Révision totale de la LPD
« La nouvelle loi entraîne un excès de bureaucratie »
10 octobre 2017 upsa-agvs.ch – Dans le cadre de la révision totale de la loi sur la protection des données (LPD), le Conseil fédéral a adopté, en septembre, le projet de nouvelle loi ainsi que le message y relatif. Pour de nombreuses PME, le projet amène beaucoup de contraintes bureaucratiques. Olivia Solari, juriste auprès de l’UPSA, prend position.
sco. Mme Solari, l’UPSA est-elle satisfaite du projet de loi dans le cadre de la révision totale de la loi sur la protection des données ? Da
ns sa prise de position sur l’avant-projet, l’UPSA avait déjà exprimé clairement son avis qu’une réglementation au-delà du but poursuivi n’était pas indiquée. Le message adopté par le Conseil fédéral prévoit entre autres des obligations d’informer et d’agir pour nos membres qui, de l’avis de l’UPSA, entraînent un excès de bureaucratie pour les entreprises.Pourquoi est-il nécessaire de soumettre la loi sur la protection des données à une révision totale ? Au sein de l’UE, le Conseil de l’Europe révise la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (convention no 108), que la Suisse a ratifiée. Le Conseil fédéral estime qu’une renonciation aurait des conséquences négatives considérables pour la Suisse sur le flux transfrontière de données. En révisant sa loi fédérale sur la protection des données, la Suisse se rapproche des règles de l’UE. Selon le Conseil fédéral, cela permet de garantir que la Commission européenne juge suffisante la protection des données en Suisse, ce qui est nécessaire pour permettre la poursuite du libre échange des données entre les entreprises suisses et les membres de l’UE.
Le présent projet évoque un code de conduite spécifique à la branche, permettant d’élaborer des règles adaptées pour l’ensemble d’une branche. Cela pourrait simplifier considérablement les choses pour toute entreprise commerciale. L’UPSA rédigera-t-elle un tel code pour ses membres ? Pour cet important projet d’envergure, l’UPSA collabore avec l’Association Suisse des Sociétés de Leasing (ASSL) et auto-suisse. Des initiatives communes existent déjà et d’autres sont envisagées, en vue d’élaborer ensemble un tel code. Nous tiendrons nos membres informés en continu à ce sujet.
Concrètement, qu’est-ce qui change avec la nouvelle loi ? De quoi le garagiste doit-il tenir compte dans son travail quotidien ? Le Conseil fédéral prévoit l’entrée en vigueur de la loi révisée sur la protection des données pour le milieu de l’année 2018. Cela signifie que nos membres devront déjà bientôt se poser les questions suivantes lorsqu’ils traitent des données : « Ai-je le droit d’utiliser ces données et de les transmettre à un tiers, et est-ce que je sais ce que celui-ci en fera ? » Il deviendra impératif d’informer correctement tout client qui souhaite acheter une voiture, demander un service ou faire changer les pneus de sa voiture, sur l’utilisation de ses données et surtout que celui-ci autorise leur utilisation et leur transmission. Cette autorisation devra obligatoirement être donnée par écrit, ce qui nécessitera une adaptation majeure chez nos membres comme chez nos clients. Nos membres devront en outre tenir compte des exigences de la protection des données et ce, déjà dès le stade de la planification d’un projet. De même, ils devront évaluer l’impact de la protection des données et signaler toute violation de la protection des données ou perte de données au préposé fédéral à la protection des données et à la transparence (PFPDT).
Le projet indique des amendes d’un montant maximum de CHF 250 000 en cas de violation de la LPD. Le garagiste doit-il se préparer à être impliqué dans des litiges compromettant son existence ? Si le projet renonce certes à l’introduction de sanctions administratives, il prévoit en revanche d’étendre et de renforcer massivement la responsabilité pénale des personnes physiques chargées de traiter les données en question. Le renforcement des sanctions demandé par le Conseil fédéral, telles que des amendes jusqu’à CHF 250 000 en cas de violation intentionnelle, voire des peines privatives de liberté jusqu’à trois ans en cas de récidive peuvent donc effectivement menacer l’existence des garagistes en tant que personnes physiques. Désormais, les sanctions visent en premier lieu la personne physique chargée du traitement des données et non plus l’entreprise au profit de laquelle a lieu le traitement des données. Ainsi, lorsqu’un membre est une personne morale, par exemple une SA ou une Sàrl, l’infraction est imputée aux représentants de ses organes directeurs.
