Révision de la loi sur la protection des données: pour une réglementation adéquate sans durcissements inutiles
Cette semaine, la Chambre des cantons, second conseil, traite de la révision du droit sur la protection des données. L'économie a besoin d'une loi qui soit administrativement acceptable et bien coordonnée avec la pratique internationale. Face à l'examen d’adéquation auquel l’UE procède en ce moment, l'accélération du débat sur ce dossier mérite d’être saluée. Encore faut-il que le Conseil des Etats ne vienne pas compromettre l’excellent travail préparatoire du Conseil national.
Réviser un projet aussi complexe que la loi sur la protection des données n’est pas facile. D'un côté la Suisse doit accompagner l'évolution en cours dans l'UE et trouver des solutions intelligentes qui tiennent compte de nos particularités sans imposer de contraintes inutiles à notre économie. De l’autre, l'UE examine la législation helvétique en matière de protection des données afin de s'assurer de sa bonne «adéquation». Cela soumet les débats à des contraintes de temps. Dans ces circonstances, le Conseil des Etats ne devrait pas aller à l’encontre de la bonne approche suivie par le Conseil national. Certains points importants appellent toutefois des correctifs.
UNE LOI A LA FOIS ADMINISTRATIVEMENT SUPPORTABLE ET ÉQUIVALENTE, SANS SWISS FINISH
Dans le cadre des développements internationaux, il est essentiel pour l’économie de disposer d’une loi administrativement supportable. Le Conseil des Etats ne devrait introduire aucune disposition qui ne soit pas indispensable sous l’angle de l’adéquation et qui n’apporte pas de «valeur ajoutée» pour les personnes concernées. Il devrait également s'abstenir de tout zèle normatif par rapport à l'UE (un Swiss finish). A cet égard, le Conseil national a fait un très bon travail préparatoire.
INUTILE DURCISSEMENT AU CONSEIL DES ETATS
Mais voici que la commission ad hoc du Conseil des Etats vient compliquer le projet, inutilement et sans raison apparente, par des ajouts que le plénum devrait s’employer à corriger.
Les points critiques concernent surtout le profilage. La Commission des Etats introduit une nouvelle distinction entre «profilage» et «profilage à risque élevé». Or, le Règlement général sur la protection des données (RGPD) de l’UE ne connaît pas cette distinction, ce qui en ferait une particularité suisse. Il y aurait également «profilage à risque élevé» en cas «d’appariement [et traitement] systématique de données» si un «couplage ou un traitement systématique de diverses données à caractère personnel » est effectué. Mais dans la pratique, ces éléments constituent typiquement du profilage, raison pour laquelle une situation de «profilage à risque élevé» existerait toujours. Les entreprises de notre pays subiraient de ce fait des désavantages considérables en comparaison internationale.
Une autre nouveauté proposée par une majorité de la Commission du Conseil des Etats est que toute divulgation de données personnelles à des tiers constitue une atteinte à la personnalité et requiert toujours, de ce fait, le consentement explicite de la personne concernée. La Commission des Etats a repris ce concept du RGPD, mais avec une application complètement différente qui soulèverait des problèmes systémiques fondamentaux en droit suisse de la protection des données, et qu’il convient dès lors de refuser.
La Commission des Etats a également pris des décisions discutables sur d'autres points. Par exemple, elle étouffe toute incitation pour les entreprises à nommer un conseiller interne en protection des données. Elle exige une extension inutile des obligations d'information (entre autres, dans le cas d'une intention de traiter des données personnelles en vue d’évaluer la solvabilité de la personne concernée) et maintient une formulation trop vague pour les flux de données de l’étranger. Le droit d'information concernant les décisions en matière d’examen de solvabilité a également été étendu. Or rien de tout cela n'est nécessaire pour obtenir une décision d’équivalence de la part de l'UE.
UN DÉVELOPPEMENT POSITIF: LE MESSAGE DE RATIFICATION DE LA CONVENTION DU PARLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES
Sous l’angle d'un rapprochement avec les développements internationaux et d'une affirmation claire en faveur d'une réglementation suisse appropriée en matière de protection des données, economiesuisse se félicite de l'adoption par le Conseil fédéral, le 6 décembre 2019, du message pour la ratification de la convention STE 108. Ce pas permet aussi à la Suisse d'être considérée par l’UE comme un État-tiers étant réglementée de manière adéquate.
