Souvent qualifié d’ambitieux par la littérature juridique (de Terwangne et al. 2016, 6; Poullet 2018), le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L n°119 du 4 mai 2016, p. 1, ci-après : RGPD) est le résultat d’un long processus politique et législatif à l’échelle de l’Union européenne (ci-après : UE) visant à trouver un équilibre entre deux exigences antagonistes. Il s’agissait ainsi d’adapter la législation européenne, adoptée en 1995, à l’inflation liée à la collecte, au traitement ou encore au transfert des données induite par l’usage accru d’internet, d’une part, tout en garantissant un niveau de protection en adéquation avec cette évolution technologique, d’autre part (Fanti 2017). Sous l’angle helvétique, la réforme de la Loi fédérale du 19 juin 1992 sur la protection des données (RS 235.1, ci-après : LPD) répondait à des objectifs similaires en ce qu’elle visait à actualiser la loi, en vigueur depuis 1993, pour faire face aux nouveaux dangers induits par les développements technologiques et sociétaux (Dubois 2017, 54).
Bien que les réformes entreprises tant par l’UE que par la Suisse poursuivaient des objectifs convergents, force est cependant de constater que leur mise en œuvre s’est faite de façon sensiblement divergente d’un point de vue légistique. En effet, le Conseil fédéral suisse tend traditionnellement à réaffirmer l’autonomie du législateur helvétique, critiquant à cet égard l’approche de l’UE qu’il a parfois jugée « très difficile à comprendre et d’accès malaisé » (Conseil fédéral 2007, 5796) et qu’il a en outre caractérisée de « prose réglementaire abondante et compliquée » (Conseil fédéral 2007, 5797). En ce sens, les nouvelles dispositions de la LPD devraient être perçues comme des normes simples et compréhensibles, rédigées selon les canons helvétiques et qui se rapprocheraient de la législation européenne uniquement dans la mesure jugée nécessaire pour atteindre les objectifs visés et produire les effets escomptés (Flückiger 2008).
Toutefois, dans les lignes qui suivent, nous mettrons en exergue que le processus de réforme ou de révision totale de la LPD – entendu comme la transformation en profondeur de la LPD existante et actuellement en vigueur en vue de son amélioration – se fait implicitement l’écho des circonstances ayant entouré l’adoption du RGPD – entendu comme le nouvel acte juridique de l’UE qui a abrogé la Directive 95/46/CE et qui a fait l’objet d’une publication autonome au Journal officiel de l’UE. Autrement dit, nous estimons que certains développements à l’échelle de l’UE ont exercé – et continuent d’exercer – une influence sur le processus de modification de la législation suisse en matière de protection des données. En ce sens, nous entendons par « influence » la faculté reconnue aux institutions de l’UE ou à d’autres acteurs actifs à l’échelle de l’UE et à leurs actions de régir l’opinion ou de jouer un rôle déterminant, directement ou indirectement, dans l’organisation des affaires publiques helvétiques, et ce même en l’absence de tout accord international entre la Suisse et l’UE. Nous argumentons ainsi que les circonstances entourant le processus législatif propre à l’UE sont susceptibles d’exercer une influence sur le processus législatif suisse et qu’une meilleure conscience, connaissance et prise en compte de cette influence pourraient permettre, aux différents stades du processus législatif helvétique, tant d’anticiper certaines problématiques que d’améliorer l’efficacité dudit processus.
Après une brève retranscription des principales étapes du processus d’adoption du RGPD (ch. 2.1.) et de réforme de la LPD (ch. 2.2), nous identifierons des influences de diverses natures provenant du premier processus législatif qui ont visiblement impacté le second. Sans prétendre à l’exhaustivité, nous limiterons notre propos à deux types d’influences quelque peu négligées dans la littérature juridique, dans la mesure où celle-ci a essentiellement mis l’accent sur l’influence des instruments de protection des « droits fondamentaux » dans le processus d’adoption du RGPD (Agence des droits fondamentaux de l’UE / Conseil de l’Europe 2019; Debaets 2017; González Fuster 2014; Tzanou 2017). Ainsi, nous examinerons d’abord l’impact des considérations d’ordre économique portées par les acteurs économiques et certaines institutions de l’UE – craignant que l’adoption d’une législation européenne trop restrictive ne nuise aux échanges transfrontaliers de données – à l’échelon helvétique (ch. 3.1). En effet, bien que le commerce ne figure pas parmi les motivations prioritaires à la base de cette réforme, les liens économiques étroits qu’entretiennent la Suisse et l’UE ont pour conséquence que de telles considérations économiques ont nécessairement influencé sur le processus législatif helvétique.
Ensuite, malgré l’absence d’obligations juridiques de la Suisse de reprendre ou de se conformer, dans sa propre législation, au contenu matériel du RGPD, il n’en demeure pas moins que l’adoption de ce dernier a soumis le processus de réforme de la LPD et le contenu de cette dernière à certaines contraintes d’ordre juridique (ch. 3.2). Ainsi, tant le choix du législateur européen de remplacer une directive par un règlement et de ne laisser désormais que très peu de marge de manœuvre aux États membres sur le plan national, d’une part, que les liens juridiques étroits qu’entretiennent la Suisse et l’UE de par leurs accords bilatéraux, d’autre part, comportent inéluctablement des répercussions sur le choix et le contenu des instruments législatifs suisses pertinents dans le domaine de la protection des données. A cet égard, rappelons qu’un règlement est contraignant et doit être mis en œuvre dans son intégralité par tous les États membres de l’UE, tandis qu’une directive se contente de fixer des objectifs auxdits États, ces derniers restant cependant libres d’élaborer les mesures pour atteindre lesdits objectifs (art. 288 du Traité sur le fonctionnement de l’UE (JO C n°326 du 26 octobre 2012, p. 47), ci-après : TFUE).
