La coexis­tence de plu­sieurs normes en matière de pro­tec­tion des don­nées pèse sur les entre­prises suisses

Le droit suisse de la pro­tec­tion des don­nées a évo­lué au fil du temps. Aussi long­temps que la pro­tec­tion des don­nées était un thème pure­ment natio­nal, la légis­la­tion pou­vait évo­luer indé­pen­dam­ment de ce qui se pas­sait à l’étran­ger. Ce n’est plus le cas et l’UE a adopté, l’an der­nier, un nou­veau stan­dard auquel des entre­prises suisses de toutes tailles. En atten­dant que la révi­sion de la LDP suisse soit sous toit, les entre­prises suisses font face à une insé­cu­rité juri­dique consi­dé­rable et à d’éven­tuels sur­coûts qui pour­raient être évi­tés. Cette révi­sion a été lan­cée en rai­son des évo­lu­tions tech­no­lo­giques mais aussi de la coor­di­na­tion néces­saire avec les pres­crip­tions inter­na­tio­nales, et plus par­ti­cu­liè­re­ment celles du RGPD euro­péen.

LES DON­NEES SE MOQUENT DES FRON­TIERES NATIO­NALES

En matière de pro­tec­tion des don­nées, la Suisse est confron­tée à une mul­ti­tude de régle­men­ta­tions. Pour l’ins­tant, l’UE consi­dère actuel­le­ment que la régle­men­ta­tion suisse dans ce domaine est adé­quate. Outre le RGPD, l’UE applique la Conven­tion pour la pro­tec­tion des don­nées du Conseil de l’Eu­rope (STE 108), déter­mi­nante pour la déci­sion d’adé­qua­tion. Les entre­prises suisses étant éga­le­ment sou­mises à la LPD actuelle, il y a un champ de ten­sion qui sou­lève de nom­breuses ques­tions: Une entre­prise suisse se trouve-t-elle for­cé­ment dans le champ d’ap­pli­ca­tion du RGPD? Doit-elle tenir compte de la LPD actuelle? Faut-il, par mesure de sécu­rité, tenir compte de la LPD actuelle et de sa révi­sion, alors que la loi en vigueur contient des dis­po­si­tions dépas­sées?

LA LPD REVI­SEE CLA­RI­FIE LA SITUA­TION

La LPD révi­sée tient compte des besoins des entre­prises suisses en matière de sécu­rité juri­dique. Une entre­prise qui se fonde sur celle-ci res­pecte auto­ma­ti­que­ment les dis­po­si­tions per­ti­nentes des autres régle­men­ta­tions. Dès lors, la LPD révi­sée satis­fait de manière adé­quate les exi­gences inter­na­tio­nales et per­met de conser­ver l’at­tes­ta­tion y rela­tive de l’UE. De plus, elle sup­prime des élé­ments désor­mais dépas­sés. La LPD révi­sée n’exige pas la reprise telle quelle des règles de l’UE. Il existe une marge de manœuvre qu’il convient d’uti­li­ser en faveur de la place éco­no­mique. Nous pré­co­ni­sons que la LPD révi­sée n’aille pas au-delà des règles euro­péennes («Swiss finish»). Cela vaut éga­le­ment pour les dis­po­si­tions entraî­nant des charges admi­nis­tra­tives sup­plé­men­taires pour les entre­prises sans être utiles sous l’angle de la pro­tec­tion des don­nées.

IL FAUT FAIRE AVAN­CER LA REVI­SION DE LA LPD

Des niveaux de pro­tec­tion dif­fé­rents par rap­port à l’étran­ger peuvent entraî­ner des désa­van­tages concur­ren­tiels pour les entre­prises de toutes tailles et cau­ser des pro­blèmes au quo­ti­dien (tra­fic de don­nées trans­fron­tière):

• Pas d’es­pace régle­men­taire uni­forme et mise en dan­ger des échanges de don­nées fluides entre la Suisse et l’UE.
• Les entre­prises euro­péennes pour­raient cher­cher à évi­ter les par­te­naires com­mer­ciaux suisses ou impo­ser de nou­velles condi­tions aux rela­tions d’af­faires.
• Les consom­ma­teurs suisses ris­que­raient de se tour­ner vers des pres­ta­taires étran­gers pro­po­sant un niveau de pro­tec­tion des don­nées supé­rieur.
• Des solu­tions contrac­tuelles indi­vi­duelles entre les entre­prises suisses et les par­te­naires com­mer­ciaux au sein de l’UE sont néces­saires.
• Créa­tion d’un nou­vel obs­tacle au com­merce super­flu.

Le pro­jet de révi­sion de la Suisse doit être achevé au plus vite et en tenant compte des besoins des milieux éco­no­miques.