Archives par mot-clé : LPD

Réforme de la protection des données: fin de l’examen du projet

Réforme de la protection des données: fin de l’examen du projet

 

Communiqué de presse du Parlement du 16.08.2019 consultable ici

 

La commission des institutions politiques du Conseil national (CIP-CN) a achevé l’examen du projet de révision totale de la loi sur la protection des données (17.059). Lors du vote sur l’ensemble, elle a adopté le projet par 9 voix contre 9 et 7 absentions, avec la voix prépondérante du président.

Le projet de révision totale de la loi sur la protection des données (LPD) vise à mieux protéger les citoyens et à adapter la législation suisse au standard européen. Afin de permettre à la Suisse de mettre en œuvre rapidement une directive européenne liée à Schengen, le Parlement a décidé, en 2018, de scinder le projet et d’adopter en priorité les dispositions nécessaires à la mise en œuvre de cette directive. Ces nouvelles dispositions sont entrées en vigueur le 01.03.2019.

Parallèlement, la discussion du reste de la réforme s’est poursuivie. Ces travaux sont indispensables pour que l’UE continue de reconnaître la Suisse comme un Etat tiers ayant un niveau de protection des données suffisant pour que la possibilité d’échanger des données avec elle soit préservée. La CIP-CN a entamé la discussion par article de la révision totale de la loi sur la protection des données en juin 2018. Elle a notamment pris les décisions suivantes :

 

Mode de nomination du préposé à la protection des données et à la transparence

Par 19 voix contre 5, la commission propose que le préposé soit élu par l’Assemblée fédérale, en lieu et place du système actuel de nomination par le Conseil fédéral avec approbation par l’Assemblée fédérale. Aux yeux de la commission, une élection directe par le Parlement sera mieux à même de garantir l’indépendance du préposé. Une minorité souhaite conserver le système actuel.

 

Droit à la portabilité des données

La commission a introduit un droit à la portabilité des données. Il s’agit de permettre à une personne de récupérer, dans un format standard, les données traitées à son sujet par un prestataire (par exemple un fournisseur de services en ligne), afin de transmettre ces données à un nouveau prestataire vers lequel elle souhaite se tourner. La solution adoptée par la commission permet à la personne concernée d’obtenir, à certaines conditions, la remise ou le transfert gratuits et sous un format électronique de certaines données personnelles qu’elle a communiquées au responsable du traitement. De l’avis de la commission, une telle réglementation est de nature à favoriser la concurrence et à permettre l’émergence de nouveaux modèles d’affaires. Une minorité souhaite que ce droit ne soit pas limité aux données que la personne a communiquées, mais à toutes ses données personnelles.

 

Données sensibles

La commission a apporté quelques modifications à la définition des données sensibles, lesquelles font l’objet d’une protection particulière. Elle a notamment retiré de la liste des données sensibles les données sur les mesures d’aide sociale, au motif qu’il peut être dans l’intérêt de partenaires contractuels, de fournisseurs, voire dans l’intérêt public de savoir si une personne perçoit des prestations de l’aide sociale. Une minorité s’oppose à cette suppression. La commission a également retiré de la liste les données sur les activités syndicales. Elle a en revanche confirmé l’introduction dans cette liste des données génétiques.

 

Entreprises étrangères

La commission a décidé que les entreprises étrangères qui fournissent des prestations en Suisse seront tenues de respecter le droit suisse de la protection des données. Ces entreprises devront en outre désigner un représentant en Suisse.

 

Données des personnes décédées

Contrairement à ce que propose le Conseil fédéral, la commission a décidé, par 14 voix contre 8 et 1 abstention, de ne pas prévoir de réglementation particulière concernant la gestion des données de personnes décédées. Il existe en effet déjà des possibilités permettant de résoudre les problèmes qui se posent dans ce contexte. Une minorité estime au contraire qu’une réglementation spécifique est nécessaire, notamment concernant la mort numérique.