Tout cela est extrêmement compliqué. À commencer par la première analyse réalisée par l’UPSA en collaboration avec l’ASSL, difficilement compréhensible pour tout non-juriste. Alors, comment le garagiste est-il censé s’y retrouver dans cette jungle juridique ? Il s’agit effectivement d’un sujet très complexe et le jargon juridique ne simplifie pas les choses. (Elle rit.) Mais cela n’empêchera pas cette nouvelle loi d’entrer en vigueur, c’est pourquoi nous avons tout intérêt à nous y pencher le plus tôt possible. Je conseille à nos membres de bien étudier les six pages de notre analyse ; en cas de question, le service juridique de l’UPSA se tient volontiers à leur disposition pour y répondre. En outre, je recommande à nos membres d’examiner dès maintenant la question, entre autres, de savoir si leurs processus internes incluent bien toutes les autorisations requises. Un travail de sensibilisation doit désormais avoir lieu par étapes, au cours duquel l’UPSA soutiendra ses membres en continu.
Cette prise de position montre clairement que le développement de la protection des données sous cette forme est, d’une part, superflue. D’autre part, les entreprises seraient soumises à de nouvelles obligations qui entraîneraient pour elles une charge administrative disproportionnée et seraient, pour certaines, impossibles à mettre en œuvre et, de plus, assorties de menaces de sanctions draconiennes.
Le 15 septembre 2017, le Conseil fédéral a adopté le projet (P-LPD) ainsi que le message relatif à la révision totale de la loi fédérale sur la protection des données. La première analyse du projet de loi ainsi que du message présente les modifications à l’avant-projet selon les points prioritaires que nous avons définis. Nous analyserons encore plus précisément le besoin de modification détaillé et complémentaire.
1. Pas de protection des données des personnes morales
Le projet de la nouvelle loi sur la protection des données renonce à protéger les données des personnes morales. L’UPSA juge utile cette renonciation qui figurait déjà dans l’avant-projet, étant donné qu’une telle protection revêt aujourd’hui déjà peu d’importance et empêche souvent la transmission de données à l’étranger.
2. Profilage
Le terme proposé de « profilage » vise à analyser certaines caractéristiques d’une personne sur la base de données personnelles traitées de façon automatisée, en particulier dans un but d’analyse ou d’anticipation de la prestation de travail, des conditions économiques, de la santé, du comportement, des préférences, du lieu de séjour ou de la mobilité.
Selon le message, cela inclut toute analyse de données personnelles réalisée à l’aide de techniques d’analyse informatiques.
Le projet tient compte de la limitation des activités électroniques demandée par l’UPSA et de nombreux autres participants à la consultation. Cependant, la notion a été très fortement élargie par rapport à l’avant-projet, de manière à inclure non seulement l’analyse de caractéristiques personnelles essentielles, mais aussi, de façon plus générale, celle de caractéristiques spécifiques à une personne.
3. Option d’un code de conduite spécifique à la branche
Les associations professionnelles et économiques doivent avoir la possibilité de présenter au préposé fédéral à la protection des données un code de conduite élaboré par leurs soins. Le préposé à la protection des données prend position sur ce code et publie sa prise de position. C’est une nouveauté par rapport à l’avant-projet.
La possibilité d’élaborer un code de ce type offre une chance considérable aux membres de l’UPSA ainsi qu’à l’ASSL d’édicter des règles adaptées à la branche. Bien qu’une prise de position favorable du préposé à la protection des données ne confère aucun droit, on peut néanmoins généralement partir du principe qu’un comportement conforme au code de conduite ne donnera pas lieu à des mesures administratives. C’est en tout l’avis qu’exprime le Conseil fédéral dans son message. L’observation d’un code de conduite apporterait en outre des allègements concernant l’analyse d’impact relative à la protection des données personnelles (voir ci-dessous).
4. Conseiller volontaire à la protection des données
La présence d’un conseiller (interne) à la protection des données est déjà prévue dans la LPD actuelle. Il s’agit d’une personne nommée par le responsable, chargée au premier chef de surveiller la bonne application des prescriptions sur la protection des données et de conseiller les responsables concernés par les questions relatives à cette protection. Le projet ne prévoit pas d’obligation de désigner un tel conseiller, mais permet aux responsables, en désignant et en consultant un conseiller à la protection des données sur les questions d’évaluation des conséquences des mesures de protection des données, de renoncer à consulter le préposé fédéral à la protection des données.
