Loi sur la pro­tec­tion des don­nées: l’ASA sou­tient la ré­vi­sion sous ré­serve

Positions16 septembre 2019

En procédant à la révision de la loi sur la protection des données (LPD), le Conseil fédéral entend adapter ce texte législatif à l’ère de l’internet tout en renforçant les droits des citoyens. En parallèle, les dispositions relatives à la protection des données lors du traitement de données personnelles ont également fait l’objet d’adaptations afin de les harmoniser avec celles applicables dans l’espace Schengen, ceci en vue d'une meilleure collaboration dans les affaires pénales.

Les requêtes du secteur de l'assurance ont été entendues

L’ASA salue le fait que diverses requêtes de la branche des assurances aient été reprises, comme l’introduction d’un conseiller à la protection des données personnelles, la restriction aux délits intentionnels ainsi que diverses autres dispositions touchant le profilage.

Prescrire tous devoirs d'information et d’action exagérés

Pour que les entreprises puissent appliquer correctement la nouvelle loi sur la protection des données au quotidien, certaines adaptations sont nécessaires. Le projet contient encore un trop grand nombre de devoirs d’information et d’action imposés aux entreprises. Citons par exemple:

  • En cas de livraison des données à l’étranger, si les entreprises ont l’obligation de signaler à leurs clients chacun des Etats dans lesquels les données sont envoyées, cela ne manquera pas de générer une énorme surcharge de travail administratif et de mise en conformité (compliance), sans pour autant être d’aucune utilité pour les personnes concernées.
     
  • Une obligation d’analyse d'impact relative à la protection des données pour toute forme de profilage n’est pas une mesure appropriée. De nombreux profilages n’ont aucune incidence, voire sont dans l’intérêt des personnes concernées (par exemple dans les cas de prévention de la fraude).

D’autres corrections sont nécessaires concernant les dispositions pénales

L’ASA se félicite de ce que le Conseil fédéral ait renoncé aux délits de négligence grave. Néanmoins, d’autres corrections sont nécessaires en matière de dispositions pénales.

  • Ce sont les responsables (les entreprises) et non leurs employés en tant que leurs auxiliaires qui devraient être punissables. A l’instar des normes de responsabilité ressortant du droit civil (CO 55/101), les dispositions pénales devraient donc être dirigées contre les entreprises (employeurs), sous réserve néanmoins de tout acte criminel commis par les collaborateurs (comme le vol de données). La répression des employés, telle que prévue par le message, n’est pas réalisable au sein des entreprises présentant une hiérarchie à multiples niveaux. De surcroît, une responsabilité pénale des employés constitue un frein inutile à l’esprit d’entreprise. Cela pénalise l’attractivité de la place Suisse.
  • Comme jusqu’à présent, le devoir de discrétion professionnelle ressortant de la loi sur la protection des données ne devrait être applicable que si des données personnelles secrètes particulièrement sensibles sont touchées. Un grand nombre de données personnelles relèvent déjà de devoirs de discrétion particuliers (par exemple du secret médical).

Nécessité d'un délai transitoire d’au moins deux ans

Les entreprises ont besoin d’un délai suffisant d’au moins deux ans entre la promulgation de la révision au parlement et l’entrée en vigueur de la nouvelle loi afin d’avoir le temps d’adapter leur organisation.

Harmonisation avec les dispositions légales des assurances sociales

Dans la loi sur l’assurance-accidents LAA, le profilage et les décisions individuelles automatisées sont autorisées. Cette disposition devrait également être appliquée à la prévoyance professionnelle, ne serait-ce qu’en raison de la proximité de la LPP avec la LAA et de la coordination en découlant.

Par ailleurs, dans le sillage de la révision de la loi sur la protection des données, la LAA doit désormais contenir des dispositions légales fondant les mesures de case management (à savoir la réinsertion dans le processus de travail des collaborateurs victimes d’accidents).

La commission consultative des institutions politiques du Conseil national (CIP-N) examine actuellement la révision totale de la LPD.