 

Durcissement des sanctions pénales

Par 16 voix contre 4 et 2 abstentions, la commission a approuvé le système de sanctions proposé par le Conseil fédéral. Ce système prévoit uniquement des sanctions pénales, à l’exclusion de sanctions administratives, principalement pour des raisons de simplicité dans l’application du droit. Cela signifie qu’en cas d’infraction à la loi sur la protection des données, seules les personnes physiques, en particulier les personnes exerçant une fonction dirigeante au sein de l’entreprise, pourront être sanctionnées. Les personnes morales ne pourront l’être que dans des cas de figure bien déterminés et relativement restreints. La commission propose cependant d’examiner l’introduction en droit suisse d’un régime général de sanctions administratives pécuniaires. Elle a adopté un postulat 18.4100 dans ce sens chargeant le Conseil fédéral d’examiner les solutions envisageables. Concernant le montant des amendes, la commission a décidé d’en rester au montant maximal proposé par le Conseil fédéral, soit 250’000 francs, qu’elle juge proportionné et suffisamment dissuasif. Deux minorités proposent des montants plus élevés.

 

Les entreprises auront deux ans pour s’adapter

Par 13 voix contre 11, la commission a décidé que la nouvelle loi n’entrerait en vigueur qu’à l’échéance d’un délai de deux ans à compter de la fin du délai référendaire ou de la date d’une éventuelle votation populaire, afin de donner aux entreprises le temps de procéder aux adaptations nécessaires. Une minorité propose que le Conseil fédéral fixe l’entrée en vigueur en tenant compte notamment des besoins de l’économie privée.

Deux propositions de minorité ont été déposées demandant le renvoi du projet, avec diverses propositions d’adaptation.

 

La commission a en outre déposé plusieurs motions chargeant le Conseil fédéral de compléter les dispositions de protection des données figurant dans d’autres lois fédérales (19.3960, 19.3961, 19.3962, 19.3963, 19.3964, 19.3965).

La commission a siégé les 15.08.2019 et 16.08.2019 à Berne, sous la présidence du conseiller national Kurt Fluri (PLR/SO).

 

 

Communiqué de presse du Parlement du 16.08.2019 consultable ici

 

 

 

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus “Helsana+”

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus “Helsana+”

 

Communiqué de presse du Préposé fédéral à la protection des données et à la transparence du 27.04.2018 consultable ici : https://bit.ly/2KqI5Pw

 

L’application «Helsana+» traite les données des clients qui ne disposent que de l’assurance de base auprès du groupe Helsana à des fins de remboursement partiel de leurs primes. Faute de base légale, le Préposé a recommandé de cesser ce traitement.

Le 11.10.2017, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a ouvert une procédure d’établissement des faits contre la société Helsana Assurances complémentaires SA en vertu de la loi fédérale sur la protection des données concernant le programme de bonus «Helsana+», lancé le 25.09.2017. Ce programme vise à inciter les participants à adopter un mode de vie sain et sportif : en téléchargeant l’application «Helsana+» sur leur téléphone mobile, les clients d’Helsana peuvent ainsi récolter des « points Plus » pour toute une série d’activités et les échanger contre des versements en espèces et des offres de partenaires.

 

Pas de flux de données issues de l’assurance de base lors de l’enregistrement

En s’enregistrant sur l’application Helsana+, les assurés d’Helsana Assurances complémentaires SA donnent leur accord à ce qu’on vérifie qu’ils sont assurés auprès du groupe Helsana pour l’assurance de base. Faute de base légale, la récolte de ces données relatives à l’assurance de base par l’assurance complémentaire et leur traitement subséquent par l’assurance complémentaire sont illégaux du point de vue de la protection des données et le consentement recueilli par l’application n’a aucun effet juridique. Le PFPDT recommande donc à Helsana Assurances complémentaires SA de mettre un terme à ce traitement de données de l’assurance de base. Il se félicite qu’Helsana ait annoncé qu’elle allait suivre sa recommandation, même si elle conteste toute obligation légale, en adaptant volontairement le processus d’enregistrement, du moins jusqu’à ce que les tribunaux rendent une décision et que celle-ci soit entrée en force.