5. Maintien de la nette extension du devoir d’informer
Le projet prévoit toujours une nette extension du devoir d’informer par rapport au droit en vigueur et ce, en principe pour toute collecte de données. Cela signifie que la personne concernée doit en principe systématiquement être informée lorsque des données la concernant sont collectées. Cette règle s’applique expressément aussi lorsque les données ne sont pas collectées auprès de la personne concernée elle-même. Le projet prévoit que toute violation intentionnelle du devoir d’informer entraîne des sanctions pénales (voir ci-dessous).
L’obligation de transparence en fonction du risque, requise par l’UPSA, n’a pas été introduite dans le projet. Le message précise toutefois, concernant le devoir d’informer, qu’une information d’ordre général devrait suffire si les données personnelles ont été collectées auprès de la personne concernée elle-même. À titre d’exemples sont mentionnés la déclaration de protection des données sur un site Internet de même que des symboles et pictogrammes, dans la mesure où ils fournissent les informations nécessaires.
Néanmoins, le projet comprend une disposition qui ne figure pas dans l’avant-projet, selon laquelle le responsable peut renoncer à l’information si des intérêts personnels prépondérants l’exigent et s’il ne communique pas les données personnelles à des tiers. Selon le message, un tel intérêt prépondérant ne saurait cependant être admis facilement. L’intérêt de la personne concernée à être informée d’un certain traitement de ses données, afin qu’elle puisse exercer ses droits, doit être examiné avec soin au regard des éventuels intérêts du responsable.
6. Décision individuelle automatisée : maintien des devoirs d’informer et de consulter
6.1 Définition
Le projet prévoit, en cas de décision individuelle automatisée, de maintenir l’obligation d’informer et d’entendre la personne concernée. Une décision individuelle automatisée est (i) une appréciation et une décision sur le fond de certains faits, sans l’intervention d’une personne physique ([ii] y compris le profilage), (iii) qui entraîne des effets juridiques pour la personne concernée ou qui l’affecte de manière significative.
(i) Il est également déterminant, selon le message, de savoir dans quelle mesure une personne physique est autorisée à effectuer un contrôle sur le fond et à prendre, sur cette base, une décision finale qui diverge éventuellement du résultat automatisé. Ainsi, on peut être en présence d’une décision individuelle automatisée même si, après avoir été prise, la décision est communiquée par une personne physique qui ne peut plus influer sur la décision prise automatiquement. Le message indique qu’on est en présence d’une décision individuelle automatisée seulement lorsque cette décision présente une certaine complexité. Les décisions prises systématiquement dans une certaine situation ne sont pas concernées. Est cité en exemple d’une telle décision systématique un retrait au distributeur de billets qui délivre l’argent à condition que le solde du compte soit suffisant. Étant donné que toute décision automatique repose en réalité sur une (et souvent plusieurs) décision prise systématiquement dans une certaine situation, le champ d’application de cette règle reste relativement peu clair. Toutefois, le message mentionne le contrôle de solvabilité comme cas d’application possible de décisions individuelles automatisées.
(ii) Le profilage est également concerné dans le cas où sa décision entraînerait des effets juridiques pour la personne concernée ou lui porterait fortement atteinte. Le message cite en exemple le cas où la personne concernée ne peut pas conclure de contrat de crédit uniquement du fait qu’elle présente un bilan de crédit négatif.
(iii) Par ailleurs, les termes « effets juridiques » et « affecte de manière significative » sont porteurs d’insécurité juridique. Selon le message, la décision est liée à des effets juridiques dès lors qu’elle exerce des conséquences directes, juridiquement prévisibles, pour la personne concernée. Ceci est le cas dans le domaine du droit privé, notamment lors de la conclusion ou de la résiliation d’un contrat, mais pas en cas de renonciation à conclure un contrat. La personne concernée est ainsi affectée de manière significative lorsqu’elle est durablement entravée, par ex. sur le plan économique ou personnel. Les circonstances concrètes du cas particulier sont déterminantes. Ainsi, la personne concernée peut aussi être affectée de manière significative par la non-conclusion d’un contrat, selon les effets concrets qui en résultent.