Précisons encore que l’objectif de la présente contribution est de sensibiliser le lectorat aux influences que l’activité législative d’un acteur institutionnel, économique et juridique tel que l’UE peut exercer – directement ou indirectement – sur l’élaboration et le processus d’adoption de normes législatives en Suisse. Nous mettons dès lors sciemment et exclusivement l’accent sur les caractéristiques légistiques du RGPD et de la LPD, à savoir sur le processus et les méthodes d’adoption de ces actes normatifs. Par conséquent, nous n’examinons pas le contenu matériel proprement dit de ces deux instruments, qui a d’ailleurs déjà fait l’objet de nombreuses analyses (Benhamou/Jacot-Guillarmod 2018; Praz 2018; Fanti 2017; Dubois 2017), mais uniquement le processus ayant mené à l’adoption dudit contenu. De même, nous nous limitons aux influences de l’UE sur le processus helvétique – et non sur l’existence d’une éventuelle réciprocité d’influences – et excluons également de notre contribution, sans pour autant en nier l’existence et l’importance, l’examen des effets que le Protocole d’amendement de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel – dite « Convention 108 » – a pu avoir sur le processus de réforme de la LPD.
Pour être en mesure d’établir les diverses influences que l’adoption du RGPD a pu avoir sur la réforme de la LPD, il est indispensable de dresser, au préalable, un récapitulatif des principales étapes et des moments charnières du processus d’adoption et de réforme, respectivement, de ces deux actes normatifs. Un tel aperçu permettra en effet d’identifier les préoccupations sous-jacentes à ces modifications normatives et les acteurs les ayant formulées, tant du point de vue de l’UE (ch. 2.1) que de la Suisse (ch. 2.2), pour pouvoir ensuite appréhender les diverses influences exercées par le processus européen sur le processus législatif helvétique.
Préalablement à l’adoption du RGPD, la pièce maîtresse de la législation de l’UE en matière de protection des données à caractère personnel était la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L n°281 du 23 novembre 1995, p. 31), qui avait pour objectif de protéger le droit fondamental à la protection des données et de garantir la libre circulation desdites données entre les États membres. Cette directive a ensuite été complétée par la Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L n°350 du 30 décembre 2008, p. 60). En 2016, cette décision-cadre a cependant été abrogée par la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, (JO L n°119 du 4 mai 2016, p. 89), qui réglemente désormais la protection des données dans le secteur de la police et de la justice.
En 2010, après avoir adopté le « Programme de Stockholm » établissant le travail de l’UE dans le domaine de la justice, de la liberté et de la sécurité pour la période 2010–2014, le Conseil européen a invité la Commission à évaluer le fonctionnement des différents instruments relatifs à la protection des données et à présenter, le cas échéant, de nouvelles initiatives (Conseil européen 2010, ch. 2.5). Dans ce contexte, le Parlement européen soutenait déjà la position visant à instaurer un régime complet de protection des données dans l’UE (Parlement européen 2009). Cependant, ce n’est que plus tard, dans son plan d’action mettant en œuvre le Programme de Stockholm (Commission européenne 2010a) puis dans une communication ultérieure (Commission européenne 2010b) que la Commission a conclu que l’UE avait besoin d’une politique plus globale et plus cohérente à l’égard du droit fondamental à la protection des données à caractère personnel, qui devrait être appliquée dans toutes les politiques européennes.
Par la suite, tant le Conseil de l’UE, en février 2011, que le Parlement européen, dans sa résolution de juillet 2011 (Parlement européen 2011), ont approuvé l’approche de la Commission et son intention de réformer le cadre de la protection des données. La proposition du nouveau RGPD a ensuite été adoptée par la Commission et transmise tant au Conseil de l’UE qu’au Parlement en janvier 2012. Après de longues et intenses négociations, ces deux institutions se sont finalement accordées sur un texte et le RGPD est entré en vigueur le 24 mai 2016, bien que la date de son application effective ait été fixée au 25 mai 2018 pour permettre aux différents acteurs concernés de prendre la mesure des changements imposés par ce règlement.
D’un point de vue procédural, l’instrument juridique choisi par la Commission, à savoir un règlement, a été considéré comme pertinent dans la mesure où son applicabilité directe, prévue à l’article 288 par. 2 TFUE, permet de réduire la fragmentation juridique et d’apporter une plus grande sécurité juridique. Ce choix vise ainsi à instaurer un corps harmonisé de règles de base, en améliorant la protection des droits fondamentaux des personnes physiques et en contribuant au bon fonctionnement du marché intérieur (Parlement européen/Conseil de l’UE 2012, pt. 3).
De plus, l’adoption du RGPD est fondée sur l’article 16 par. 2 du TFUE, qui est la base juridique pour l’adoption de règles en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’UE. Ce règlement a été adopté au terme de la procédure législative ordinaire énoncée à l’article 294 par. 2 TFUE, qui prévoit que « [l]a Commission présente une proposition au Parlement européen et au Conseil [...] ». Ainsi, le Parlement européen et le Conseil de l’UE se trouvent sur un pied d’égalité pour l’adoption de nouvelles normes européennes, de sorte qu’aucune de ces institutions ne peut adopter de législation sans l’accord de l’autre.