 

Pas de traitement de données visant à obtenir des remboursements de primes

Les points récoltés grâce au programme de bonus peuvent être convertis en avantages pécuniaires, sous la forme de versements en espèces ou de rabais auprès d’entreprises partenaires d’Helsana. Tant les personnes disposant d’une assurance complémentaire auprès d’Helsana que celles qui n’ont conclu que l’assurance de base avec elle ont cette possibilité. Pour ces dernières, les versements en espèces sont plafonnés à 75 francs par an. Faute de base légale, cette prestation s’avère illégale étant donné qu’elle revient à rembourser une partie des primes de l’assurance de base. Le PFPDT recommande donc à Helsana Assurances complémentaires SA de mettre un terme au traitement de données visant à calculer et à effectuer des remboursements sous forme pécuniaire pour les clients qui ne disposent que de l’assurance de base auprès d’Helsana.

Helsana Assurances complémentaires SA a 30 jours pour communiquer au PFPDT si elle accepte ou refuse cette recommandation. En cas de refus ou de non-observation de la recommandation, le PFPDT peut porter l’affaire devant le Tribunal administratif fédéral.

 

 

Communiqué de presse du 27.04.2018 consultable ici : https://bit.ly/2KqI5Pw

 

 

Législation sur la protection des données : révision en deux étapes

Législation sur la protection des données : révision en deux étapes

 

Communiqué de presse du Parlement du 12.01.2018 consultable ici : http://bit.ly/2r8gmxd

 

La Commission des institutions politiques du Conseil national reconnaît la nécessité d’adapter la protection des données aux évolutions technologiques et sociétales, comme le propose le Conseil fédéral. Elle souhaite cependant échelonner la révision prévue : dans un premier temps, il faudra opérer les adaptations au droit européen qui s’imposent, avant de procéder, dans un deuxième temps, à la révision totale de la loi sur la protection des données.

La Commission des institutions politiques du Conseil national reconnaît la nécessité d’adapter la protection des données aux évolutions technologiques et sociétales, comme le propose le Conseil fédéral. Elle souhaite cependant échelonner la révision prévue : dans un premier temps, il faudra opérer les adaptations au droit européen qui s’imposent, avant de procéder, dans un deuxième temps, à la révision totale de la loi sur la protection des données.

La Commission des institutions politiques du Conseil national (CIP-N) est entrée en matière sans opposition sur le projet du Conseil fédéral concernant la révision totale de la loi sur la protection des données et la modification d’autres lois fédérales pertinentes (17.059). Parallèlement, elle a adopté, par 14 voix contre 8 et 2 abstentions, une motion d’ordre demandant la scission du projet.

Cette mesure permettra à la commission d’examiner tout d’abord la mise en œuvre du droit européen (directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le domaine du droit pénal) qui, en vertu des accords de Schengen, doit avoir lieu dans un délai donné. La CIP-N pourra ensuite s’atteler à l’examen de la révision totale de la loi sur la protection des données sans être contrainte par le temps; une telle procédure paraît judicieuse compte tenu de la grande complexité du sujet. Une minorité de la commission s’oppose à la scission du projet, considérant que deux révisions de la loi sur la protection des données se suivant à peu d’intervalle entraîneraient un surcroît de travail et une insécurité juridique pour les acteurs concernés.

La commission a siégé le 11 janvier 2018 à Berne, sous la présidence du conseiller national Kurt Fluri (RL/SO).

 

 

Communiqué de presse du Parlement du 12.01.2018 consultable ici : http://bit.ly/2r8gmxd

Objet du Conseil fédéral 17.059 « Loi sur la protection des données. Révision totale et modification d’autres lois fédérales » consultable ici : http://bit.ly/2B1nVWj

 

 

Projet de révision totale de la loi sur la protection des données (LPD) : une meilleure protection des données et un renforcement de l’économie suisse

Projet de révision totale de la loi sur la protection des données (LPD) : une meilleure protection des données et un renforcement de l’économie suisse

 

Communiqué de presse du Conseil fédéral du 15.09.2017 consultable ici : http://bit.ly/2fhkxBQ

 

Face à la révolution numérique, le Conseil fédéral juge nécessaire d’adapter la protection des données et de renforcer les droits des citoyens. Il entend en outre harmoniser le droit suisse en la matière avec les standards de protection de l’UE et du Conseil de l’Europe. Il s’agit d’assurer la libre transmission des données entre les entreprises suisses et européennes, en réponse aux vœux de l’économie. Le Conseil fédéral a adopté un message en ce sens lors de sa séance du 15.09.2017.

