Con­ven­ti­on du Con­seil de l’Eu­ro­pe sur la pro­tec­tion des don­nées : le Con­seil fédé­ral adop­te le message

Suite à son Décis­i­on du 30 octobre 2019 lors de sa séan­ce du 6 décembre 2019, le Con­seil fédé­ral a Mes­sa­ge con­cer­nant l’ap­pro­ba­ti­on du Pro­to­co­le modi­fi­ant la Con­ven­ti­on sur la pro­tec­tion des don­nées du Con­seil de l’Eu­ro­pe a été adop­tée. L’ap­pro­ba­ti­on du Par­le­ment est tou­te­fois enco­re néces­saire pour la rati­fi­ca­ti­on. L’ad­hé­si­on à la con­ven­ti­on moder­ni­sée per­met de garan­tir le respect des exi­gen­ces crois­s­an­tes en matiè­re de pro­tec­tion des don­nées pour les trai­te­ments de don­nées per­son­nel­les dans un con­tex­te inter­na­tio­nal. La cir­cula­ti­on trans­fron­ta­liè­re des don­nées s’en trouve faci­li­tée ; ain­si, la Com­mis­si­on euro­pé­en­ne tient comp­te de l’ad­hé­si­on ou non des pays tiers à la con­ven­ti­on lorsqu’el­le déci­de de l’e­xi­stence d’un niveau de pro­tec­tion des don­nées adé­quat dans un pays tiers.

Con­for­mé­ment au pro­to­co­le de modi­fi­ca­ti­on, diver­ses obli­ga­ti­ons du responsable sont éten­dues, com­me par exemp­le les obli­ga­ti­ons de noti­fi­ca­ti­on à l’au­to­ri­té de sur­veil­lan­ce en cas de vio­la­ti­on de la pro­tec­tion des don­nées, une obli­ga­ti­on de réa­li­ser une ana­ly­se d’im­pact sur la pro­tec­tion des don­nées ain­si que l’ob­li­ga­ti­on d’in­for­ma­ti­on du responsable. En out­re, les prin­cipes de Pri­va­cy by Design et Pri­va­cy by Default sont ancrés. Les Etats con­trac­tants sont en out­re tenus d’in­tro­dui­re un système de sanc­tions et de recours, ce qui va de pair avec le pou­voir des auto­ri­tés de sur­veil­lan­ce d’é­dic­ter des décis­i­ons con­traignan­tes ; ce point sera pro­ba­blem­ent l’un des prin­ci­paux points d’achop­pe­ment comp­te tenu de la sys­té­ma­tique du droit sui­s­se de la pro­tec­tion des données.

Les adap­t­ati­ons cor­re­spond­an­tes doi­vent éga­le­ment être inté­g­rées dans la loi sur la pro­tec­tion des don­nées (LPD) ; le pro­jet de révi­si­on de la LPD vient d’êt­re exami­né par la com­mis­si­on du Con­seil des Etats et sera débat­tu dans le cad­re de la ses­si­on d’hi­ver actu­el­le­ment en cours au Con­seil des Etats. Dès que les déli­bé­ra­ti­ons en ce sens seront ter­mi­nées, la LPD et l’ar­rê­té fédé­ral portant appro­ba­ti­on de la nou­vel­le con­ven­ti­on sur la pro­tec­tion des don­nées pour­ront être adop­tés et la nou­vel­le con­ven­ti­on sur la pro­tec­tion des don­nées ratifiée.

Il con­vi­ent de noter que la rati­fi­ca­ti­on est éga­le­ment con­traignan­te pour les can­tons. Ils sont tenus de satis­fai­re aux nou­vel­les exi­gen­ces du pro­to­co­le d’a­men­de­ment et de les trans­po­ser dans leur droit, ce qui signi­fie que les lois can­to­na­les sur la pro­tec­tion des don­nées devront éga­le­ment être adap­tées le cas échéant.