Loi sur la pro­tec­tion des don­nées: l’ASA sou­tient la ré­vi­sion sous ré­serve

Positions28 février 2020

En procédant à la révision de la loi sur la protection des données (LPD), le Conseil fédéral entend adapter ce texte législatif à l’ère de l’internet tout en renforçant les droits des citoyens. En parallèle, les dispositions relatives à la protection des données lors du traitement de données personnelles ont également fait l’objet d’adaptations afin de les harmoniser avec celles applicables dans l’espace Schengen, ceci en vue d'une meilleure collaboration dans les affaires pénales.

Si l’ASA reconnaît la nécessité de cette réforme, elle exige certaines adaptations.

Les pour et les contre:

Après deux années d’examen préalable par la Commission des institutions publiques de la première chambre (Conseil national), la révision totale de la LPD a fait l’objet de délibérations expéditives par les deux chambres au cours de l’année passée (Conseil national les 24 et 25 septembre et Conseil des États le 18 décembre 2019). Un certain nombre de divergences sont apparues entre les deux chambres à l’issue de ces lectures. Elles devraient pouvoir être aplanies au cours de la session de printemps 2020 qui se tiendra du 2 au 20 mars.

Objet d’une importance cruciale

Pour l’ASA, la révision de la LPD revêt une importance essentielle, car le traitement des données des clients est indissociable des affaires d’assurance. Les assureurs ont besoin de collecter un certain nombre de données sur leurs clients, et ces derniers ont besoin que les assureurs traitent les données les concernant. Dans le cadre de la révision, il faut également veiller à la compatibilité avec la réglementation internationale (sans Swiss finish inutile). Il s’agit de la version révisée de la Convention du Conseil de l’Europe sur la protection des données ainsi que du Règlement général de l’UE sur la protection des données (RGPD) relatif au maintien de l’équivalence. Ce dernier réduit l’investissement nécessaire pour le transfert international des données et instaure de la sécurité juridique pour appuyer les transferts transfrontières.

Pas de Swiss finish

L’ASA soutient la révision et enjoint le Parlement de procéder à l’examen du projet lors de la procédure d’élimination des divergences en s’appuyant sur les travaux de la commission du Conseil national. Cette remarque concerne notamment le profilage : le Conseil des États propose de faire la distinction entre « profilage » et « profilage à risque élevé ». Cette définition est par ailleurs liée à des dispositions venant durcir son application. Les réglementations européennes ne procèdent pas à une telle distinction. En conséquence, cela génère un Swiss finish dommageable sur un élément majeur pour le bon fonctionnement de l’économie de données. Les entreprises suisses se trouveraient ainsi désavantagées par rapport à leurs concurrents sur la scène internationale. Nous saluons donc le fait que la commission du Conseil national s’en tienne à la notion telle que formulée lors de la première consultation devant le Conseil national.

Délai d’adaptation approprié

L’une des principales requêtes de l’ASA consiste dans l’octroi d'un délai approprié de deux ans avant l’entrée en vigueur du droit révisé afin que les entreprises aient le temps de s’adapter aux nouvelles dispositions légales. Les nouvelles dispositions de la LPD ainsi que les dispositions révisées impliquent que les entreprises revoient en profondeur nombre de leurs processus – par ex. développement des produits, documents destinés à la clientèle, conditions d’assurance, évaluation et prise en charge des risques, gestion des contrats, service clientèle, gestion des sinistres, identification des cas de fraudes, formation et distribution. Accessoirement, le RGPD-UE octroyait également un délai transitoire de deux ans pour l’adaptation de l’ensemble du règlement (c’est-à-dire pour toutes les dispositions). Le RGPD-UE a été promulgué le 27 avril 2016 et n’a été applicable qu’à partir du 25 mai 2018.