Suite à son Décision du 30 octobre 2019 lors de sa séance du 6 décembre 2019, le Conseil fédéral a Message concernant l’approbation du Protocole modifiant la Convention sur la protection des données du Conseil de l’Europe a été adoptée. L’approbation du Parlement est toutefois encore nécessaire pour la ratification. L’adhésion à la convention modernisée permet de garantir le respect des exigences croissantes en matière de protection des données pour les traitements de données personnelles dans un contexte international. La circulation transfrontalière des données s’en trouve facilitée ; ainsi, la Commission européenne tient compte de l’adhésion ou non des pays tiers à la convention lorsqu’elle décide de l’existence d’un niveau de protection des données adéquat dans un pays tiers.
Conformément au protocole de modification, diverses obligations du responsable sont étendues, comme par exemple les obligations de notification à l’autorité de surveillance en cas de violation de la protection des données, une obligation de réaliser une analyse d’impact sur la protection des données ainsi que l’obligation d’information du responsable. En outre, les principes de Privacy by Design et Privacy by Default sont ancrés. Les Etats contractants sont en outre tenus d’introduire un système de sanctions et de recours, ce qui va de pair avec le pouvoir des autorités de surveillance d’édicter des décisions contraignantes ; ce point sera probablement l’un des principaux points d’achoppement compte tenu de la systématique du droit suisse de la protection des données.
Les adaptations correspondantes doivent également être intégrées dans la loi sur la protection des données (LPD) ; le projet de révision de la LPD vient d’être examiné par la commission du Conseil des Etats et sera débattu dans le cadre de la session d’hiver actuellement en cours au Conseil des Etats. Dès que les délibérations en ce sens seront terminées, la LPD et l’arrêté fédéral portant approbation de la nouvelle convention sur la protection des données pourront être adoptés et la nouvelle convention sur la protection des données ratifiée.
Il convient de noter que la ratification est également contraignante pour les cantons. Ils sont tenus de satisfaire aux nouvelles exigences du protocole d’amendement et de les transposer dans leur droit, ce qui signifie que les lois cantonales sur la protection des données devront également être adaptées le cas échéant.