 

Le Conseil fédéral a adopté un projet de révision totale de la loi sur la protection des données (LPD) qui permettra de mieux protéger les citoyens. Ces derniers seront mieux renseignés sur les traitements par des entreprises des données qui les concernent et acquerront une plus grande maîtrise de ces données. La révision est également un pas important pour l’économie suisse. En adaptant la législation suisse au standard européen, le Conseil fédéral crée les conditions requises pour assurer la transmission sans obstacles de données entre la Suisse et les États de l’UE.

Afin de rester pratiques pour l’économie, les nouvelles dispositions légales ne vont pas plus loin que ce qui est exigé par le droit européen. Il n’y aura pas de “plus” suisse. Le Conseil fédéral tient ainsi compte des remarques reçues lors de la consultation externe.

 

Plus de transparence pour les particuliers

La révision apporte aux particuliers une meilleure protection. Ils devront désormais être informés lorsqu’une entreprise collecte des données à leur sujet, quel que soit le type de données collectées. En outre, les entreprises seront tenues de prendre en considération les enjeux de protection des données dès la mise en place de nouveaux traitements. Le projet de loi encourage par ailleurs l’auto-règlementation : chaque branche aura la possibilité d’adopter un code de conduite.

 

Renforcement de l’indépendance du préposé

Le projet de loi renforce le statut et l’indépendance du Préposé fédéral à la protection des données et à la transparence (PFPDT). Alors qu’il ne peut aujourd’hui émettre que des recommandations aux entreprises, il pourra à l’avenir ordonner des mesures provisionnelles et prendre des décisions contraignantes, au terme d’une enquête ouverte d’office ou sur dénonciation. Il ne pourra toutefois pas décréter de sanction administrative. Seuls les tribunaux auront cette prérogative.

En parallèle, la liste des comportements punissables s’allonge en même temps que celle des obligations des responsables du traitement. De plus, le montant maximal des amendes est porté à 250 000 francs. La liste des infractions et le montant maximal de l’amende ont été réduits par rapport à l’avant-projet, suite aux critiques exprimées lors de la consultation, et la négligence n’est plus punissable.

 

Avantages pour l’économie suisse

La révision de la loi tient compte des récents développements des textes de l’UE et du Conseil de l’Europe. Le projet reprend les exigences de la directive européenne 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins pénales. En effet, il importe que la Suisse puisse remplir ses engagements au titre des accords Schengen. Il s’agit en outre d’harmoniser le droit suisse avec le règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Enfin, la révision vise à permettre à la Suisse de signer aussi tôt que possible la nouvelle version de la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

L’adaptation au droit européen est nécessaire pour que la Commission européenne reconnaisse la Suisse comme État tiers offrant un niveau de protection des données adéquat. Telle est la condition pour que les échanges de données transfrontières restent possibles, chose extrêmement importante pour l’économie suisse. Un standard élevé de protection, reconnu sur le plan international, est également propice au développement des nouveaux secteurs économiques dans le domaine de la société numérique.

