La Suisse fait évoluer la protection des données
Qu’est-ce qui empêche des entreprises comme Migros, Coop, Swisscom, ou CFF, de disposer de nos données intimes selon leur bon vouloir? En Suisse, c’est la loi sur la protection des données qui définit le cadre. Elle vient d’être revue de fond en comble, pour tenir compte de phénomènes de fond comme l’essor des réseaux sociaux, du cloud ou encore l’internet des objets.
En vigueur depuis le 1er septembre 2023, cette nouvelle loi sur la protection des données (LPD) s’inspire en partie de la référence internationale en la matière: le très protecteur Règlement général sur la protection des données (RGPD) de l’Union européenne, instauré en 2018. Mais les différences qui subsistent entre les deux approches en disent long sur l’exception helvète.
Approches différentes
Au plan légal, peut-on mettre un signe égal entre le RGPD et la nLPD? «Non, ce serait comme comparer des pommes avec des poires», estime François Charlet, juriste spécialisé en protection des données. Il rappelle que l’Union européenne a adopté une approche fondamentalement différente de la Suisse. «En Europe, tout traitement de données personnelles n’est licite qu’à condition de disposer d’une base juridique. En Suisse, un traitement est autorisé sauf s’il enfreint la protection de la personnalité régie par le Code civil.»
Voilà qui est loin d’être anodin. En Suisse, une entreprise peut en théorie traiter des données personnelles sensibles – comme les opinions politiques, les données biométriques ou de santé – sans que la personne concernée y ait consenti explicitement. Elle pourrait se prévaloir du fait que cela ne porte pas atteinte à la personnalité. Sous le régime européen, un tel traitement nécessite a contrario le consentement explicite de l’individu.
«La législation suisse est un peu en retrait par rapport au RGPD et à la Convention 108+», analyse Jean-Philippe Walter, commissaire à la protection des données du Conseil de l’Europe et ancien préposé fédéral suppléant. La Convention 108+ est un traité du Conseil de l’Europe dont la première version date de 1981. C’est le principal instrument international de promotion de la vie privée et de la protection des données, car la convention peut être ratifiée par des Etats non membres.
Certaines restrictions au droit d’accès prévues par la loi suisse pourraient être contraires à la Convention 108+ selon Jean-Philippe Walter, qui estime toutefois que les principes fondamentaux sont les mêmes. Le droit suisse octroie plus de souplesse dans son application, précise-t-il.
Pas d’amende record
Autre différence de taille: les sanctions en cas d’infraction. En Europe, le montant de l’amende (administrative) pour l’entreprise fautive peut s’élever jusqu’à 4% du chiffre d’affaires global. Le régulateur irlandais a ainsi infligé une amende de 1,2 milliard d’euros à l’encontre de Meta, l’entreprise qui possède Facebook, WhatsApp et Instagram.
En Suisse, les amendes (pénales) visent les personnes physiques dans l’entreprise responsable du traitement illicite. Ainsi, un plafond de 250’000 francs est fixé pour les sanctions pécuniaires. Si aucun auteur ne peut être trouvé, une amende subsidiaire pouvant aller jusqu’à 50’000 francs peut être infligée à l’entreprise. De plus, l’amende n’est infligée que si l’intention illicite est démontrée.
«Ce sont des mesures dérisoires, qui ne sont pas suffisamment dissuasives», estime un juriste, qui préfère garder l’anonymat.
L’avocat Nicolas Capt, spécialisé en droit des nouvelles technologies, n’est pas aussi catégorique: «Les sanctions diffèrent du RGPD, certes, mais il faudra voir comment elles sont appliquées, parce qu’elles pourront quand même réveiller les entreprises qui n’étaient pas jusqu’ici très regardantes en matière de protection des données.»
