Protection des données: la Commission souhaite une solution praticable pour le profilage
La Commission des institutions politiques du Conseil national (CIP-N) s’est efforcée d’éliminer les divergences dans la loi sur la protection des données. Un des trois points en suspens a pu être résolu. Une réglementation praticable du profilage est décisive.
L’économie se félicite de la décision de la commission de proposer au plénum de maintenir sa solution initiale en matière de profilage et de rejeter le nouveau concept adopté par le Conseil des États, qui pourrait entraîner une interdiction du profilage. La CIP-N confirme que la nouvelle définition du «haut risque» représenterait un «Swiss finish» avec des conséquences dommageables. La Suisse serait la seule à introduire cette notion. Les règles européennes ne font pas de distinction entre profilage «normal» et profilage «à haut risque». Une telle distinction créerait une insécurité juridique considérable et un désavantage concurrentiel pour la Suisse.
LE CONCEPT DE CONSEIL DES ÉTATS N’APPORTE PAS DE VALEUR AJOUTEE
Selon le message du Conseil fédéral, l’introduction du profilage devait permettre de remplacer le «profil de personnalité» par un concept issu du règlement de l'UE sur la protection des données (RGPD). Les «aspects essentiels de la personnalité» sur lesquels se fonde le profil de personnalité sont un concept flou pour lequel la jurisprudence n’est pas uniforme et pour lequel il n’existe pas d’aide à l’interprétation dans le RGPD. En première lecture, le Conseil national a adapté la définition du profilage aux spécifications européennes, ce qui a conduit à un alignement souhaitable. Le concept de Conseil des États n’apporte pas de valeur ajoutée par rapport à la version du Conseil national.
LA VERSION DU CONSEIL NATIONAL PRESERVE LE NIVEAU DE PROTECTION ACTUEL
La protection accrue du profil de la personnalité était basée sur l’idée d’éviter une asymétrie de l’information dans la législation. En particulier lorsqu’un ensemble de données qui ne sont pas en soi particulièrement sensibles conduit à un profil sensible d’une personne à son insu. La révision de la loi sur la protection des données permettra d’atténuer sensiblement ce problème: l’obligation d’informer est étendue à la collecte de toutes les données à caractère personnel et pas seulement, comme par le passé, aux profils de personnalité particulièrement sensibles. Le niveau de protection actuel est donc clairement maintenu avec la solution du Conseil national.
L'EXTENSION A DIX ANS DE L’UTILISATION DES DONNEES TRAITEES POUR EVALUER LA SOLVABILITE EST BIENVENUE
Il faut également saluer la décision de la commission de maintenir la divergence avec le Conseil des États sur la durée d’utilisation des données traitées pour évaluer la solvabilité d’une personne. Pour des raisons pratiques, il doit rester possible d’utiliser les données traitées pour évaluer la solvabilité d’une personne, même si elles datent de plus de cinq ans. Les actes de défaut de bien se prescrivent après 20 ans, par exemple.
LE MANQUE DE PRECISION DANS LA DEFINITION DES DONNEES GENETIQUES EST REGRETTABLE
Le manque de précision dans la définition des données génétiques soulève des questions d’interprétation. Il aurait été judicieux de clarifier le fait que le besoin de protection des données génétiques ne doit pas être illimité, mais se limiter aux cas où celles-ci sont collectées et traitées pour identifier sans équivoque une personne physique. Enfin, la limitation exigée ici existe déjà pour les données biométriques.
