs textes. Ce dernier devait dans tous les cas publier ses recommandations ainsi que celles qu’il avait approuvées.
L’art. 9, al. 1, AP-LPD prévoyait que si les responsables du traitement respectaient les recommandations publiées, ils respectaient de facto la loi, les recommandations ne faisant que la concrétiser. L’alinéa 2 prévoyait expressément que les dispositions de protection des données pouvaient être respectées autrement que par les recommandations, mettant ainsi en exergue le caractère facultatif de celles-ci.
Ces dispositions ont reçu un accueil mitigé lors de la consultation externe. Si le principe même de favoriser l’autoréglementation a été bien accueilli, le mécanisme choisi a lui été très critiqué. Les milieux économiques principalement ont estimé que le système conférait un rôle trop important au Préposé, ce qui entraînait une concentration de pouvoir entre ses mains inadmissible (la révision prévoit de renforcer le rôle du Préposé sous d’autres aspects encore elle lui confère notamment le pouvoir de rendre des décisions contraignantes – ce qui peut en partie expliquer les craintes exprimées). Le fait qu’il puisse édicter lui-même des recommandations lui conférait un statut d'autorité législative, sans pour autant qu’un contrôle démocratique ne soit prévu. Dans les faits, et quand bien même ses recommandations étaient facultatives, les tribunaux ne s’en seraient pas écartés. Par ailleurs, l’approbation des recommandations par le Préposé posait problème, dans la mesure où tout laissait à penser qu’il s’agissait d’une décision, sans pour autant qu’une voie de recours ne soit aménagée. Cette impression de toute puissance du Préposé était encore renforcée par l’art. 9, al. 1, AP-LPD qui, pour certains, instituait une fiction en cas de respect des recommandations publiées11.
Compte tenu des résultats de la consultation externe, le Conseil fédéral a passablement remanié sa proposition. Les recommandations de bonnes pratiques ont ainsi laissé place à des « codes de conduite » (art. 10 P-LPD).
Afin d’éviter les problèmes liés à une concentration de pouvoirs, il n’est plus prévu que le Préposé intervienne dans l’élaboration des codes. Les branches décident souverainement d’édicter ou non des règles d’autorégulation. La loi prévoit uniquement qu’elles peuvent – mais ne doivent pas – soumettre les codes qu’elles ont élaborés au Préposé.
Pour le secteur public, les codes peuvent être soumis au Préposé pas des organes fédéraux isolés. Pour le secteur privé en revanche, seuls peuvent l’être les codes émanant d’associations professionnelles et d’associations économiques que leurs statuts autorisent à défendre les intérêts économiques de leurs membres. L’idée est de parvenir à une certaine standardisation des pratiques par domaines ou types de traitements, ce qui ne peut se faire que moyennant une position consolidée au sein des branches.
L’art. 10, al. 2, P-LPD prévoit que le Préposé prend position sur le code qui lui est soumis. Cette prise de position ne constitue pas une décision. Une prise de position favorable n’implique ainsi pas que les traitements décrits sont conformes à la loi, et aucun droit ne peut en être déduit. De la même manière, une prise de position défavorable ou l’absence de prise de position du Préposé ne veut pas dire que les traitements envisagés sont contraires à la loi.
La loi ne prévoit pas de délai pour le Préposé s’agissant du rendu de sa prise de position. Il dépendra du cas d’espèce, mais ne devrait, selon le message, pas dépasser 2 mois. Le Préposé doit publier toutes ses prises de position.
Le projet de loi prévoit une obligation pour les responsables du traitement, de procéder à une analyse d’impact relative à la protection des données lorsque que le traitement envisagé comporte un risque élevé pour les droits des personnes concernées (art. 20, al. 1, P-LPD).
L’analyse se fait en deux temps. Tout d’abord, le responsable du traitement doit déterminer si le traitement est susceptible d’entraîner un risque élevé. Cela la dépendra de la nature, de l’étendue, des circonstances et de la finalité du traitement. La loi cite à titre exemplatif et alternatif trois cas de figure dans lesquels on admet un tel risque (art. 20. al. 2, P-LPD).
