Le 23 mars 2026, le Grand Conseil du canton de Zurich a adopté la révision totale de la LDI (loi sur l’information et la protection des données) par 153 voix contre 24 :
- Objet du Grand Conseil n° 5923
- Avant-projet de la Direction de la justice et de l’intérieur
- Présentation synoptique de l’avant-projet avec explications de la Direction de la justice et de l’intérieur
- Proposition du Conseil d’État
- Version finale (proposition adoptée par la commission de rédaction)
- Procès-verbal de la délibération du 24.11.2025
Nous avons fait version actuelle avec à chaque fois les extraits de la proposition du Conseil d’Etat rassemblés.
La loi totalement révisée n’est pas encore en vigueur et la date d’entrée en vigueur n’est pas encore fixée, l’ordonnance d’application (OID) devant être élaborée au préalable. Il faut s’attendre à une date mi-2027. D’ici là, les règles suivantes s’appliquent l’IDG d’aujourd’hui et l’IDV continue.
Contexte
La LDI du canton de Zurich date de 2007 et réglemente aussi bien la protection des données que le principe de transparence. Le Conseil d’Etat a lancé la révision totale en 2020, en s’appuyant sur une évaluation (2013−2017), des interventions parlementaires, des prescriptions de droit européen (Convention 108+ du Conseil de l’Europe, Schengen) et la révision totale de la LPD de la Confédération. En 2019, une révision partielle avait déjà mis en œuvre les exigences minimales du droit européen.
La consultation a débuté le 28 juin 2022 et le 5 juillet 2023, le Conseil d’Etat a adopté le projet 5923. Le plus grand point de discorde a été par la suite un passage proposé par le Conseil d’Etat, selon lequel les procès-verbaux des séances non publiques, et pour l’exécutif, les propositions, co-rapports et prises de position, devaient généralement rester sous clé. La délibération suivante a modifié ce point sur proposition de la Commission des institutions politiques (CIP).
Le Grand Conseil a débattu du projet lors de plusieurs séances (15 septembre et 24 novembre 2025).
Principales nouveautés
- Responsable du principe de transparence et de la protection des données : L’ancienne CPD se voit attribuer une double fonction, elle conseille désormais également les autorités et les communes sur le principe de transparence et peut mener une procédure de conciliation en cas de litige sur l’accès à l’information. L’institution publique est tenue d’y participer.
- Exceptions à l’accès à l’informationPour les affaires du Conseil-exécutif et des exécutifs communaux, les propositions, les co-rapports, les prises de position et les procès-verbaux sont exclus de l’accès à l’information. Les communes peuvent limiter ces exceptions ou les déclarer non applicables.
- Données du gouvernement ouvert : Les données publiques ouvertes sont des informations qu’un organe public rend librement accessibles sous une forme lisible par machine et qui peuvent être utilisées sans restriction. Les organes publics peuvent publier de telles données ; l’administration centrale doit le faire, pour autant qu’aucune loi ou qu’aucun intérêt public ou privé prépondérant ne s’y oppose.
- Registre des IAChaque institution publique doit tenir un registre accessible au public des systèmes décisionnels algorithmiques qu’elle utilise, dans la mesure où ceux-ci peuvent avoir un impact sur les droits fondamentaux – le seuil est volontairement bas, la possibilité d’une violation des droits fondamentaux suffit déjà. La notion de „systèmes décisionnels algorithmiques“ englobe délibérément aussi bien les systèmes basés sur des règles que les systèmes d’apprentissage automatique. Les indications minimales doivent être réglées par le Conseil d’Etat dans l’ordonnance.
- Obligation de notification en cas de traitement par IA : Lors de la collecte de données personnelles, l’organe public doit informer activement de l’utilisation éventuelle de systèmes décisionnels algorithmiques et, lors d’une demande d’information, les personnes concernées doivent être informées si leurs données ont été traitées à l’aide d’une IA.
- Évaluation de l’impact sur les droits fondamentaux : Une analyse d’impact sur les droits fondamentaux (AIRF) doit être réalisée pour chaque utilisation de systèmes algorithmiques afin d’identifier et de réduire les risques pour les droits fondamentaux. Le cas échéant, l’ACRP s’ajoute à la DSFA (mais elle peut aussi être combinée).
- Essais pilotesLes organes publics peuvent traiter des données personnelles particulières dans le cadre d’essais pilotes sans base légale formelle, avec l’autorisation du Conseil d’Etat (pour les communes, de l’exécutif communal) et pour une durée maximale de cinq ans.
- consentement : Les organes publics peuvent traiter des données si la personne concernée y consent, par analogie avec l’art. 34 LPD. Pour les données personnelles particulières, un consentement explicite est nécessaire.
- Profilage : Le profilage (défini comme l’évaluation automatisée d’informations en vue d’analyser des caractéristiques personnelles essentielles ou de prédire des évolutions personnelles) nécessite désormais une base dans une loi formelle.
- Proportionnalité : Ce principe fait désormais l’objet d’un paragraphe spécifique.
- Traitement des informations par des tiers: le traitement des commandes se durcit un peu, en raison de l’externalisation croissante vers le cloud.