6.2 Devoir d’informer et d’entendre
La personne concernée doit, sur demande, avoir la possibilité d’exposer son point de vue. Elle peut exiger que la décision prise de façon automatique soit contrôlée par une personne physique. L’audition peut avoir lieu avant ou après la décision.
6.3 Exceptions
Le devoir d’informer et d’entendre ne s’applique pas lorsque (i) la décision se trouve en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable et la personne concernée, et que la demande de cette dernière est satisfaite ou lorsque (ii) la personne concernée a expressément accepté que la prise de décision soit automatisée.
i. Selon les termes du message, une demande de la personne concernée est satisfaite lorsque le contrat est conclu exactement aux conditions qui figurent sur le devis, par exemple, ou que la personne concernée avait demandées. Ainsi, sa demande est satisfaite, par exemple, lorsqu’un contrat de leasing est conclu au taux d’intérêt indiqué dans l’offre. Il en va autrement lorsqu’un contrat de leasing a été conclu, mais que le taux d’intérêt indiqué dans l’offre a été revu à la baisse en raison d’une mauvaise notation de crédit de la personne concernée. Ce qui est déterminant dans ce cas est de savoir si la demande de la personne concernée a été satisfaite dans son ensemble. Il n’est pas suffisant que sa demande ait été satisfaite pour certains éléments seulement.
ii. Le devoir d’informer et d’entendre la personne concernée ne s’applique pas non plus lorsque celle-ci a expressément consenti à ce que la décision soit prise de façon automatisée. Le message précise que cette exception est logique étant donné que la personne concernée doit avoir été informée avant de donner son consentement juridiquement valable. Est en particulier à noter la suppression de la disposition de l’avant-projet selon laquelle le devoir d’informer et d’entendre la personne concernée ne s’applique pas lorsqu’une loi prévoit une décision individuelle automatisée.
6.4 Devoir de fournir des renseignements
La réglementation du devoir de fournir des renseignements a été modifiée. Le projet prévoit désormais que, le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle elle se fonde doivent être communiquées. Le message précise qu’il n’est pas nécessaire de révéler les algorithmes à la base de la décision, qui relèvent souvent du secret d’affaires, mais plutôt les hypothèses de base qui sous-tendent la logique algorithmique sur laquelle repose la décision individuelle automatisée. Cela signifie, par exemple, que la personne concernée doit être informée du fait que, en raison du résultat négatif de son bilan de crédit, les conditions qui lui sont proposées pour conclure un contrat sont moins favorables qu’annoncé initialement. La quantité et la nature des données à la base de cet examen de même que leur pondération respective doivent en outre être précisées. Cette règle n’empêche ainsi toujours pas d’empiéter sur des secrets d’affaires pertinents.
7. Analyse d’impact relative à la protection des données personnelles
En introduisant cette obligation légale, le projet prévoit une protection des données dès la phase de planification d’un traitement. La personne responsable établit au préalable une analyse de ce type si le traitement des données présente vraisemblablement un risque important pour la personnalité ou les droits fondamentaux de la personne concernée. Si, au cours d’une analyse, un risque de ce type devait se confirmer en l’absence de mesure, il convient de faire appel au préposé fédéral à la protection des données.
Il est possible d’éviter de devoir consulter le préposé fédéral en désignant un préposé (interne) à la protection des données. Les entreprises d’une certaine taille, en particulier, devront évaluer si la désignation d’un préposé à la protection des données entre en ligne de compte.
L’obligation de réaliser une analyse d’impact relative à la protection des données personnelles ne s’applique pas aux entreprises qui se sont soumises à une procédure de certification ou qui appliquent d’ores et déjà un code de conduite. La possibilité d’établir un code de conduite applicable à toute la branche représente également une chance considérable en ce qui concerne l’analyse d’impact relative à la protection des données personnelles.
8. Sanctions
Le projet s’en tient au système des sanctions pénales, fortement critiqué. Le montant maximal des amendes infligées aux personnes physiques a baissé de CHF 500 000 à CHF 250 000, et un manquement par négligence n’est plus punissable.
