Cabinet Philippe Alliaume

https://www.letemps.ch/monde/au-proche-orient-la-gifle-donnee-par-la-suisse-aux-ong

https://www.heidi.news/explorations/razzia-sur-vos-data/que-vaut-la-nouvelle-loi-suisse-en-matiere-de-protection-des-donnees-personnelles

Qu’est-ce qui empêche des entreprises comme Migros, Coop, Swisscom, ou CFF, de disposer de nos données intimes selon leur bon vouloir? En Suisse, c’est la loi sur la protection des données qui définit le cadre. Elle vient d’être revue de fond en comble, pour tenir compte de phénomènes de fond comme l’essor des réseaux sociaux, du cloud ou encore l’internet des objets.

En vigueur depuis le 1er septembre 2023, cette nouvelle loi sur la protection des données (LPD) s’inspire en partie de la référence internationale en la matière: le très protecteur Règlement général sur la protection des données (RGPD) de l’Union européenne, instauré en 2018. Mais les différences qui subsistent entre les deux approches en disent long sur l’exception helvète.

Approches différentes

Au plan légal, peut-on mettre un signe égal entre le RGPD et la nLPD? «Non, ce serait comme comparer des pommes avec des poires», estime François Charlet, juriste spécialisé en protection des données. Il rappelle que l’Union européenne a adopté une approche fondamentalement différente de la Suisse. «En Europe, tout traitement de données personnelles n’est licite qu’à condition de disposer d’une base juridique. En Suisse, un traitement est autorisé sauf s’il enfreint la protection de la personnalité régie par le Code civil.»

Voilà qui est loin d’être anodin. En Suisse, une entreprise peut en théorie traiter des données personnelles sensibles – comme les opinions politiques, les données biométriques ou de santé – sans que la personne concernée y ait consenti explicitement. Elle pourrait se prévaloir du fait que cela ne porte pas atteinte à la personnalité. Sous le régime européen, un tel traitement nécessite a contrario le consentement explicite de l’individu.

«La législation suisse est un peu en retrait par rapport au RGPD et à la Convention 108+», analyse Jean-Philippe Walter, commissaire à la protection des données du Conseil de l’Europe et ancien préposé fédéral suppléant. La Convention 108+ est un traité du Conseil de l’Europe dont la première version date de 1981. C’est le principal instrument international de promotion de la vie privée et de la protection des données, car la convention peut être ratifiée par des Etats non membres.

Certaines restrictions au droit d’accès prévues par la loi suisse pourraient être contraires à la Convention 108+ selon Jean-Philippe Walter, qui estime toutefois que les principes fondamentaux sont les mêmes. Le droit suisse octroie plus de souplesse dans son application, précise-t-il.

Pas d’amende record

Autre différence de taille: les sanctions en cas d’infraction. En Europe, le montant de l’amende (administrative) pour l’entreprise fautive peut s’élever jusqu’à 4% du chiffre d’affaires global. Le régulateur irlandais a ainsi infligé une amende de 1,2 milliard d’euros à l’encontre de Meta, l’entreprise qui possède Facebook, WhatsApp et Instagram.

En Suisse, les amendes (pénales) visent les personnes physiques dans l’entreprise responsable du traitement illicite. Ainsi, un plafond de 250’000 francs est fixé pour les sanctions pécuniaires. Si aucun auteur ne peut être trouvé, une amende subsidiaire pouvant aller jusqu’à 50’000 francs peut être infligée à l’entreprise. De plus, l’amende n’est infligée que si l’intention illicite est démontrée.

«Ce sont des mesures dérisoires, qui ne sont pas suffisamment dissuasives», estime un juriste, qui préfère garder l’anonymat.

L’avocat Nicolas Capt, spécialisé en droit des nouvelles technologies, n’est pas aussi catégorique: «Les sanctions diffèrent du RGPD, certes, mais il faudra voir comment elles sont appliquées, parce qu’elles pourront quand même réveiller les entreprises qui n’étaient pas jusqu’ici très regardantes en matière de protection des données.»

«Pour ma part, je ne regrette pas cette absence des amendes administratives dans la loi», réagit Livio di Tria, juriste spécialisé en nouvelles technologies et co-fondateur de swissprivacy.law. «Ce n’est pas dans la culture suisse, et des questions restent en suspens avec ces sanctions au niveau européen.»

Un avis que ne partage pas Jean-Philippe Walter. «Les sanctions suisses restent du ressort de la justice pénale, déjà surchargée, en plus de ne pas être suffisamment dissuasives. De surcroît, c’est la justice pénale de chaque canton qui sera compétente, il faut donc s’attendre à des jurisprudences différentes pour des affaires similaires.»

