Révision de la loi sur la protection des données: autant que nécessaire, aussi peu que possible
Les entreprises ont besoin d’une protection des données moderne et ciblée au vu de l’importance croissante des données en tant que bien économique. Une nouvelle loi sur la protection des données doit laisser de la place à l’innovation et au développement économique et renforcer la confiance entre les clients et les prestataires. Parallèlement, il faut garantir l’équivalence avec des prescriptions internationales afin que l’échange transfrontalier de données ne soit pas entravé inutilement. Globalement, l’avant-projet de révision de la loi sur la protection des données (LPD) comporte de nombreuses dispositions qui vont au-delà de l’objectif et freinent tant l’innovation que la concurrence.
Les entreprises ont besoin d’une protection des données moderne et ciblée. Celle-ci comporte plusieurs objectifs: d’une part, elle doit laisser de la place à l’innovation et, d’autre part, elle doit renforcer la confiance entre les clients et les prestataires. L’équivalence avec les normes internationales est décisive pour que l’échange transfrontalier de données ne soit pas entravé inutilement.
Le projet va au-delà de l’objectif
Le projet du Conseil fédéral s’inspire dans une trop large mesure des révisions en cours au niveau européen et va nettement plus loin que les exigences internationales sur plusieurs points: des définitions peu claires et des domaines d’application incertains aboutissent à des obligations excessives et impraticables pour les acteurs qui traitent des données. De plus, le projet ne mise pas suffisamment sur l’autorégulation pragmatique et flexible et donne des compétences trop étendues au Préposé fédéral à la protection des données et à la transparence (PFPDT). Enfin, le système de sanction proposé, qui prévoit des poursuites pénales de collaborateurs, est disproportionné, inefficace et en contradiction avec plusieurs principes de droit pénal.
Préoccupations principales des milieux économiques
Des adaptations sont nécessaires sur les points suivants:
- Un profilage doit être possible avec l’accord des personnes concernées. Il importe, par ailleurs, de restreindre la définition du terme.
- Le système éprouvé de l’autorégulation par des associations (de branche) doit être encouragé. De même, les entreprises doivent pouvoir continuer d’instituer un préposé à la protection des données sur une base volontaire, ce qui leur vaut des allègements.
- Il convient de réduire substantiellement les nombreuses obligations d’informer et de déclarer. Cela concerne en particulier des décisions individuelles automatisées, des analyses d’impact relatives à la protection des données et la notification de violations de la protection des données. Dans ce contexte, il faut contrer le risque d’abus du côté du droit d’accès en supprimant la gratuité de certaines prestations et en prenant d’autres mesures incisives.
- Pour finir, il convient de mettre en place un système de sanction compatible avec les principes de l’État de droit et viable, et d’éviter que le PFPDT soit doté de pouvoirs trop étendus. Les milieux économiques ont esquissé un modèle qui pourrait servir de base pour développer une solution différente.
Politique étendue en matière de données
Le domaine de la protection des données est très dynamique. Les exigences évoluent avec le progrès technologique. La discussion sur ce qui fait une bonne protection des données n’en est qu’à ses prémices. L’économie numérique et les nouvelles possibilités qu’elle renferme rendent nécessaire un débat sur les données et leur utilisation. Une politique en matière de données doit veiller à préserver les possibilités de développement des entreprises et la confiance des utilisateurs dans la gestion des données personnelles. Se focaliser sur les seuls risques potentiels serait partial et déplacé.