A notre sens, deux éléments ressortent d’emblée de ce bref aperçu du processus d’adoption du RGPD. D’une part, la motivation initiale visant à moderniser le cadre juridique de la protection des données dans l’UE provient d’une impulsion partagée entre le Conseil européen et le Parlement européen. Autrement dit, cette initiative ne répond pas à un intérêt européen dont la Commission européenne est la garante, mais fait suite à des préoccupations émanant principalement des citoyens européens et des représentants des Chefs des gouvernements des États membres. D’autre part, il est intéressant de relever que jamais une proposition législative de l’UE n’avait fait l’objet d’autant de demandes d’amendement auparavant (Poullet 2018, 7). En effet, avec plusieurs milliers d’amendements proposés et un vote controversé au Parlement (380 voix pour, 224 contre et 26 abstentions), le processus d’adoption du RGPD reflète la variété des intérêts en jeu, la complexité de légiférer dans ce domaine et l’importance de l’implication des citoyens européens dans ce processus.
Au niveau fédéral suisse, la protection des données est régie par la LPD, entrée en vigueur le 1er juillet 1993. En 2010 et 2011, cette loi a fait l’objet d’une évaluation au terme de laquelle il est ressorti qu’elle n’était plus en adéquation avec les développements technologiques et sociétaux intervenus depuis son entrée en vigueur (Büro Vatter AG/Institut für Europarecht 2011). Ainsi, dans son rapport de décembre 2011 sur l’évaluation de cette loi, le Conseil fédéral a notamment annoncé qu’il prendrait en compte les travaux en cours au sein de l’UE dans ses réflexions menées au niveau national, tout en rappelant que l’UE se penchait actuellement sur la Directive 95/46/CE et qu’une révision de cette dernière « pourrait obliger la Suisse à intégrer rapidement les dispositions modifiées dans sa propre législation, en vertu de l’accord d’association à Schengen/Dublin » (Conseil fédéral 2011, pt. 5.2.1.).
Il convient en effet de préciser que l’Accord conclu le 26 octobre 2004 entre la Confédération suisse, l’Union européenne et la Communauté européenne sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (RS 0.362.31, ci-après : AAS) implique l’échange d’une quantité importante de données personnelles entre les autorités suisses, celles des États membres de l’UE et certaines institutions ou agences de l’UE. De tels échanges sont soumis à des exigences similaires à celles figurant dans la Directive 95/46/CE, dans la mesure où ladite directive constitue un développement de l’acquis de Schengen que la Suisse est tenue de transposer en droit interne (art. 7 AAS). Ainsi, le Conseil fédéral pouvait raisonnablement s’attendre à ce que les modifications de cette directive soient juridiquement pertinentes pour la Suisse. Néanmoins, l’UE en a finalement jugé autrement et a estimé que, dans la mesure notamment où le RGPD s’applique désormais à la quasi-totalité des politiques sectorielles de l’UE, il ne constitue pas spécifiquement un développement de l’acquis de Schengen et la Suisse n’est nullement tenue de le transposer dans son droit interne.
En 2014, un groupe de travail mandaté par le Conseil fédéral a présenté une esquisse d’acte normatif relative à la réforme de la LPD, esquisse qui a servi de base à l’avant-projet de LPD. Ce dernier avait principalement pour objectif de transposer les exigences de la Directive (UE) 2016/680, de rapprocher le contenu de la loi fédérale avec le contenu du Règlement (UE) 2016/679, et de mettre en œuvre les recommandations reçues dans le cadre de l’évaluation Schengen de la Suisse en 2014 (Conseil fédéral 2017, 6579). Au terme de la procédure de consultation de cet avant-projet, en avril 2017, le Conseil fédéral a élaboré un projet de LPD ayant la même forme que l’avant-projet et respectant notamment les remarques reçues lors de la consultation visant à ce que les nouvelles dispositions légales n’aillent pas plus loin que ce qui était prévu par le RGPD, notamment en ce qui concerne le régime des sanctions (Conseil fédéral 2017, 6600).
Par la suite, dans son Message du 15 septembre 2017 concernant la réforme de la LPD (Conseil fédéral 2017), le Conseil fédéral a notamment rappelé sa volonté de renforcer les dispositions légales sur la protection des données pour faire face au développement fulgurant des nouvelles technologies, d’une part, et son souhait de tenir compte des réformes entreprises dans l’UE, d’autre part. Dans ce contexte, il a précisé que conformément à ses engagements découlant de l’AAS, la réforme de la LPD devait intégrer la reprise de la Directive (UE) 2016/680 et offrir un niveau de protection équivalent aux exigences contenues dans le RGPD. Quant à ce second point, il importe de préciser que dans les domaines qui ne relèvent pas de la coopération instaurée par Schengen, la Suisse est considérée comme un État tiers, de sorte que l’échange de données avec les États membres de l’UE n’est possible que si la Suisse dispose d’un niveau de protection adéquat (voir l’art. 25 de la Directive 95/46/CE, désormais remplacé par l’art. 45 RGPD). Actuellement, la Suisse est soumise à la Décision de la Commission du 26 juillet 2000 relative à la constatation, conformément à la Directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse (JO L n°215, 25 août 2000, p. 1). Cette décision, qui atteste de l’équivalence du niveau de protection en Suisse avec celui prévalant dans l’UE et se fonde sur l’ancienne Directive 95/46/CE, fait à présent l’objet d’un réexamen et le niveau de protection en Suisse sera désormais analysé à la lumière des exigences figurant dans le RGPD.