«Pour ma part, je ne regrette pas cette absence des amendes administratives dans la loi», réagit Livio di Tria, juriste spécialisé en nouvelles technologies et co-fondateur de swissprivacy.law. «Ce n’est pas dans la culture suisse, et des questions restent en suspens avec ces sanctions au niveau européen.»
Un avis que ne partage pas Jean-Philippe Walter. «Les sanctions suisses restent du ressort de la justice pénale, déjà surchargée, en plus de ne pas être suffisamment dissuasives. De surcroît, c’est la justice pénale de chaque canton qui sera compétente, il faut donc s’attendre à des jurisprudences différentes pour des affaires similaires.»
De nouvelles obligations pour les entreprises
Malgré tout, la nouvelle loi suisse apporte son lot d’obligations supplémentaires pour les entreprises. Ces dernières devront par exemple communiquer la nature des traitements de données personnelles aux individus concernés. Elles devront également les informer des catégories de données qu’elles ont obtenues via des tiers.
«Ce renforcement du devoir d’informer est réjouissant, estime Livio di Tria. Ce qui m’inquiète toutefois, c’est sa mise en œuvre pratique. Pour certains traitements de données personnelles, une simple politique de confidentialité ne sera pas suffisante pour informer correctement les personnes concernées, en particulier lorsque leurs données ne sont pas directement collectées auprès d’elles. Dans un tel cas, il appartient au responsable du traitement de communiquer directement les informations minimales.»
L’expert rappelle en outre qu’il y a des exceptions et des restrictions au devoir d’informer prévues par la loi. La manière dont elles seront interprétées en pratique s’avérera cruciale.
Les entreprises devront par ailleurs annoncer les violations de la sécurité des données – pour autant qu’elles représentent un risque élevé pour les personnes concernées. Une disposition qui pourrait donner une vue plus large sur les attaques informatiques à l’avenir. L’obligation de tenir un registre des traitements de données permettra aussi une plus grande transparence. «Malheureusement, un régime dérogatoire s’applique pour les entreprises de moins de 250 employés», indique Nicolas Capt.
La réforme législative exige des entreprises qu’elles analysent les risques de manière générale pour tous les traitements. Si cet examen met en exergue des risques élevés pour la personnalité ou les droits fondamentaux, il faut alors procéder à une analyse d’impact relative à la protection des données personnelles. En l’occurrence, les entreprises doivent documenter les dangers identifiés et les mesures envisagées pour les minimiser. Au cas où des risques importants subsistent, le Préposé fédéral à la protection des données et à la transparence (PFPDT) doit être consulté.
Cette notion de «risque élevé» n’est pas clairement définie, observe Livio di Tria. Selon lui, la jurisprudence et le Préposé fédéral devront apporter des compléments d’information sur ce point. Adrian Lobsiger estime pour sa part que la législation apporte des indices quant à la définition du risque élevé.
Une autorité de surveillance renforcée
Le Préposé fédéral à la protection des données et à la transparence est l’organe chargé de veiller au respect de la législation. Fédéralisme oblige, chaque canton dispose de son propre préposé cantonal – dans certains cas, c’est un même préposé pour plusieurs cantons. Ce dernier a pour mission de vérifier le respect de la loi par les autorités cantonales et communales. Le préposé fédéral s’occupe quant à lui des personnes privées (les entreprises, mais aussi les associations, fédérations, etc.) et de l’ensemble des organes fédéraux.
Sous l’ancienne loi, le Conseil fédéral décidait du budget de l’institution et nommait son directeur. Désormais, ces prérogatives sont du ressort du Parlement fédéral. Une manière de renforcer l’indépendance de l’autorité de surveillance vis-à-vis de l’exécutif.
L’actuel préposé fédéral, Adrian Lobsiger, est en poste depuis 2016. Il travaillait auparavant au sein de la Police fédérale (Fedpol). Son mandat, renouvelé en 2020, court jusqu’à fin 2023. Il sera prolongé jusqu’en 2027, selon une proposition communiquée par la Commission juridique du Parlement. Avec la nouvelle loi, il a obtenu 9 postes de plus depuis 2020 (trois en 2020 et six en 2023), portant le total à 33. Cinq d’entre eux sont des informaticiens, le reste de l’équipe étant composée de juristes.