Selon le message, l’inquiétude exprimée lors de la consultation que n’importe quel employé d’une entreprise s’exposerait ainsi à des sanctions pénales n’est pas fondée. En Suisse, le respect des obligations administratives est assuré par l’application du droit pénal administratif, dont les destinataires sont les personnes physiques. Le droit pénal administratif repose sur le principe selon lequel l’obligation administrative incombe à l’entreprise et que sa violation est imputée aux personnes (physiques) responsables.
Calendrier
Le projet est désormais soumis au Parlement. Le Conseil national se consacrera à la LPD en sa qualité de premier conseil. L’examen préalable aura lieu au sein de la Commission des institutions politiques, les dates fixées étant les 26 et 27 octobre ainsi que les 9 et 10 novembre 2017. Une mise en œuvre au 1er août 2018 serait nécessaire pour respecter les obligations selon Schengen. Le Conseil fédéral poursuit cet objectif, qui pourrait être atteint à condition que le traitement du projet par le Parlement se fasse au plus vite et sans difficulté, ce qui reste cependant très improbable.
Concrètement, qu’est-ce qui change avec la nouvelle loi ? De quoi le garagiste doit-il tenir compte dans son travail quotidien ? Le Conseil fédéral prévoit l’entrée en vigueur de la loi révisée sur la protection des données pour le milieu de l’année 2018. Cela signifie que nos membres devront déjà bientôt se poser les questions suivantes lorsqu’ils traitent des données : « Ai-je le droit d’utiliser ces données et de les transmettre à un tiers, et est-ce que je sais ce que celui-ci en fera ? » Il deviendra impératif d’informer correctement tout client qui souhaite acheter une voiture, demander un service ou faire changer les pneus de sa voiture, sur l’utilisation de ses données et surtout que celui-ci autorise leur utilisation et leur transmission. Cette autorisation devra obligatoirement être donnée par écrit, ce qui nécessitera une adaptation majeure chez nos membres comme chez nos clients. Nos membres devront en outre tenir compte des exigences de la protection des données et ce, déjà dès le stade de la planification d’un projet. De même, ils devront évaluer l’impact de la protection des données et signaler toute violation de la protection des données ou perte de données au préposé fédéral à la protection des données et à la transparence (PFPDT).
Le projet indique des amendes d’un montant maximum de CHF 250 000 en cas de violation de la LPD. Le garagiste doit-il se préparer à être impliqué dans des litiges compromettant son existence ? Si le projet renonce certes à l’introduction de sanctions administratives, il prévoit en revanche d’étendre et de renforcer massivement la responsabilité pénale des personnes physiques chargées de traiter les données en question. Le renforcement des sanctions demandé par le Conseil fédéral, telles que des amendes jusqu’à CHF 250 000 en cas de violation intentionnelle, voire des peines privatives de liberté jusqu’à trois ans en cas de récidive peuvent donc effectivement menacer l’existence des garagistes en tant que personnes physiques. Désormais, les sanctions visent en premier lieu la personne physique chargée du traitement des données et non plus l’entreprise au profit de laquelle a lieu le traitement des données. Ainsi, lorsqu’un membre est une personne morale, par exemple une SA ou une Sàrl, l’infraction est imputée aux représentants de ses organes directeurs.
Tout cela est extrêmement compliqué. À commencer par la première analyse réalisée par l’UPSA en collaboration avec l’ASSL, difficilement compréhensible pour tout non-juriste. Alors, comment le garagiste est-il censé s’y retrouver dans cette jungle juridique ? Il s’agit effectivement d’un sujet très complexe et le jargon juridique ne simplifie pas les choses. (Elle rit.) Mais cela n’empêchera pas cette nouvelle loi d’entrer en vigueur, c’est pourquoi nous avons tout intérêt à nous y pencher le plus tôt possible. Je conseille à nos membres de bien étudier les six pages de notre analyse ; en cas de question, le service juridique de l’UPSA se tient volontiers à leur disposition pour y répondre. En outre, je recommande à nos membres d’examiner dès maintenant la question, entre autres, de savoir si leurs processus internes incluent bien toutes les autorisations requises. Un travail de sensibilisation doit désormais avoir lieu par étapes, au cours duquel l’UPSA soutiendra ses membres en continu.