De nouvelles obligations pour les entreprises

Malgré tout, la nouvelle loi suisse apporte son lot d’obligations supplémentaires pour les entreprises. Ces dernières devront par exemple communiquer la nature des traitements de données personnelles aux individus concernés. Elles devront également les informer des catégories de données qu’elles ont obtenues via des tiers.

«Ce renforcement du devoir d’informer est réjouissant, estime Livio di Tria. Ce qui m’inquiète toutefois, c’est sa mise en œuvre pratique. Pour certains traitements de données personnelles, une simple politique de confidentialité ne sera pas suffisante pour informer correctement les personnes concernées, en particulier lorsque leurs données ne sont pas directement collectées auprès d’elles. Dans un tel cas, il appartient au responsable du traitement de communiquer directement les informations minimales.»

L’expert rappelle en outre qu’il y a des exceptions et des restrictions au devoir d’informer prévues par la loi. La manière dont elles seront interprétées en pratique s’avérera cruciale.

Les entreprises devront par ailleurs annoncer les violations de la sécurité des données – pour autant qu’elles représentent un risque élevé pour les personnes concernées. Une disposition qui pourrait donner une vue plus large sur les attaques informatiques à l’avenir. L’obligation de tenir un registre des traitements de données permettra aussi une plus grande transparence. «Malheureusement, un régime dérogatoire s’applique pour les entreprises de moins de 250 employés», indique Nicolas Capt.

La réforme législative exige des entreprises qu’elles analysent les risques de manière générale pour tous les traitements. Si cet examen met en exergue des risques élevés pour la personnalité ou les droits fondamentaux, il faut alors procéder à une analyse d’impact relative à la protection des données personnelles. En l’occurrence, les entreprises doivent documenter les dangers identifiés et les mesures envisagées pour les minimiser. Au cas où des risques importants subsistent, le Préposé fédéral à la protection des données et à la transparence (PFPDT) doit être consulté.

Cette notion de «risque élevé» n’est pas clairement définie, observe Livio di Tria. Selon lui, la jurisprudence et le Préposé fédéral devront apporter des compléments d’information sur ce point. Adrian Lobsiger estime pour sa part que la législation apporte des indices quant à la définition du risque élevé.

Une autorité de surveillance renforcée

Le Préposé fédéral à la protection des données et à la transparence est l’organe chargé de veiller au respect de la législation. Fédéralisme oblige, chaque canton dispose de son propre préposé cantonal – dans certains cas, c’est un même préposé pour plusieurs cantons. Ce dernier a pour mission de vérifier le respect de la loi par les autorités cantonales et communales. Le préposé fédéral s’occupe quant à lui des personnes privées (les entreprises, mais aussi les associations, fédérations, etc.) et de l’ensemble des organes fédéraux.

Sous l’ancienne loi, le Conseil fédéral décidait du budget de l’institution et nommait son directeur. Désormais, ces prérogatives sont du ressort du Parlement fédéral. Une manière de renforcer l’indépendance de l’autorité de surveillance vis-à-vis de l’exécutif.

L’actuel préposé fédéral, Adrian Lobsiger, est en poste depuis 2016. Il travaillait auparavant au sein de la Police fédérale (Fedpol). Son mandat, renouvelé en 2020, court jusqu’à fin 2023. Il sera prolongé jusqu’en 2027, selon une proposition communiquée par la Commission juridique du Parlement. Avec la nouvelle loi, il a obtenu 9 postes de plus depuis 2020 (trois en 2020 et six en 2023), portant le total à 33. Cinq d’entre eux sont des informaticiens, le reste de l’équipe étant composée de juristes.

«La Suisse n’est de loin pas le pays qui dispose de l’autorité de protection des données la mieux dotée en termes de ressources humaines», regrette Jean-Philippe Walter. Selon lui, il faudrait au moins le double de ce dont dispose actuellement le PFPDT pour qu’il puisse assumer sa mission de surveillance.

Parmi les nouveaux pouvoirs du Préposé fédéral figure celui d’interdire un traitement de données illicite. Par le passé, il devait saisir le Tribunal administratif fédéral, une procédure particulièrement longue. Adrian Lobsiger estime que ça va faciliter sa tâche (lire son interview ici).

Une collaboration avec le privé

Si le Préposé fédéral à la protection des données a vocation à veiller au bon respect de la loi par les entreprises et la Confédération, sa principale activité consiste d’abord à leur fournir des conseils et à collaborer avec les autorités étrangères. Ces tâches ont représenté plus de la moitié de son travail en 2022, selon le rapport d’activité publié en juin 2023. Il a consacré à la surveillance elle-même un peu plus de 15% de son temps.