Lorsque le projet de LPD a été transmis au Parlement fédéral, en juin 2018, le Conseil national – soit la Chambre basse du Parlement, représentant les citoyens – a décidé de scinder le projet de réforme de la LPD en deux (Parlement fédéral 2018). Ce faisant, les parlementaires ont donné leur aval au volet le plus urgent, celui relatif à la mise en œuvre de la Directive (UE) 2016/680 dans les délais imposés par l’AAS. En effet, rappelons qu’au terme de l’article 7 AAS, la Suisse est tenue de transposer dans son ordre juridique les développements de l’acquis de Schengen qui lui sont notifiés par l’UE et qu’elle dispose, à cette fin, de différents délais qui dépendent des exigences constitutionnelles à respecter pour ladite mise en œuvre mais qui ne peuvent toutefois excéder deux ans. A l’appui de cette décision de scission, le Conseil national a estimé, en substance, que si la reprise de cette directive devait rapidement être mise en œuvre, le reste de la réforme était particulièrement complexe et nécessitait davantage de temps. En septembre 2018, le Conseil des États – soit la Chambre haute du Parlement, représentant les Cantons – s’est rallié au Conseil national en partageant ses préoccupations (Parlement fédéral 2018). La nouvelle Loi fédérale du 28 septembre 2018 sur la protection des données personnelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal (RS 235.3, ci-après : LPDS), composée d’une vingtaine d’articles limités à la reprise de la Directive (UE) 2016/680, est ainsi entrée en vigueur le 1er mars 2019, tandis que la majorité des dispositions restantes font encore l’objet d’âpres négociations entre les deux Chambres du Parlement fédéral au moment de rédiger ces lignes.
A notre sens, trois éléments intéressants ressortent de cette brève retranscription. Premièrement, nous relevons qu’à l’instar du RGPD, de nombreux amendements au projet de LPD ont été requis par le Parlement fédéral et que les délibérations ont été – et sont toujours – particulièrement intenses. Ceci corrobore ainsi le constat ci-dessus selon lequel la complexité de cette thématique et les différents intérêts en jeu rendent toutes modifications législatives dans ce domaine particulièrement délicates, tant en Suisse qu’à l’échelle de l’UE. Au demeurant, nous avons souligné ci-dessus que le Parlement européen, par la voix des citoyens européens qu’il représente, était l’une des institutions de l’UE à l’origine de la réforme du cadre législatif relatif à la protection des données et qu’il s’était montré particulièrement actif sur ce dossier. Il est dès lors intéressant de souligner qu’à l’échelon helvétique également, c’est la Chambre basse du Parlement fédéral, représentant les citoyens suisses, qui s’est particulièrement mobilisée sur cette question, notamment en sollicitant la scission du projet de réforme de la LPD. Par conséquent, bien que l’organisation du Parlement européen diffère de celle qui prévaut en Suisse – en ce sens qu’il n’est composé que d’une seule chambre et répond à un processus électoral différent – les parlementaires tant européens qu’helvétiques partageaient de nombreuses préoccupations.
Deuxièmement, dans la lignée de ce qui précède, force est de constater qu’au moment où le Parlement fédéral initiait ses débats sur la réforme de la LPD, en juin 2018, le RGPD était en vigueur depuis plus de deux ans et était déjà applicable dans l’UE. Par conséquent, une grande partie des préoccupations formulées tant par des acteurs économiques et des citoyens de l’UE – soumis ou bénéficiant du RGPD – que des institutions européennes durant l’élaboration dudit règlement était publique et susceptible d’être connue du gouvernement suisse et du Parlement fédéral dès le début des délibérations relatives à la réforme de la LPD. Ainsi, certaines des thématiques qui ont suscité – et continuent de susciter – de vives controverses au sein des deux Chambres du Parlement fédéral étaient prévisibles.
Troisièmement, si la volonté du Parlement fédéral de scinder le projet de LPD en deux actes législatifs distincts avait pour objectif principal d’assurer que la Suisse respecte ses engagements découlant de son association à Schengen, certains parlementaires ont également vu dans cette scission l’occasion de minimiser quelque peu le « monstre bureaucratique » auquel ont parfois été comparées les près de 260 pages du projet de LPD (Parlement fédéral 2018). Autrement dit, la densité normative de la LPD – qui rappelle les 99 articles et plusieurs centaines de pages du RGPD – a suscité la crainte de créer davantage de bureaucratie et a motivé le Parlement fédéral à dédoubler les bases légales relatives à la protection des données, quitte à procéder à une multiplication des normes juridiques pertinentes. A notre sens, cette scission – qui n’était pas une obligation juridique et qui se démarque de l’objectif poursuivi par l’UE de réduire la fragmentation juridique et d’augmenter la sécurité juridique dans ce domaine – peut être appréhendée comme une influence indirecte de l’UE sur le processus législatif helvétique, découlant des liens étroits qui unissent la Suisse et l’UE.
Ce bref aperçu du processus d’adoption du RGPD et de réforme de la LPD met clairement en exergue que lors de la valorisation de leurs intérêts respectifs au cours de leurs processus législatifs respectifs, la Suisse et l’UE sont en mesure d’adopter des points de vue tant synergiques qu’antagonistes. A cet égard, nous estimons qu’une analyse plus approfondie desdits processus illustre que – à tout le moins en ce qui concerne la réforme de la LPD – diverses actions à l’échelle de l’UE émanant d’acteurs institutionnels et économiques ont limité la marge de manœuvre des institutions politiques helvétiques dans le processus de réforme de la LPD. Or, si elle n’est pas nouvelle, cette influence de l’UE sur le processus législatif helvétique mérite d’être davantage prise en considération, d’autant plus qu’elle est souvent prévisible et que cela permettrait d’augmenter tant la qualité des projets législatifs helvétiques – dans la mesure où ils se positionneraient d’emblée sur des préoccupations susceptibles d’être formulées durant le processus d’adoption – que des délibérations parlementaires y relatives.
Dans les lignes qui suivent, nous nous limiterons à présenter deux types d’influences provenant de l’UE sur le processus législatif suisse qui sont intrinsèquement liées entre elles. La première est d’ordre économique (ch. 3.1) tandis que la seconde est de nature juridique (ch. 3.2). Comme nous le verrons, ces deux types d’influences peuvent susciter en Suisse des actions ou réactions tant de ralliement aux intérêts européens que d’éloignement de ceux-ci.