Révision de la loi fédérale sur la protection des données (LPD) : première analyse du projet et du message
Après l’envoi en consultation par le Conseil fédéral, le 21 décembre 2016, d’un avant-projet de révision complète de la loi sur la protection des données (AP-LPD), l’UPSA a, en collaboration avec l’Association Suisse des Sociétés de Leasing (ASSL) et avec le soutien d’auto-suisse, défini les priorités au sein de ce projet, entrepris une analyse détaillée de l’avant-projet et élaboré une prise de position pour les deux associations.Cette prise de position montre clairement que le développement de la protection des données sous cette forme est, d’une part, superflue. D’autre part, les entreprises seraient soumises à de nouvelles obligations qui entraîneraient pour elles une charge administrative disproportionnée et seraient, pour certaines, impossibles à mettre en œuvre et, de plus, assorties de menaces de sanctions draconiennes.
Le 15 septembre 2017, le Conseil fédéral a adopté le projet (P-LPD) ainsi que le message relatif à la révision totale de la loi fédérale sur la protection des données. La première analyse du projet de loi ainsi que du message présente les modifications à l’avant-projet selon les points prioritaires que nous avons définis. Nous analyserons encore plus précisément le besoin de modification détaillé et complémentaire.
1. Pas de protection des données des personnes morales
Le projet de la nouvelle loi sur la protection des données renonce à protéger les données des personnes morales. L’UPSA juge utile cette renonciation qui figurait déjà dans l’avant-projet, étant donné qu’une telle protection revêt aujourd’hui déjà peu d’importance et empêche souvent la transmission de données à l’étranger.
2. Profilage
Le terme proposé de « profilage » vise à analyser certaines caractéristiques d’une personne sur la base de données personnelles traitées de façon automatisée, en particulier dans un but d’analyse ou d’anticipation de la prestation de travail, des conditions économiques, de la santé, du comportement, des préférences, du lieu de séjour ou de la mobilité.
Selon le message, cela inclut toute analyse de données personnelles réalisée à l’aide de techniques d’analyse informatiques.
Le projet tient compte de la limitation des activités électroniques demandée par l’UPSA et de nombreux autres participants à la consultation. Cependant, la notion a été très fortement élargie par rapport à l’avant-projet, de manière à inclure non seulement l’analyse de caractéristiques personnelles essentielles, mais aussi, de façon plus générale, celle de caractéristiques spécifiques à une personne.
3. Option d’un code de conduite spécifique à la branche
Les associations professionnelles et économiques doivent avoir la possibilité de présenter au préposé fédéral à la protection des données un code de conduite élaboré par leurs soins. Le préposé à la protection des données prend position sur ce code et publie sa prise de position. C’est une nouveauté par rapport à l’avant-projet.
La possibilité d’élaborer un code de ce type offre une chance considérable aux membres de l’UPSA ainsi qu’à l’ASSL d’édicter des règles adaptées à la branche. Bien qu’une prise de position favorable du préposé à la protection des données ne confère aucun droit, on peut néanmoins généralement partir du principe qu’un comportement conforme au code de conduite ne donnera pas lieu à des mesures administratives. C’est en tout l’avis qu’exprime le Conseil fédéral dans son message. L’observation d’un code de conduite apporterait en outre des allègements concernant l’analyse d’impact relative à la protection des données personnelles (voir ci-dessous).
4. Conseiller volontaire à la protection des données
La présence d’un conseiller (interne) à la protection des données est déjà prévue dans la LPD actuelle. Il s’agit d’une personne nommée par le responsable, chargée au premier chef de surveiller la bonne application des prescriptions sur la protection des données et de conseiller les responsables concernés par les questions relatives à cette protection. Le projet ne prévoit pas d’obligation de désigner un tel conseiller, mais permet aux responsables, en désignant et en consultant un conseiller à la protection des données sur les questions d’évaluation des conséquences des mesures de protection des données, de renoncer à consulter le préposé fédéral à la protection des données.
5. Maintien de la nette extension du devoir d’informer
Le projet prévoit toujours une nette extension du devoir d’informer par rapport au droit en vigueur et ce, en principe pour toute collecte de données. Cela signifie que la personne concernée doit en principe systématiquement être informée lorsque des données la concernant sont collectées. Cette règle s’applique expressément aussi lorsque les données ne sont pas collectées auprès de la personne concernée elle-même. Le projet prévoit que toute violation intentionnelle du devoir d’informer entraîne des sanctions pénales (voir ci-dessous).