 

 

Communiqué de presse du Conseil fédéral du 15.09.2017 consultable ici : http://bit.ly/2fhkxBQ

Rapport de l’Office fédéral de la justice (OFJ), « Synthèse des résultats de la procédure de consultation », du 10.08.2017 : http://bit.ly/2jFCWKb

Message du Conseil fédéral concernant la loi fédérale sur la révision totale de la LPD et sur la modification d’autres lois fédérales du 15.09.2017 : http://bit.ly/2xikQTj

Loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales (projet) : http://bit.ly/2yloOca

Arrêté fédéral (projet) portant approbation de l’échange de notes entre la Suisse et l’Union européenne concernant la reprise de la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (Développement de l’acquis de Schengen) : http://bit.ly/2wD9qFV

 

 

Protection des données : Moneyhouse SA doit adapter sa pratique de traitement des données

Arrêt du Tribunal administratif fédéral A-4232/2015 (d) du 18.04.2017

 

Arrêt A-4232/2015 consultable ici : http://bit.ly/2pEsm4I

Communiqué de presse du TAF consultable ici : http://bit.ly/2qaReSw

 

Le Tribunal administratif fédéral approuve en grande partie la plainte déposée par le préposé fédéral à la protection des données contre le traitement des données tel que pratiqué par Moneyhouse SA. Il constate en particulier que des profils de personnalité sont créés ou traités sur le site www.moneyhouse.ch dans la mesure où des informations concernant la réputation, la situation familiale, la formation et l’activité professionnelle ainsi que les conditions de logement de particuliers y sont fournies. Moneyhouse SA est par conséquent contrainte d’obtenir l’accord express des personnes concernées avant de publier ce type de données.

 

Moneyhouse SA récolte des données sous forme électronique de diverses sources privées, des offices de poursuite, de la version internet de la Feuille officielle suisse du commerce ainsi que des moteurs de recherche en ligne tels que Google ou Local.ch. Elle utilise ces données pour offrir diverses prestations, notamment la recherche d’entreprises et de particuliers ainsi qu’un portail d’emplois. Toutes ces données personnelles sont publiées sur le site www.monyehouse.ch. Le service est gratuit pour le public moyennant un enregistrement préalable. Mais il est aussi possible de devenir membre « premium » et, contre rémunération, de souscrire ainsi à des abonnements donnant accès à des informations sur la solvabilité et la moralité de paiement ou encore à des renseignements détaillés sur des cas de défauts de paiement, des actes de poursuite, le registre foncier et la situation économique et fiscale ; ces abonnés bénéficient en outre de services relatifs à des portraits d’entreprises. En justifiant d’un intérêt particulier à consulter des données, il est possible de profiter d’offres supplémentaires et d’accéder à des données concernant des personnes physiques non enregistrées au registre du commerce ou dans un annuaire téléphonique électronique.

Plusieurs particuliers ne figurant pas au registre du commerce se sont adressés au préposé fédéral à la protection des données (PFPDT), se plaignant de la publication de données les concernant qui à leur avis vont au-delà de renseignements concernant la solvabilité.

Le Tribunal administratif fédéral (TAF) confirme aujourd’hui la recommandation du PFPDT qui se réfère aux abonnements payants « premium ». Il constate que, dans ce cadre, Moneyhouse SA établit un portrait biographique des personnes en donnant, outre le nom, le prénom et la date de naissance, également des indications sur la vie et le domicile par le biais de données concernant les membres du ménage et les voisins. Ce constat se trouve encore appuyé par le fait que sont aussi publiées des données concernant les anciens lieux de domicile et les activités professionnelles. Les membres « premium » peuvent ainsi assez facilement établir un profil de personnalité des personnes recherchées ou continuer à travailler ledit profil. Mais cette possibilité contredit toutefois les intérêts des personnes concernées en respect du droit de la personnalité, lequel prime sur les intérêts lucratifs de Moneyhouse SA. Aussi le traitement de ces données concernant des personnes ne figurant pas au registre du commerce requiert-il impérativement leur accord express.

Par ailleurs, le TAF constate certes que Moneyhouse SA n’a pas forcément d’influence sur l’indexation des résultats des moteurs de recherche qu’elle présente sur sa plateforme. Cela étant, il oblige néanmoins l’agence à vérifier l’exactitude des données publiées dans 5% des requêtes soumises sur son site. Les demandes de renseignement qu’elle ne peut satisfaire doivent être transmises immédiatement et sans frais à ses partenaires contractuels compétents. De plus, elle doit vérifier à intervalles réguliers et dans une proportion de 3% si les requêtes concernant la solvabilité soumises sur son site se basent sur une justification d’intérêts effective et correcte.