L’influence du RGPD sur l’économie suisse et, a fortiori, sur le processus de réforme de la LPD, est réel car ce règlement touche un grand nombre d’entreprises suisses qui sont tenues de s’y conformer si elles souhaitent garder leur avantage concurrentiel. En effet, les entreprises suisses traitant des données personnelles d’individus situés sur le territoire de l’UE et actives notamment dans le commerce de biens et de services peuvent entrer dans le champ d’application du RGPD (art. 3 par. 2 RGPD). Dans ces cas de figure, lesdites entreprises se voient imposer un certain nombre d’obligations juridiques, telles que l’obtention du consentement des personnes dont les données sont traitées (art. 7 ss RGPD), la tenue d’un registre des activités de traitement (art. 30 ss RGPD) ou encore la réalisation d’une analyse d’impact relative à la protection des données (art. 35 ss RGPD). Or, le respect de ces prescriptions implique des démarches parfois coûteuses – en particulier pour les petites et moyennes entreprises suisses – telles que l’adaptation des clauses de certains contrats de sous-traitants ou d’employés, la mise en place d’une méthodologie permettant d’inventorier, de trier puis de sécuriser les données, ou encore la rédaction d’une politique de confidentialité. Par ailleurs, en cas de violation de certaines de ces obligations, les entreprises concernées pourraient se voir infliger une amende pouvant atteindre 4% de leur chiffre d’affaires annuel mondial durant l’exercice précédent (art. 83 par. 5 RGPD).
Ces préoccupations des acteurs économiques helvétiques ont trouvé un certain écho auprès de parlementaires suisses sensibles à l’impact de ce futur règlement sur les relations commerciales entre la Suisse et l’UE. Ainsi, en 2016, un groupe parlementaire suisse a déposé une motion intitulée « Contre les doublons en matière de protection des données » (Groupe libéral radical 2016), dans laquelle il invitait le Conseil fédéral à se rapprocher de l’UE en vue notamment de résoudre les problèmes posés à l’économie du fait de l’application parallèle du RGPD et de la LPD sur le territoire suisse. Depuis, diverses questions (Fiala 2017a) et interpellations parlementaires (Fiala 2017b) rappelant cette problématique ont été déposées, démontrant qu’il s’agit d’une préoccupation importante des défenseurs d’une place économique forte en Suisse. Dans ce contexte également, sitôt le RGPD adopté, plusieurs experts indépendants et sociétés commerciales – suisses ou internationales – ont développé et proposé des services d’information et d’aide aux entreprises suisses concernées par le « gigantesque défi » que constitue leur mise en conformité avec le RGPD (Chavanne 2018). D’ailleurs, lors de l’adoption de la LPDS, le Conseil fédéral a admis que l’adaptation au droit européen était nécessaire « pour que les échanges de données transfrontières restent possibles, chose extrêmement importante pour l’économie suisse » (Conseil fédéral 2019).
L’influence de la législation européenne en matière de protection des données sur l’économie suisse et, par extension, sur le processus législatif de réforme de la LPD, s’illustre également à d’autres égards. Ainsi, sous l’égide de l’ancienne Directive 95/46/CE, les acteurs économiques suisses procédant à des échanges transfrontaliers de données n’étaient pas prétérités dans lesdits échanges par rapport aux acteurs situés dans l’UE. En effet, la décision d’adéquation de la Commission européenne conclut que la législation helvétique offre un niveau de protection adéquat des données à caractère personnel pour toutes les activités entrant dans le champ d’application de ladite directive. Néanmoins, si au terme du réexamen de cette décision, actuellement en cours, la Commission européenne arrivait à une conclusion différente – notamment parce que la réforme de la LPD n’a pas encore abouti et que, dans sa version actuelle, le niveau de protection helvétique est clairement en deçà de celui prévu par le RGPD – elle pourrait révoquer, modifier ou suspendre sa décision d’adéquation. Dans cette hypothèse, l’économie helvétique – et en particulier les petites et moyennes entreprises suisses – s’en trouveraient pénalisées car les données personnelles en provenance de l’UE ne pourraient plus être transférées en Suisse sans que des garanties supplémentaires ne soient accordées, ce que les parlementaires fédéraux n’ont pas manqué de relever (Parlement fédéral 2018).
Il ressort de ce qui précède que si l’influence de l’adoption du RGPD sur le processus de réforme législative de la LPD n’est plus à démontrer, ladite influence peut s’exercer tantôt en faveur des intérêts européens, tantôt en faveur des intérêts helvétiques – bien qu’une telle délimitation soit nécessairement emprunte d’une certaine subjectivité. A titre illustratif du premier cas de figure, rappelons que le législateur suisse accorde une grande importance au respect des engagements découlant de ses accords bilatéraux avec l’UE, quitte à fragmenter et multiplier la législation nationale concernée. Ensuite, à titre d’illustration du second cas de figure, mentionnons que si les craintes découlant de l’influence du droit de l’UE sur l’économie suisse – craintes qui ont trouvé un écho au Parlement fédéral (Fiala 2017b) – n’ont pas été suffisantes pour permettre un processus de réforme rapide de la LPD, elles ont cependant été prises en compte. Ainsi, la préoccupation centrale des acteurs économiques visant à éviter que le projet de LPD ne s’éloigne pas inutilement du contenu du RGPD a été entendue.