L’obligation de transparence en fonction du risque, requise par l’UPSA, n’a pas été introduite dans le projet. Le message précise toutefois, concernant le devoir d’informer, qu’une information d’ordre général devrait suffire si les données personnelles ont été collectées auprès de la personne concernée elle-même. À titre d’exemples sont mentionnés la déclaration de protection des données sur un site Internet de même que des symboles et pictogrammes, dans la mesure où ils fournissent les informations nécessaires.
Néanmoins, le projet comprend une disposition qui ne figure pas dans l’avant-projet, selon laquelle le responsable peut renoncer à l’information si des intérêts personnels prépondérants l’exigent et s’il ne communique pas les données personnelles à des tiers. Selon le message, un tel intérêt prépondérant ne saurait cependant être admis facilement. L’intérêt de la personne concernée à être informée d’un certain traitement de ses données, afin qu’elle puisse exercer ses droits, doit être examiné avec soin au regard des éventuels intérêts du responsable.
6. Décision individuelle automatisée : maintien des devoirs d’informer et de consulter
6.1 Définition
Le projet prévoit, en cas de décision individuelle automatisée, de maintenir l’obligation d’informer et d’entendre la personne concernée. Une décision individuelle automatisée est (i) une appréciation et une décision sur le fond de certains faits, sans l’intervention d’une personne physique ([ii] y compris le profilage), (iii) qui entraîne des effets juridiques pour la personne concernée ou qui l’affecte de manière significative.
(i) Il est également déterminant, selon le message, de savoir dans quelle mesure une personne physique est autorisée à effectuer un contrôle sur le fond et à prendre, sur cette base, une décision finale qui diverge éventuellement du résultat automatisé. Ainsi, on peut être en présence d’une décision individuelle automatisée même si, après avoir été prise, la décision est communiquée par une personne physique qui ne peut plus influer sur la décision prise automatiquement. Le message indique qu’on est en présence d’une décision individuelle automatisée seulement lorsque cette décision présente une certaine complexité. Les décisions prises systématiquement dans une certaine situation ne sont pas concernées. Est cité en exemple d’une telle décision systématique un retrait au distributeur de billets qui délivre l’argent à condition que le solde du compte soit suffisant. Étant donné que toute décision automatique repose en réalité sur une (et souvent plusieurs) décision prise systématiquement dans une certaine situation, le champ d’application de cette règle reste relativement peu clair. Toutefois, le message mentionne le contrôle de solvabilité comme cas d’application possible de décisions individuelles automatisées.
(ii) Le profilage est également concerné dans le cas où sa décision entraînerait des effets juridiques pour la personne concernée ou lui porterait fortement atteinte. Le message cite en exemple le cas où la personne concernée ne peut pas conclure de contrat de crédit uniquement du fait qu’elle présente un bilan de crédit négatif.
(iii) Par ailleurs, les termes « effets juridiques » et « affecte de manière significative » sont porteurs d’insécurité juridique. Selon le message, la décision est liée à des effets juridiques dès lors qu’elle exerce des conséquences directes, juridiquement prévisibles, pour la personne concernée. Ceci est le cas dans le domaine du droit privé, notamment lors de la conclusion ou de la résiliation d’un contrat, mais pas en cas de renonciation à conclure un contrat. La personne concernée est ainsi affectée de manière significative lorsqu’elle est durablement entravée, par ex. sur le plan économique ou personnel. Les circonstances concrètes du cas particulier sont déterminantes. Ainsi, la personne concernée peut aussi être affectée de manière significative par la non-conclusion d’un contrat, selon les effets concrets qui en résultent.
6.2 Devoir d’informer et d’entendre
La personne concernée doit, sur demande, avoir la possibilité d’exposer son point de vue. Elle peut exiger que la décision prise de façon automatique soit contrôlée par une personne physique. L’audition peut avoir lieu avant ou après la décision.