Si le responsable du traitement arrive à la conclusion que le traitement est susceptible d’entraîner un risque élevé, il procède à l’analyse proprement dite. Cette dernière doit notamment exposer le traitement envisagé, soit les différents processus (par ex. la technologie utilisée), la finalité du traitement ou la durée de conservation des données personnelles, contenir une évaluation concrète des risques existants et enfin, exposer les mesures prévues pour faire face à ce risque (art. 20, al. 3, P-LPD). Lorsque le responsable du traitement estime qu’un risque résiduel significatif demeure malgré les mesures qu’il envisage de prendre ou qu’il a prises, il doit consulter le Préposé préalablement au traitement (art. 21, al. 1, P-LPD).
Afin d’alléger la charge administrative pour les responsables du traitement, le projet de révision prévoit des exceptions à l’obligation d’effectuer une analyse d’impact. L’une d’entre elles est en lien avec les codes de conduite. La loi prévoit en effet que le responsable du traitement est délié de son obligation s’il se conforme à un code de conduite, et que les conditions suivantes soient réunies : le code doit lui-même se fonder sur une analyse d’impact qui a permis d’évaluer les risques que le traitement implique, il doit prévoir les mesures adéquates pour protéger la personnalité et les droits fondamentaux des personnes concernées, et il doit avoir été soumis au Préposé (art. 20, al. 5, P-LPD).
Le Conseil fédéral a opté pour une solution pragmatique, peu formaliste et qui limite la charge administrative tant pour les associations professionnelles et économiques et pour les responsables du traitement que pour le Préposé. Cette solution soulève toutefois certaines questions, qui sont inhérentes à ce type d’approche.
Ainsi, par exemple, la question de la nature juridique des prises de position du Préposé se pose. On l’a vu, ces dernières, qu’elles soient positives ou négatives, ne constituent pas des décisions, si bien qu’il n’y a en principe pas de voie de recours. Il s’agit à notre sens d’actes matériels. La protection juridique, au niveau fédéral, est dans ce cas réglée par l’art 25a (PA)12 (pour plus de détails sur la question de la protection juridique en présence d’actes matériels, nous renvoyons à la contribution de la Prof. Daniela Thurnherr « Rechtsschutz im Kontext von « soft law » – eine Auslegeordnung » ci-après).
Par ailleurs, la question des effets des prises de position est également pertinente. Certes, elles ne sont pas contraignantes, et les responsables du traitement ne sauraient déduire des droits d’une prise de position positive, ni des obligations d’une prise de position négative. Tout laisse cependant à penser que le Préposé n’ouvrira pas d’enquête, ou n’interdira pas un traitement qui repose sur un code de conduite « avalisé », à moins que des éléments nouveaux ne laissent penser que les traitements sont illicites. On peut aussi présumer que d’autres autorités, administratives, civiles ou pénales, se reposeront dans une large mesure sur l’examen du Préposé. On peut dès lors se demander si la prise de position du Préposé ne crée pas une sorte de présomption selon laquelle les traitements conformes à un code au sujet duquel le Préposé n’a pas formulé d’objections, alors que ceux conformes à un code douteux ne le sont pas. Mais n’est-ce pas là d’une certaine manière l’effet souhaité ?
Enfin, on peut se questionner sur l’importance de la prise de position du Préposé dans le cadre de l’exception à l’obligation d’effectuer une analyse d’impact relative à la protection des données (art. 20, al. 5, P-LPD). Cette disposition prévoit, pour que le responsable du traitement puisse se prévaloir de l’exception, que le code ait été soumis au Préposé. Le texte de loi n’exige dans ce cadre pas que le Préposé prenne effectivement position, ou que sa prise de position soit positive. Il semble même admettre qu’une prise de position négative n’ait pas d’incidence. Cette solution est certes en ligne avec l’absence de caractère contraignant des prises de positions, mais pourrait être vue comme un affaiblissement de l’institution de l’analyse d’impact. En réalité, le Préposé pourra toujours ouvrir une enquête si ses objections n’ont pas été prises en compte. Il a donc tout intérêt à formuler ses remarques lorsqu’il est invité à le faire.