L’arrêt est susceptible de recours au Tribunal fédéral.

 

 

Arrêt A-4232/2015 consultable ici : http://bit.ly/2pEsm4I

 

 

 

Loi sur la protection des données : Renforcer le contrôle sur ses propres données et rendre leur traitement plus transparent

Loi sur la protection des données : Renforcer le contrôle sur ses propres données et rendre leur traitement plus transparent

 

Communiqué de presse de l’OFJ du 21.12.2016 consultable ici : http://bit.ly/2jPgDzY

 

Le Conseil fédéral veut renforcer la protection des données et l’adapter aux technologies et à la société d’aujourd’hui. Lors de sa séance du 21 décembre 2016, il a mis en consultation un avant-projet de révision totale de la loi sur la protection des données (LPD). La révision crée aussi les conditions qui permettront à la Suisse de ratifier la convention du Conseil de l’Europe sur la protection des données et de reprendre la directive de l’Union européenne sur la protection des données en matière pénale. Ces modifications sont nécessaires pour préserver la libre circulation des données entre la Suisse et l’étranger.

 

En révisant la loi, le Conseil fédéral entend notamment rendre le traitement de données plus transparent et renforcer le droit de chacun à disposer de ses propres données. Dans ce but, l’avant-projet élargit l’obligation d’informer des organes responsable du traitement des données, tout en précisant le droit à l’information des personnes concernées. L’accent est mis sur l’autoréglementation : des bonnes pratiques concrétisant la protection des données seront élaborées ou approuvées par le Préposé fédéral à la protection des données et à la transparence (PFPDT).

L’avant-projet renforce ponctuellement les compétences du PFPDT en matière de surveillance. Ce dernier sera par exemple habilité à enquêter et à rendre une décision en cas de violation de la protection des données. Le volet pénal de la loi sera par ailleurs renforcé.

 

Tenir compte des avancées au niveau européen

L’avant-projet prend en compte les règles adoptées en matière de protection des données par l’UE et par le Conseil de l’Europe. L’UE a adopté cette année deux textes dans ce domaine, la directive (UE) 2016/680 et le règlement (UE) 2016/679. La Suisse transpose donc la directive dans sa législation. Celle-ci règle notamment le traitement des données dans le cadre d’une poursuite pénale et de la coopération policière et judiciaire. Elle fixe les conditions auxquelles des données personnelles peuvent être transmises d’un Etat Schengen à un Etat tiers. Enfin, elle définit les tâches et les compétences de l’autorité de contrôle. Le Conseil fédéral a approuvé la reprise de la directive le 31 août 2016 et chargé le Département fédéral de justice et police d’intégrer dans le projet de révision de la LPD les modifications législatives qui en découlent.

Le Conseil de l’Europe a entrepris de moderniser la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention STE 108), ratifiée par la Suisse. Pour que la convention révisée puisse être ratifiée, une adaptation de la LPD est nécessaire.

 

Préserver la possibilité d’échanger des données avec d’autres Etats

La révision de la LPD met la Suisse en mesure de satisfaire aux conditions posées par la directive de l’UE et de ratifier la convention révisée pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Les adaptations proposées garantissent à la Suisse d’être reconnue comme un Etat tiers disposant d’un niveau de protection des données suffisant pour que la possibilité d’échanger des données avec elle soit préservée.

La consultation menée sur l’avant-projet de révision de la LPD, l’arrêté fédéral concernant le reprise de la directive (UE) 2016/680 et le projet de modernisation de la convention STE 108 du Conseil de l’Europe court jusqu’au 4 avril 2017.