6.3 Exceptions
Le devoir d’informer et d’entendre ne s’applique pas lorsque (i) la décision se trouve en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable et la personne concernée, et que la demande de cette dernière est satisfaite ou lorsque (ii) la personne concernée a expressément accepté que la prise de décision soit automatisée.
i. Selon les termes du message, une demande de la personne concernée est satisfaite lorsque le contrat est conclu exactement aux conditions qui figurent sur le devis, par exemple, ou que la personne concernée avait demandées. Ainsi, sa demande est satisfaite, par exemple, lorsqu’un contrat de leasing est conclu au taux d’intérêt indiqué dans l’offre. Il en va autrement lorsqu’un contrat de leasing a été conclu, mais que le taux d’intérêt indiqué dans l’offre a été revu à la baisse en raison d’une mauvaise notation de crédit de la personne concernée. Ce qui est déterminant dans ce cas est de savoir si la demande de la personne concernée a été satisfaite dans son ensemble. Il n’est pas suffisant que sa demande ait été satisfaite pour certains éléments seulement.
ii. Le devoir d’informer et d’entendre la personne concernée ne s’applique pas non plus lorsque celle-ci a expressément consenti à ce que la décision soit prise de façon automatisée. Le message précise que cette exception est logique étant donné que la personne concernée doit avoir été informée avant de donner son consentement juridiquement valable. Est en particulier à noter la suppression de la disposition de l’avant-projet selon laquelle le devoir d’informer et d’entendre la personne concernée ne s’applique pas lorsqu’une loi prévoit une décision individuelle automatisée.
6.4 Devoir de fournir des renseignements
La réglementation du devoir de fournir des renseignements a été modifiée. Le projet prévoit désormais que, le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle elle se fonde doivent être communiquées. Le message précise qu’il n’est pas nécessaire de révéler les algorithmes à la base de la décision, qui relèvent souvent du secret d’affaires, mais plutôt les hypothèses de base qui sous-tendent la logique algorithmique sur laquelle repose la décision individuelle automatisée. Cela signifie, par exemple, que la personne concernée doit être informée du fait que, en raison du résultat négatif de son bilan de crédit, les conditions qui lui sont proposées pour conclure un contrat sont moins favorables qu’annoncé initialement. La quantité et la nature des données à la base de cet examen de même que leur pondération respective doivent en outre être précisées. Cette règle n’empêche ainsi toujours pas d’empiéter sur des secrets d’affaires pertinents.
7. Analyse d’impact relative à la protection des données personnelles
En introduisant cette obligation légale, le projet prévoit une protection des données dès la phase de planification d’un traitement. La personne responsable établit au préalable une analyse de ce type si le traitement des données présente vraisemblablement un risque important pour la personnalité ou les droits fondamentaux de la personne concernée. Si, au cours d’une analyse, un risque de ce type devait se confirmer en l’absence de mesure, il convient de faire appel au préposé fédéral à la protection des données.
Il est possible d’éviter de devoir consulter le préposé fédéral en désignant un préposé (interne) à la protection des données. Les entreprises d’une certaine taille, en particulier, devront évaluer si la désignation d’un préposé à la protection des données entre en ligne de compte.
L’obligation de réaliser une analyse d’impact relative à la protection des données personnelles ne s’applique pas aux entreprises qui se sont soumises à une procédure de certification ou qui appliquent d’ores et déjà un code de conduite. La possibilité d’établir un code de conduite applicable à toute la branche représente également une chance considérable en ce qui concerne l’analyse d’impact relative à la protection des données personnelles.
8. Sanctions
Le projet s’en tient au système des sanctions pénales, fortement critiqué. Le montant maximal des amendes infligées aux personnes physiques a baissé de CHF 500 000 à CHF 250 000, et un manquement par négligence n’est plus punissable.
Selon le message, l’inquiétude exprimée lors de la consultation que n’importe quel employé d’une entreprise s’exposerait ainsi à des sanctions pénales n’est pas fondée. En Suisse, le respect des obligations administratives est assuré par l’application du droit pénal administratif, dont les destinataires sont les personnes physiques. Le droit pénal administratif repose sur le principe selon lequel l’obligation administrative incombe à l’entreprise et que sa violation est imputée aux personnes (physiques) responsables.
Calendrier
Le projet est désormais soumis au Parlement. Le Conseil national se consacrera à la LPD en sa qualité de premier conseil. L’examen préalable aura lieu au sein de la Commission des institutions politiques, les dates fixées étant les 26 et 27 octobre ainsi que les 9 et 10 novembre 2017. Une mise en œuvre au 1er août 2018 serait nécessaire pour respecter les obligations selon Schengen. Le Conseil fédéral poursuit cet objectif, qui pourrait être atteint à condition que le traitement du projet par le Parlement se fasse au plus vite et sans difficulté, ce qui reste cependant très improbable.