Révision de la loi sur la protection des données : le profilage divise encore les chambres fédérales

 

Communiqué de presse du Parlement du 05.03.2020 consultable ici

 

La révision de la loi sur la protection des données butte encore sur le profilage. Le National a rejeté jeudi une proposition des sénateurs pour une protection stricte des données des citoyens.

Le Conseil des Etats voulait corriger la version assez libérale choisie par le Conseil national. Il demandait une garantie de protection si le profilage à partir des données personnelles entraînait un risque « élevé » pour le citoyen. La gauche et les Vert’libéraux n’ont pas réussi à rallier la Chambre du peuple à ce concept.

Avec cette définition, les risques seraient différenciés. Les données transmises à une librairie pour lui permettre de cibler des ouvrages pour ses clients seraient considérées comme peu sensibles. En revanche, chacun se rappelle l’indignation qu’avait suscité le profilage pratiqué par les CFF, a rappelé Beat Flach (PVL/AG).

Il ne s’agit pas d’interdire le profilage, mais de savoir à quel moment il faut l’accord express des personnes pour le traitement de leurs données, a ajouté Cédric Wermuth (PS/AG). La question du profilage est au cœur de ce projet. En renonçant à la version du Conseil des Etats, on abaisse le niveau actuel de protection des données à l’heure même du Big Data », a mis en garde Balthasar Glättli (Verts/ZH).

 

Pas de « swiss finish »

En vain. Le PLR, le PDC et l’UDC ont rejeté la proposition des sénateurs. Avec cette définition restrictive, pratiquement tout traitement de données tomberait sous le coup du Règlement général pour la protection des données (RGPD) adopté par l’UE en novembre 2018. Ce serait du « swiss finish », a relevé Marco Romano (PDC/TI) pour qui la loi ne doit pas générer davantage d’interventionnisme.

Le PLR, le PDC et le PVL ont finalement opté pour un compromis. La protection serait garantie en cas de « profilage aboutissant à des données personnelles sensibles ». Au vote, cette proposition a passé par 65 voix contre 57 et 65 abstentions issues du PS et des Verts.

La conseillère fédérale Karin Keller-Sutter a cependant rappelé que le traitement de données sensibles était déjà réglé dans le droit actuel. Et pour Balthasar Glättli (Verts/ZH), cette définition est une coquille vide.

 

Evaluation de la solvabilité

Les députés ont également refusé la solution du Conseil des Etats au sujet des données sur la solvabilité. La gauche a vainement plaidé pour qu’on dise au citoyen si ses données sont utilisées pour évaluer sa solvabilité.

Par 105 voix contre 83, la droite l’a également emporté pour que les données puissent remonter à dix ans et non cinq comme l’aurait souhaité le Conseil fédéral. « Dix ans, c’est long. Beaucoup de choses peuvent avoir changé entretemps », a plaidé la ministre de la justice.

D’autres divergences sont encore sur la table. Parmi les données personnelles à protéger, le National ne veut protéger que les données génétiques permettant d’identifier une personne sans équivoque. Beat Flach (PVL/AG) a pourtant répété que les données génétiques sont par définition sensibles.

La protection des mineurs est quant à elle garantie. Les personnes dont les données seront traitées devront être majeures. Il n’y aura pas d’obligation d’informer les personnes de tous leurs droits. Les responsables du traitement ne pourront pas invoquer des efforts disproportionnés pour ne pas informer. En revanche, les entreprises bénéficieront de règles plus souples pour l’échange de données internes entre elles.

 

D’ici au 20.05.2020

La révision de loi vise à obtenir la reconnaissance par l’UE de l’équivalence en matière de protection des données et à remplir les exigences de la convention 108 du Conseil de l’Europe. La Suisse a jusqu’au 20 mai pour s’aligner sur l’Europe. La loi sera donc au menu de la session spéciale les 4 et 5 mai.

Sans équivalence, les entreprises seront contraintes de prouver au cas par cas qu’elles garantissent la protection des données. Pour éviter cette perspective coûteuse, la loi contient plusieurs dispositions pour se conformer aux standards européens.

Gregor Rutz (UDC/ZH) n’a d’ailleurs pas manqué de regretter une reprise intégrale du RGPD dans le droit suisse. « En voulant strictement protéger les données des citoyens, on s’empêtre dans des contradictions sans fin », a-t-il dit.

La balle retourne dans le camp du Conseil des Etats.

 

 

Communiqué de presse du Parlement du 05.03.2020 consultable ici