«La Suisse n’est de loin pas le pays qui dispose de l’autorité de protection des données la mieux dotée en termes de ressources humaines», regrette Jean-Philippe Walter. Selon lui, il faudrait au moins le double de ce dont dispose actuellement le PFPDT pour qu’il puisse assumer sa mission de surveillance.
Parmi les nouveaux pouvoirs du Préposé fédéral figure celui d’interdire un traitement de données illicite. Par le passé, il devait saisir le Tribunal administratif fédéral, une procédure particulièrement longue. Adrian Lobsiger estime que ça va faciliter sa tâche (lire son interview ici).
Une collaboration avec le privé
Si le Préposé fédéral à la protection des données a vocation à veiller au bon respect de la loi par les entreprises et la Confédération, sa principale activité consiste d’abord à leur fournir des conseils et à collaborer avec les autorités étrangères. Ces tâches ont représenté plus de la moitié de son travail en 2022, selon le rapport d’activité publié en juin 2023. Il a consacré à la surveillance elle-même un peu plus de 15% de son temps.
Mais l’autorité a annoncé sa volonté de consacrer davantage de moyens à la surveillance avec l’entrée en vigueur de la nouvelle loi. Celle-ci précise d’ailleurs que, contrairement à ce qui prévalait jusqu’ici, toute dénonciation devra être traitée. Les procédures pourraient donc augmenter. S’il est difficile d’anticiper l’ampleur de la tâche, le Préposé fédéral entend s’appuyer sur l’aide des conseillers à la protection des données (DPO, ou data protection officer) engagés par les entreprises. Sous l’égide du RGPD, on parle de délégué à la protection des données.
En Suisse, la désignation d’un DPO n’est pas obligatoire pour les entreprises et la loi prévoit comme seule incitation la possibilité de ne pas devoir consulter le PFPDT si des risques élevés subsistent après une analyse d’impact. La plupart des grands groupes en sont toutefois dotés. Leur rôle est de veiller à l’application des prescriptions en matière de protection des données et de conseiller l’entreprise à cet égard.
«C’est un rôle important au sein d’une entreprise», commente un DPO sous couvert d’anonymat. «Je suis amené à travailler avec tous les services de mon employeur, en fonction des projets. Il s’agit avant tout d’une fonction qui a trait à la gestion des risques. Une société peut tout à fait décider de ne pas être parfaitement conforme et de s’en accommoder. Moi je suis là pour lui faire remarquer les conséquences humaines, juridiques et financières si ça dérape.»
De la réserve en matière de transparence
Forcément, l’entrée en vigueur d’une nouvelle loi dans un domaine aussi sensible s’accompagne de grandes attentes. Pour Nicolas Capt, même si certains points ne sont pas aussi stricts que le cadre européen, il faut voir le verre à moitié plein: «C’est une véritable loi, qui comporte désormais des sanctions. Elle va surtout pousser les entreprises qui n’étaient toujours pas conformes à l’ancienne loi à se préoccuper davantage de ce qu’elles font avec les données de leurs clients.» De tels cas existent, assure l’avocat.
Jusqu’ici, les entreprises qui ne respectaient pas la loi pouvaient espérer passer entre les mailles du filet, notamment parce qu’il fallait une certaine quantité de dénonciations pour que l’autorité de surveillance puisse agir. En théorie, ça ne devrait donc plus être le cas. De leur côté, les principales entreprises suisses ont mis à jour leurs politiques de confidentialité pour se conformer aux nouvelles règles. Mais comme nous le verrons tout au long de cette Exploration, elles continuent de se montrer avares en informations lorsqu’il s’agit de préciser ce qu’elles font réellement avec nos données.