Les branches ont toujours été libres d’élaborer des codes de conduite dans le domaine de protection des données. Elles l’ont à notre connaissance peu fait, se contentant souvent d’insérer une rubrique y relative dans leurs conditions générales, informant des finalités du traitement ou des données collectées.
En mettant en valeur les codes de conduite, par une publication de la prise de position du Préposé ainsi que par un allégement s’agissant de l’obligation de réaliser une analyse d’impact, le Conseil fédéral entend encourager les branches à développer cet instrument. Cela sera l’occasion pour elles de préciser certaines notions, telles que le risque élevé (art. 20 P-LPD) ou les modalités de certains devoirs, tels que le devoir d’information (art. 17 à 19 P-LPD) et ainsi de développer des solutions plus précises et adaptées à leurs besoins.
Les questions laissées ouvertes s’agissant de la nature des codes de conduite et de leurs effets ne devraient en pratique pas soulever de grandes difficultés. En effet, les responsables du traitement concernés par une prise de position du Préposé pourront faire valoir leurs griefs à l’occasion d’un recours contre une décision s’y référant. Une soumission obligatoire des codes au Préposé, avec à la clé une décision, aurait peut-être conféré plus de poids à ces derniers. Toutefois, une telle solution aurait entraîné une charge de travail conséquente dans la mesure où le Préposé aurait dû se conformer dès la soumission d’un code aux règles plus strictes de la procédure administrative fédérale (droit d’être entendu, devoir de motivation, respect des délais, etc.) et serait allée à l’encontre des craintes exprimées lors de la consultation externe s’agissant d’une concentration de pouvoirs en mains du Préposé. Au final, il nous paraît que le système choisi par le Conseil fédéral permet de tenir compte des intérêts divergents des différents acteurs concernés.
Monique Cossali Sauvain, lic. iur., cheffe de l’unité Projets et méthode législatifs, Office fédéral de la justice, Berne, monique.cossali@bj.admin.ch.
Camille Dubois, avocate, collaboratrice scientifique dans l’unité Projets et méthode législatifs, Office fédéral de la justice, Berne, camille.dubois@bj.admin.ch.
- Christian Bolliger/Marius Féraud/Astrid Epiney/Julia Hänni, Evaluation des Bundesgesetzes über den Datenschutz – Schlussbericht, Berne 10 mars 2011.
- Conseil fédéral, Message du 17 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565 (cité FF 2017).
- PricewaterhouseCoopers AG (PwC)/B,S,S. Volkswirtschaftliche Beratung AG, Regulierungsfolgenabschätzung (RFA) zur Revision des eidg. Datenschutzgesetzes (DSG) – Schlussbericht, juin 2016 (cité PwC/B,S,S.).
- 1 Loi fédérale du 19 juin 1992 sur la protection de données (LPD ; RS 235.1).
- 2 Les motivations et conclusions du Conseil fédéral sont consignées dans le Rapport du 9 décembre 2011 sur l'évaluation de la loi fédérale sur la protection des données ; FF 2012 255.
- 3 Esquisse d'acte normatif relative à la révision de la loi sur la protection des données du Groupe d'accompagnement Révision LPD, 29 octobre 2014.
- 4 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ; JO L 119 du 4. mai 2016, p. 89.
- 5 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ; JO L 119 du 4. mai 2016, p. 1.
- 6 Convention du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (LPD).
- 7 22 Etats ont à ce jour signé: https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/223/signatures?p_auth=NPIfUMPC.
- 8 https://simsa.ch/_Resources/Persistent/2260a505424ef1e0c8100899a6f38a06e4a4ecff/130201-simsa-cch-public-f.pdf.
- 9 https://asut.ch/asut/resources/documents/201810_initiative_sectorielle_protection_jeunesse_médias.pdf.
- 10 https://www.icrc.org/fr/download/file/70744/160886b_fr-code-of-conduct-on-data-protection_revise-final_fr.pdf.
- 11 Voir le rapport sur la consultation externe de l'OFJ du 10 août 2017, p. 21ss (https://www.bj.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutzstaerkung/ve-ber-f.pdf).
- 12 Loi fédérale sur la procédure administrative (PA ; RS 172.021) du 29 décembre 1968.