Mais l’autorité a annoncé sa volonté de consacrer davantage de moyens à la surveillance avec l’entrée en vigueur de la nouvelle loi. Celle-ci précise d’ailleurs que, contrairement à ce qui prévalait jusqu’ici, toute dénonciation devra être traitée. Les procédures pourraient donc augmenter. S’il est difficile d’anticiper l’ampleur de la tâche, le Préposé fédéral entend s’appuyer sur l’aide des conseillers à la protection des données (DPO, ou data protection officer) engagés par les entreprises. Sous l’égide du RGPD, on parle de délégué à la protection des données.

En Suisse, la désignation d’un DPO n’est pas obligatoire pour les entreprises et la loi prévoit comme seule incitation la possibilité de ne pas devoir consulter le PFPDT si des risques élevés subsistent après une analyse d’impact. La plupart des grands groupes en sont toutefois dotés. Leur rôle est de veiller à l’application des prescriptions en matière de protection des données et de conseiller l’entreprise à cet égard.

«C’est un rôle important au sein d’une entreprise», commente un DPO sous couvert d’anonymat. «Je suis amené à travailler avec tous les services de mon employeur, en fonction des projets. Il s’agit avant tout d’une fonction qui a trait à la gestion des risques. Une société peut tout à fait décider de ne pas être parfaitement conforme et de s’en accommoder. Moi je suis là pour lui faire remarquer les conséquences humaines, juridiques et financières si ça dérape.»

De la réserve en matière de transparence

Forcément, l’entrée en vigueur d’une nouvelle loi dans un domaine aussi sensible s’accompagne de grandes attentes. Pour Nicolas Capt, même si certains points ne sont pas aussi stricts que le cadre européen, il faut voir le verre à moitié plein: «C’est une véritable loi, qui comporte désormais des sanctions. Elle va surtout pousser les entreprises qui n’étaient toujours pas conformes à l’ancienne loi à se préoccuper davantage de ce qu’elles font avec les données de leurs clients.» De tels cas existent, assure l’avocat.

Jusqu’ici, les entreprises qui ne respectaient pas la loi pouvaient espérer passer entre les mailles du filet, notamment parce qu’il fallait une certaine quantité de dénonciations pour que l’autorité de surveillance puisse agir. En théorie, ça ne devrait donc plus être le cas. De leur côté, les principales entreprises suisses ont mis à jour leurs politiques de confidentialité pour se conformer aux nouvelles règles. Mais comme nous le verrons tout au long de cette Exploration, elles continuent de se montrer avares en informations lorsqu’il s’agit de préciser ce qu’elles font réellement avec nos données.

← Épisode Précédent

N°4 Là où vont nos données personnelles: au cœur de datacenters ultrasécurisés à Genève

Épisode Suivant →

Pour aller plus loin Protection des données: le préposé fédéral aura-t-il les moyens d’accomplir sa mission?

https://www.letemps.ch/monde/europe/le-danemark-a-ose-revolutionner-le-systeme-de-sante-quand-la-suisse-a-fait-l-autruche

En Suisse, les premiers débats autour de la crise du logement remontent à la seconde moitié du XIXe siècle. La «question du logement ouvrier», comme on l’appelait alors, mit les autorités communales à l’épreuve et donna même lieu à des émeutes. Durant la seconde moitié du XIXe siècle, la vie quotidienne de la population suisse fut marquée par des changements révolutionnaires. Les bouleversements que connut le pays à cette époque sont présentés dans un ouvrage historique de référence, «Das Neue kommt» («place à la nouveauté»). L’arrivée du chemin de fer marqua le début d’une nouvelle ère. Mais l’industrialisation se révéla tout aussi déterminante. Grâce au développement de la machine à vapeur et de l’énergie électrique, les usines pouvaient désormais être exploitées loin des cours d’eau, dont la production industrielle dépendait jusqu’alors. swissinfo.ch publie régulièrement d’autres articles tirés du blog du Musée national suisse consacré à des sujets historiques. Ces articles…

https://www.tf1info.fr/justice-faits-divers/atteint-d-un-cancer-il-decouvre-qu-une-procedure-d-euthanasie-a-ete-lancee-en-suisse-a-son-insu-2275149.html

