La loi révisée sur la protection des données entrera en vigueur en septembre 2023
Le Conseil fédéral a fixé l’entrée en vigueur de la loi révisée sur la protection des données au 1er septembre 2023. En même temps, il a adopté mercredi dernier l’ordonnance d’exécution y afférente. Ce texte qui avait suscité de vives critiques de la part des milieux économiques lors de la procédure de consultation a maintenant été remanié sur des points importants, mais pas de manière totalement satisfaisante.
La loi sur la protection des données révisée à l’automne 2020 et son ordonnance d’application sont maintenant sous toit. Un long processus marqué par des délibérations parlementaires intenses et des discussions techniques complexes tire ainsi à sa fin.
Après trois ans de débats, le Parlement a finalement approuvé la nouvelle loi sur la protection des données à l’automne 2022. Au vu des évolutions internationales, il était devenu nécessaire de moderniser cette loi afin de garantir des échanges de données sans entraves avec nos principaux partenaires commerciaux et d’éviter que les entreprises suisses ne soient pénalisées sous l’angle de la concurrence. L’équivalence avait été dès le début l’un des éléments moteurs de la révision de cette loi. L’UE n’a toujours pas confirmé l’équivalence de la nouvelle réglementation suisse, quand bien même le projet est clairement équivalent à la réglementation de l’UE sur le plan technique.
L’ÉCONOMIE DEMANDE DES AMÉLIORATIONS
Alors que l’économie pouvait accepter la loi sur la protection des données adoptée par le Parlement comme un compromis tenant compte des différentes positions et intérêts en Suisse, le premier projet d’ordonnance avait suscité de virulentes critiques. Le projet ne tenait pas du tout compte du débat politique et de la loi sur des points essentiels et ressemblait ainsi à un arsenal législatif déconnecté de la nouvelle loi sur la protection des données. En particulier par rapport à la réglementation de l’UE, de nombreux Swiss Finishes allant trop loin auraient de fait conduit à deux standards pour les entreprises. Lors de la consultation, economiesuisse s’était donc une nouvelle fois prononcée avec insistance en faveur d’un remaniement en profondeur et d’une amélioration du projet.
DES OBLIGATIONS INUTILES SONT MALHEUREUSEMENT MAINTENUES
Des adaptations sur des points cruciaux ont certes été décidées, mais d’autres aspects n’ont malheureusement pas été remis en question. Ainsi, des obligations bureaucratiques inutiles telles que la tenue d’un registre des activités et le règlement de traitement ont été maintenues. Cela ne correspond pas à l’intention du Parlement, qui s’était sciemment prononcé en faveur d’une approche basée sur les risques et contre une obligation de consigner certains éléments. Pour les entreprises, cette obligation sera probablement encore source de défis.
En ce qui concerne les obligations du responsable de la protection des données, le Conseil fédéral a apporté de nombreuses améliorations qu’il convient de saluer. Il est ainsi revenu au texte de loi, qui ne s’adresse qu’au responsable et pas à d’autres personnes. De même, l’article 16 initial (information sur les rectifications, effacements et destructions, ainsi que restrictions du traitement des données personnelles), qui avait déjà été retiré du projet de loi dans le cadre de la consultation, a été supprimé à juste titre de l'ordonnance.
LES ENTREPRISES DOIVENT MAINTENANT SE PRÉPARER
En raison des nombreuses mesures qui doivent être prises par les petites comme par les grandes entreprises, economiesuisse avait demandé qu’un délai suffisant soit accordé entre la publication des textes définitifs et l’entrée en vigueur de la loi. Le Conseil fédéral a donné suite à cette demande et les entreprises ont désormais un an pour mettre en œuvre les nouvelles règles.
Ce temps devrait maintenant être mis à profit, le besoin d’adaptation ne devant pas être sous-estimé.