En tout état de cause, nous estimons qu’accorder davantage d’attention au processus d’adoption des actes législatifs de l’UE permettrait d’anticiper certaines critiques ou préoccupations susceptibles de se développer au niveau national lors de l’adoption d’actes législatifs dans un domaine similaire. Certes, dans le cadre de la protection des données, des parlementaires fédéraux ont entendu les craintes liées à la charge bureaucratique et au surcoût économique induits par certaines dispositions du RGPD et ont sollicité un alignement de la LPD sur le RGPD. Cependant, force est de constater que cet activisme n’a pris forme qu’à partir de 2016 – soit après l’adoption du RGPD et une fois les débats y relatifs clos – et n’a porté que sur l’application du contenu dudit règlement dans les relations commerciales entre la Suisse et l’UE. Autrement dit, les motifs ayant abouti à l’adoption par l’UE d’un contenu normatif potentiellement problématique pour la Suisse n’ont pas été examinés par les parlementaires fédéraux, à l’instar des délibérations sur ces questions durant le processus d’adoption du RGPD.
Or, nous estimons qu’un tel exercice aurait permis de sensibiliser le législateur helvétique aux différentes influences de l’UE sur son processus national de réforme législative de la LPD, lui permettant alors de l’aborder de façon plus éclairée. En effet, le processus d’adoption du RGPD a lui-même subi diverses influences d’acteurs – notamment – économiques, tels que de grandes entreprises collectant massivement des données et qui ne souhaitaient pas se voir imposer trop des règles (Vaugarny 2019; Plouchart 2018), dont les préoccupations se sont notamment faites entendre durant et en marge des débats parlementaires. Par conséquent, certains arguments et préoccupations formulés à l’échelon helvétique lors du processus de réforme de la LPD étaient – à tout le moins partiellement – prévisibles dans la mesure où ils ne sont finalement que l’écho des circonstances ayant entouré l’adoption du RGPD.
Certaines caractéristiques juridiques du processus d’adoption du RGPD ont également eu une influence sur la réforme de la LPD, et ce à tout le moins à deux égards. Premièrement, il convient de garder à l’esprit que le RGPD s’inscrit dans le cadre juridique global de l’UE, de sorte que certains des mots ou conditions qui y figurent sont définis par référence à d’autres actes de l’UE. A titre illustratif, les exceptions au champ d’application matériel du RGPD sont définies tant dans le TFUE que dans diverses directives et règlements (art. 2 RGPD; Verbruggen 2018). Il en va de même des définitions de certaines notions y figurant, qui sont explicitées par référence à des recommandations de la Commission européenne, à des directives, des règlements ou encore à la Charte des droits fondamentaux de l’UE (art. 4 RGPD; Verbruggen 2018). Les actes délégués et d’exécutions que la Commission européenne est habilitée à adopter en vertu de l’article 92 RGPD sont également à prendre en considération.
Dans ce contexte, en optant pour la scission de la réforme de la LPD et en dédoublant les bases juridiques pertinentes pour le traitement des données personnelles, le législateur suisse a pris le risque que l’interprétation de ces deux textes puissent diverger et, partant, créer des difficultés auprès de personnes privées, d’autorités cantonales ou fédérales ou de tout autre acteur concerné. En effet, il convient de préciser qu’en ce qui concerne les actes notifiés à la Suisse comme constituant un développement de l’acquis de Schengen, au sens de l’article 2 de l’AAS, la Suisse a la faculté de présenter des mémoires ou des observations écrites à la Cour de justice de l’UE (ci-après : CJUE) lorsqu’un État membre saisit cette cour d’une question préjudicielle concernant l’interprétation de cet acte (art. 8 al. 2 AAS). Par conséquent, compte tenu du fait que la LPDS reprend la Directive (UE) 2016/680 en droit national, la Suisse possède des moyens d’actions afin de promouvoir une application et une interprétation aussi uniformes que possibles des dispositions de la LPDS et de cette directive au sein des juridictions nationales et européennes.
Eu égard au RGPD, la Suisse aurait également tout intérêt à rapprocher son projet de LPD de la législation européenne, car même si ce règlement ne relève pas de l’acquis de Schengen au sens de l’AAS, sur de nombreux points les notions et principes du RGPD et de la Directive (UE) 2016/680 sont similaires (Forget 2018, 866 ss). Néanmoins, la Suisse ne jouit ici d’aucune possibilité d’œuvrer pour une interprétation uniforme du RGPD avec la nouvelle LPD dans des procédures devant la CJUE. Or, ceci peut notamment desservir les intérêts helvétiques dans le contexte du réexamen par la Commission européenne de l’équivalence du niveau de protection de la pratique et de la législation suisse à la lumière du RGPD. En effet, dans le cadre de ce réexamen, la jurisprudence européenne relative audit règlement est également prise en compte par la Commission, alors que la Suisse n’est pas en mesure d’y contribuer et que ladite jurisprudence risque potentiellement de s’éloigner de la jurisprudence rendue par le Tribunal fédéral.
A titre illustratif, dans son rapport du 24 juin 2020 portant sur l’évaluation du RGPD, la Commission a indiqué que « [...] given that the Court of Justice in a judgment to be delivered on 16 July may provide clarifications that could be relevant for certain elements of the adequacy standard, the Commission will report separately on the evaluation of the existing adequacy decisions after the Court of Justice has handed down its judgement in that case » (Commission européenne 2020, 11). Dans cette récente décision surnommée « Schrems II », la CJUE a décidé, à la lumière du RGPD et de la Charte des droits fondamentaux de l’UE, d’invalider la décision de la Commission européenne constatant que les États-Unis offraient un niveau de protection adéquat aux données transférées aux entreprises américaines qui déclarent adhérer à certains principes de protection des données (CJUE, arrêt du 16 juillet 2020, aff. C-311/18, Data Protection Commissioner c. Facebook Ireland Ltd et Maximillian Schrems). Or, la Suisse bénéficie d’un accord avec les États-Unis dont le contenu est très proche de celui de la décision invalidée par la CJUE et, dans le cadre du réexamen de la décision d’adéquation de la Suisse, la Commission devra notamment se prononcer sur la protection des transferts de données depuis la Suisse vers un pays tiers comme les États-Unis. Par conséquent, il existe un risque réel que la législation helvétique ne réponde plus aux standards découlant de la jurisprudence de l’UE, confirmant ainsi l’intérêt pour le législateur suisse de se rapprocher du contenu matériel de l’UE en la matière.