Les banques hésitent à traiter avec les régimes sanctionnés par crainte d’enfreindre les règles, ce qui a souvent des conséquences dramatiques pour les populations locales. La Suisse a tenté de résoudre ce problème en Iran et en Afghanistan, mais les résultats restent limités. «Je suis hors de moi», écrivait Dominik Stillhart à l’automne 2021, après avoir visité l’Afghanistan en tant que directeur des opérations du Comité international de la Croix-Rouge (CICR). «En regardant ces photos d’enfants afghans squelettiques depuis l’étranger, on ne peut qu’éprouver un sentiment d’horreur bien compréhensible», poursuit-il dans une déclaration personnelle publiée sur le site web du CICR à l’issue d’un voyage de six jours dans le pays. «Quand vous vous trouvez dans le service pédiatrique du plus grand hôpital de Kandahar et que vous plongez votre regard dans les yeux vides d’enfants affamés, entourés de leurs parents désespérés, c’est la colère qui prédomine.» Le problème? Le manque…

Dans le village bernois d’Aarwangen, de nouveaux habitants ont voulu interdire le son des cloches de vache. La population s’y est opposée en lançant une initiative. En Suisse, le «pays des vaches», les litiges concernant les cloches de vaches sont fréquents. Même le Tribunal fédéral, la plus haute instance juridique du pays, a dû se pencher plus d’une fois sur la question du son de cloches des animaux de pâturage. Ces derniers mois, le cas le plus récent concerne le village d’Aarwangen. Après que deux couples nouvellement arrivés dans ce village du canton de Berne ont déposé une plainte auprès des autorités communales contre le tintement des cloches, un véritable mouvement s’est formé en faveur des grandes cloches placées autour du cou des bovins. Plus de mille personnes pour les cloches Un groupe d’habitants a rapidement lancé une initiative pour préserver non seulement les cloches des vaches, mais aussi les cloches de l’église. L’un des deux couples à l’origine de la…

Dans une vallée suisse, au cœur de l’Emmental, deux jeunes gens issus de mondes différents – la Syrie et l’Italie – se retrouvent à partager la même passion. Le secteur de la transformation du lait, confronté à une pénurie de personnel qualifié, leur offre la possibilité de refaire leur vie en Suisse. «Je suis fier d’être fromager», déclare Yammen, les yeux brillants d’enthousiasme. À côté de lui, Andrea ajoute de la présure au lait de chèvre après en avoir vérifié la température. Nous sommes dans la laiterie Gohl, dans l’Emmental. Nous sommes au cœur de la Suisse, berceau du célèbre fromage à trous. Le paysage est dominé par des collines ondulantes, parsemées de fermes traditionnelles avec des géraniums rouges aux fenêtres. Une rivière coule dans la vallée et l’on entend de loin le tintement des cloches des vaches qui broutent. Un tableau bucolique dont Yammen ignorait l’existence il y a encore quelques années. La fuite de Syrie Yammen a 28 ans et est un réfugié syrien. Dans ce…

Le président français souhaite assouplir le recours au Référendum d’initiative partagée. Un pas vers une démocratie semi-directe à la suisse? On en est loin, estiment plusieurs observateurs. Les Français auront-ils la possibilité de s’exprimer par référendum au cours du second mandat d’Emmanuel Macron, qui se termine en 2027? Pourront-ils exercer leur droit de vote autrement que lors de scrutins électoraux, ce qu’ils n’ont pas fait depuis 2005 et le référendum sur le traité constitutionnel européen, qu’ils ont rejeté? Début octobre, le président français faisait un petit geste en direction des partisans d’une démocratie plus directe: le recours au référendum d’initiative partagée (RIP), instauré depuis 2008 mais qui n’a jamais donné lieu à un vote populaire, doit être facilité, estimait Emmanuel Macron. Pour l’heure, il faut l’accord d’un cinquième du Parlement et d’un dixième du corps électoral – soit 4,8 millions de personnes! – pour lancer un RIP. Le chef de l’Etat souhaite…

Décapitations d’oies, mobylettes tunées ou absinthe: pour les visiteurs, nos traditions suisses pourraient apparaître aussi bizarres que variées. Cependant, à mesure que la société et ses valeurs évoluent, une question se pose: certaines de ces traditions mériteraient-elles d’être dépoussiérées? Et vous, qu’en pensez-vous? L’évolution des traditions est-elle une menace pour l’identité suisse ou une nécessité pour s’adapter à notre époque? Rejoignez la discussion sur «dialogue», une offre de la SSR. Cette année, pour la première fois, les filles ont pu participer à la traditionnelle fête printanière de Chalandamarz, dans le canton des Grisons, en portant les mêmes tenues que les garçons – à l’exception des cloches, qui étaient encore réservées à ces derniers. La question du genre est un exemple parmi tant d’autres de toutes les questions liées à l’identité. Ces questions nous touchent finalement toutes et tous, que l’on soit de ceux que l’évolution des traditions agace ou effraie…