 

 

Communiqué de presse de l’OFJ du 21.12.2016 consultable ici : http://bit.ly/2jPgDzY

Rapport explicatif concernant l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales : http://bit.ly/2iU4R8h

Avant-projet LPD : http://bit.ly/2kiNpdS

Avant-projet modification d’autres actes législatifs relatifs à la protection des données : http://bit.ly/2kiY74g

Texte provisoire convention STE 108 : http://bit.ly/2ki9aX7

Echange de notes concernant la reprise de la directive (UE) 2016/680 : http://bit.ly/2jnVqtN

Directive (UE) 2016/680 : http://bit.ly/2jPonCc

Regulierungsfolgenabschätzung (RFA) zur Revision des eidg. Datenschutzgesetzes (DSG). Schlussbericht vom 11. Juli 2016 : http://bit.ly/2jPwYor

Gutachten zum Datenschutzrecht in Argentinien, Japan, Neuseeland, Singapur, Südkorea und den USA : http://bit.ly/2iUcECW

 

 

Vers un renforcement de la protection des données

Le 01.04.2015, le Conseil fédéral a donné le coup d’envoi d’une révision de la loi sur la protection des données. Il a chargé le Département fédéral de justice et police (DFJP) de lui soumettre un avant-projet d’ici à fin août 2016, tenant compte des réformes en cours dans l’UE et au Conseil de l’Europe.

 

Au terme des travaux d’évaluation de la loi sur la protection des données (LPD) qui ont été menés en 2010 et 2011, le Conseil fédéral a chargé le DFJP d’examiner les mesures législatives à prendre pour renforcer la protection des données. Le département a donc mis sur pied un groupe de travail ayant une large assise, composé de représentants des administrations fédérale et cantonales, des milieux scientifiques, des organisations économiques et des associations de défense des consommateurs. Le rapport de ce groupe de travail, dont le gouvernement a pris acte aujourd’hui, expose plusieurs options possibles pour l’adaptation des normes de protection des données à l’évolution des technologies et de la société et pour la suppression des difficultés d’application de la LPD.

Réformes en cours au niveau européen
Tant l’UE que le Conseil de l’Europe sont en train d’adapter leur règlementation de la protection des données. Le Conseil de l’Europe opère une refonte de la convention – ratifiée par la Suisse – pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Le projet de modernisation de cette convention, entrée en vigueur en 1985, sera sans doute adopté et soumis à la signature des Etats parties en 2015 ou 2016. Or renoncer à ratifier la nouvelle convention aurait, de l’avis du Conseil fédéral, des conséquences fâcheuses importantes sur le trafic international de données.

L’UE, elle aussi, modifie sa législation relative aux données personnelles. Ses travaux ne seront vraisemblablement pas achevés avant fin 2015. La Suisse n’est concernée que dans la mesure où ces actes normatifs relèvent de l’acquis de Schengen/Dublin, mais les échanges de données avec l’UE reposent en principe sur le fait que le niveau de protection des données garanti par la Suisse est reconnu comme adéquat. La Suisse a donc un intérêt majeur à renforcer ses dispositions.

La révision de la LPD devrait mettre la Suisse en état de ratifier la nouvelle convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et de reprendre si nécessaire les développements de l’acquis de Schengen/Dublin en matière de protection des données.

Le Conseil fédéral entend néanmoins faire avancer rapidement ses propres travaux préparatoires. En fixant à fin août 2016 le délai pour l’élaboration d’un avant-projet de révision de la LPD, il pourra tenir compte de manière adéquate des réformes en cours au niveau européen.

Renforcement des droits des personnes concernées
L’évaluation de la LPD a montré que le citoyen lambda ne fait que rarement valoir ses droits face aux organismes qui traitent des données à son sujet. Il convient donc d’examiner s’il ne serait pas opportun de renforcer non seulement les attributions et les pouvoirs du préposé fédéral à la protection des données et à la transparence, mais aussi, ponctuellement, les droits des personnes concernées et la procédure qu’elles doivent suivre pour les faire appliquer. La question est d’intérêt notamment dans les domaines où le droit suisse présente des lacunes par rapport aux réformes du Conseil de l’Europe.

Le Conseil fédéral entend aussi améliorer le contrôle et la maîtrise des données, de même que la protection des mineurs. Enfin, il souhaite que la protection des données soit assurée plus en amont, grâce à la promotion des bonnes pratiques.