D’autres actes juridiques de l’UE influencent également en faveur d’un contenu de la LPD aussi proche que possible de celui du RGPD. Ainsi, un rapprochement entre ces deux instruments faciliterait les évaluations périodiques de la Suisse, exigées au regard du Règlement (UE) n° 1053/2013 du Conseil du 7 octobre 2013 portant création d’un mécanisme d’évaluation et de contrôle destiné à vérifier l’application de l’acquis de Schengen et abrogeant la décision du comité exécutif du 16 septembre 1998 concernant la création d’une commission permanente d’évaluation et d’application de Schengen (JO L 295, du 6 novembre 2013, p. 27). En effet, sur ce point, rappelons que lors de leur dernière évaluation en 2018, la législation et la pratique suisses ont été examinées à l’aune des standards contenus dans la législation européenne pertinente, à savoir essentiellement la Directive 95/46/CE et la Décision-cadre 2008/977/JAI. Or, depuis l’adoption du RGPD, qui s’insère lui-même dans un cadre juridique plus global et complexe que ces anciens instruments juridiques, les standards de protection ont passablement évolué.
Qu’elles émanent d’acteurs économiques soucieux de maintenir des échanges transfrontaliers aussi fluides que possibles ou de parlementaires européens militant pour davantage de protection de la sphère privée, les préoccupations ayant influencé le processus d’adoption du RGPD se trouvent, par ricochet, au cœur du processus législatif visant à réformer la LPD. En effet, au vu des liens – notamment – économiques et juridiques qu’entretiennent la Suisse et l’UE, la faculté de ces acteurs institutionnels, économiques ou encore juridiques de l’UE d’influencer sur les relations commerciales helvético-européennes ou, plus largement, de jouer un rôle déterminant dans les affaires publiques suisses n’est plus à démontrer. Il s’agit aujourd’hui d’en prendre la juste mesure, d’en connaitre les mécanismes et, pour autant que faire se peut, d’agir activement et opportunément à l’échelle de l’UE pour tenter d’influencer sur le processus européen.
Assurément, l’adoption de normes helvétiques ne peut plus se contenter de répondre aux seules préoccupations nationales en suivant des canons méthodologiques propres. Le domaine complexe de la protection des données illustre parfaitement que le législateur suisse se trouve à la croisée d’influences diverses et parfois antagonistes, qui font écho aux circonstances entourant le processus d’adoption d’actes normatif à l’échelle de l’UE. Alors que l’UE adopte des règlements globaux et horizontaux, applicables à toutes les politiques sectorielles, la Suisse – sous le coup de diverses influences provenant de l’échelon européen – dédouble ses bases légales et procède précisément à ce qu’elle critiquait de la part de l’UE, à savoir une multiplication des actes normatifs et davantage de bureaucratie. Or, à notre sens, distinguer ce qui relève de Schengen – en l’intégrant dans la LPDS – de ce qui n’en relève pas n’impacte en rien sur le fait que l’économie suisse, dans sa globalité, est affecté par le RGPD et qu’une approche harmonisée aurait été d’autant plus souhaitable.
Dès lors, seule une prise de conscience précoce, par le législateur helvétique, de l’existence de ces influences et leur prise en compte effective durant le processus législatif pourraient lui permettre, aux différents stades dudit processus, d’anticiper certaines des problématiques qui se poseront et, finalement, d’améliorer l’efficacité de l’entier du processus. Ce faisant, ce seront tant la qualité des échanges transfrontaliers, la place économique helvétique au cœur de l’Europe, ou encore le processus démocratique d’adoption législative qui, dans leur ensemble, s’en verront renforcés.
Stéphanie U. Colella, LL.M (Bruges), Avocate, Dr. iur. (Fribourg). Juriste au sein de l’Office fédéral de la justice (stephanie.colella@bj.admin.ch).
- Agence des droits fondamentaux de l’UE / Conseil de l’Europe (2019) : Manuel de droit européen en matière de protection des données, Luxembourg.
- Benhamou, Yaniv / Jacot-Guillarmod, Emilie (2018) : RGPD sur sol suisse : mise en œuvre, in: DIGMA – Zeitschrift für Datenrecht und Informationssicherheit, pp. 142–149.
- Büro Vatter AG / Institut für Europarecht (2011), Evaluation des Bundesgesetzes über den Datenschutz, Berne, disponible sur : https://www.bj.admin.ch/dam/bj/de/data/staat/evaluation/schlussber-datenschutzeval-d.pdf.download.pdf/schlussber-datenschutzeval-d.pdf [29.07.2020].
- Chavanne, Yannick (2018) : Un outil gratuit pour aider les entreprises suisses à se conformer au RGPD, in: ICT Journal, disponible sur : https://www.ictjournal.ch/articles/2018-04-19/un-outil-gratuit-pour-aider-les-entreprises-suisses-a-se-conformer-au-rgpd [29.07.2020].
- Commission européenne (2010a) : Communication du 20 avril 2010 au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions – Plan d’action mettant en œuvre le programme de Stockholm, COM(2010) 171 final, disponible sur : https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0171:FIN:FR:PDF [29.07.2020].
- Commission européenne (2010b) : Communication du 4 novembre 2010 au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions – Une approche globale de la protection des données à caractère personnel dans l’Union européenne, COM(2010) 609 final, disponible sur : https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0609:FIN:FR:PDF [29.07.2020].
- Commission européenne (2020) : Communication du 24 juin 2020 au Parlement européen et au Conseil – Two years of application of the General Data Protection Regulation, COM(2020) 264 final, disponible sur : https://ec.europa.eu/info/sites/info/files/1_en_act_part1_v6_1.pdf [29.07.2020].
- Conseil européen (2010) : Le programme de Stockholm – une Europe ouverte et sûre qui sert et protège les citoyens, JO C n°115 du 4 mai 2010, p. 1.
- Conseil fédéral (2007) : Message du 22 août 2007 relatif à la mise à jour formelle du droit fédéral, FF 2007 5789.
- Conseil fédéral (2011) : Rapport sur l’évaluation de la loi fédérale sur la protection des données du 9 décembre 2011, FF 2012 255.
- Conseil fédéral (2017) : Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565.
- Conseil fédéral (2019) : Communiqué de presse du 15 septembre 2019, disponible sur : https://www.bj.admin.ch/ejpd/fr/home/actualite/news/2017/2017-09-150.html [29.07.2020].
- de Terwangne, Cécile / Rosier, Karen / Losdyck, Bénédicte (2016) : Lignes de force du nouveau Règlement relatif à la protection des données à caractère personnel, in: Revue du droit des technologies de l’information, Nr. 62, pp. 5–56.
- Debaets, Emilie (2017) : Le droit à la protection des données personnelles. Recherche sur un nouveau droit fondamental, Bruxelles.
- Dubois, Camille (2017) : Protection des données personnelles : contexte international et avant-projet de réforme du Conseil fédéral, in: Dunand, Jean-Philippe / Mahon, Pascal (édit.), La protection des données dans les relations de travail, Bâle, pp. 47–76.
- Fanti, Sébastien (2017) : Le nouveau règlement général sur la protection des données et la Suisse, in: Expert Focus, Nr.°11, pp. 856–861.
- Fiala, Doris (2017a) : Question 17.5528, déposée le 29 novembre 2017, disponible sur : https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20175528 [29.07.2020].
- Fiala, Doris (2017b) : Interpellation 17.4088, déposée le 13 décembre 2017, disponible sur : https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20174088 [29.07.2020].
- Flückiger, Alexandre (2008) : Qu’est-ce que « mieux légiférer » ? Enjeux et instrumentalisation de la notion de qualité législative, in: Flückiger, Alexandre / Guy-Ecabert, Christine (édit.), Guider les parlements et les gouvernements pour mieux légiférer : le rôle des guides de légistique, Genève, pp. 11–32.
- Forget, Catherine (2018) : La protection des données dans le secteur de la « police » et de la « justice », in: de Terwangne, Cécile / Rosier, Karen (dir.), Le Règlement général sur la protection des données (RGPD/GDPR) – Analyse approfondie, Bruxelles, pp. 865–900.
- González Fuster, Gloria (2014) : The Emergence of Personal Data Protection as a Fundamental Rights of the EU, Heidelberg.
- Groupe libéral radical (2016) : Motion 16.3752, déposée le 28 septembre 2016, disponible sur : https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20163752 [29.07.2020].
- Parlement européen (2009) : Résolution du 25 novembre 2009 sur la communication de la Commission au Parlement européen et au Conseil – un espace de liberté, de sécurité et de justice au service des citoyens – programme de Stockholm, P7_TA (2009)0090), disponible sur : https://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2009-0090+0+DOC+XML+V0//EN [29.07.2020].
- Parlement européen (2011) : Résolution du 6 juillet 2011 sur une approche globale de la protection des données à caractère personnel dans l’Union européenne (2011/2025(INI)).
- Parlement européen / Conseil de l’UE (2012) : Proposition de Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM/2012/011 final, disponible sur : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52012PC0011&from=EN [29.07.2020].
- Parlement fédéral (2018) : Délibérations relatives à la loi sur la protection des données – Révision totale et modification d’autres lois fédérales, disponible sur : https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20170059 [29.07.2020].
- Plouchart, Julia (2018) : Le rapport de force entre l’Union européenne et les GAFA dans le cadre du RGPD, in: Infoguerre, disponible sur : https://infoguerre.fr/2018/11/rapport-de-force-entre-lunion-europeenne-gafa-cadre-rgpd/ [29.07.2020].
- Poullet, Yves (2018) : Le RGPD – une volonté de bien faire : certes !... mais appropriée ?, in: de Terwangne Cécile / Rosier Karen (dir.), Le Règlement général sur la protection des données (RGPD/GDPR) – Analyse approfondie, Bruxelles, pp. 7–22.
- Praz, Emilie (2018) : Responsabilités et outils de conformité selon la RGPD, in: PJA – Pratique juridique actuelle, pp. 609–616.
- Tzanou, Maria (2017) : The Fundamental Right to Data Protection, Oxford.
- Vaugarny, Camille (2019) : Les données personnelles face au lobbying : les dessous du RGPD, in: Blog économique numérique, disponible sur : http://blog.economie-numerique.net/2019/05/05/les-donnees-personnelles-face-au-lobbying-les-dessous-du-rgpd/ [29.07.2020].
- Verbruggen, Valérie (2018) : RGPD : cœur du puzzle de l’encadrement de la protection des données à caractère personnel dans l’Union européenne, in: de Terwangne, Cécile / Rosier, Karen (dir.), Le Règlement général sur la protection des données (RGPD/GDPR) – Analyse approfondie, Bruxelles, pp. 25–58.