- La LPD révisée entrera en vigueur le 1er septembre 2023 et marquera la fin provisoire de la révision du droit suisse de la protection des données.
- Les entreprises ont dû adapter leur organisation, leurs responsabilités et leurs déclarations de confidentialité ; les travaux de mise en œuvre et les tâches de longue haleine demeurent.
- Les risques pénaux sont dans l’ensemble plutôt surestimés ; les risques les plus importants se situent au niveau des obligations d’information et du droit d’accès.
- La LPD offre une plus grande marge de manœuvre dans la mise en œuvre, mais reste imparfaite sur le plan technique et n’aborde pas les défis technologiques fondamentaux tels que l’IA générative.
Aujourd’hui, 31 août 2023, la longue révision du droit de la protection des données en Suisse prend provisoirement fin – provisoirement, parce qu’il est prévisible que la LPD connaîtra un destin similaire à celui de la LCD : elle peut s’adapter à toutes les demandes liées aux données et devrait donc être complétée en permanence. Mais il s’agit là d’une spéculation ; la LPD révisée entrera en vigueur le 1er septembre à 00h00.
Pour de nombreuses entreprises, la phase de révision a signifié une réflexion approfondie sur leur traitement des données personnelles et sur les conditions-cadres organisationnelles internes – naturellement aussi ou surtout dans le contexte du RGPD et d’autres développements internationaux. Des postes plus ou moins indépendants ont été créés (l’indépendance étant moins une question d’absence de directives, de conflits d’intérêts et de lignes de reporting qu’une question de ressources suffisantes permettant aux services de protection des données d’établir un certain agenda au lieu de les cantonner à répondre à des demandes internes). Des personnes de contact pour la protection des données ont été désignées dans les unités, par exemple dans le marketing, les ressources humaines et les technologies de l’information, et les directions ont été informées des risques juridiques, en particulier des risques pénaux, tant au niveau du front que de la direction et du management.
Les risques juridiques sont à la fois surestimés et sous-estimés – sous-estimés par les entreprises qui considèrent toujours la protection des données comme une imposition et une restriction supplémentaire de la recherche légitime de profit et qui ne sont pas prêtes à investir dans plus d’une déclaration de confidentialité, et surestimés par les entreprises qui craignent que même une négligence puisse entraîner des sanctions.
Dans l’ensemble, les risques pénaux sont toutefois surestimés. Il n’est guère possible, par exemple, de faire appel à un sous-traitant sans respecter les exigences minimales prévues par l’article 9, alinéas 1 et 2 LPD, qui sont assorties de sanctions pénales. Celles-ci découlent déjà en grande partie de toute relation similaire à un mandat en tant qu’obligation accessoire relevant du droit des obligations, du moins dans une optique de droit pénal qui ne permet ni interprétation trop large ni analogie. En ce qui concerne la sécurité des données, nous avons déjà exposéesIl n’y a pas d’exigences minimales justiciables en matière de sécurité des données dans la DSV. En ce qui concerne le transfert à l’étranger, des sanctions sont envisageables si, par exemple, des clauses contractuelles standard sont oubliées, mais l’omission d’une évaluation de l’impact du transfert (TIA), par exemple, ne peut pas, en soi, donner lieu à des sanctions.
Les risques les plus importants sont certainement liés à l’obligation d’informer et au droit d’accès. En ce qui concerne l’obligation d’informer, la question préalable serait de savoir s’il y a vraiment collecte de données personnelles (car toute production de données n’est pas une collecte) et si une lacune dans la déclaration de protection des données en est vraiment une, car l’information ne doit porter que sur les finalités et les communications qui sont au moins prévisibles, sinon prévues, lors de la collecte. De manière générale, on peut se demander dans quelle mesure les informations doivent être détaillées dans une déclaration de protection des données. Compte tenu du droit à l’information plus étendu dans le cadre du droit d’accès, on ne peut certainement pas s’attendre à des détails exhaustifs, même si de nombreuses entreprises utilisent des déclarations de protection des données détaillées par prudence et pour des raisons de réputation.
L’activité des autorités de poursuite pénale reste de toute façon à voir – mais si l’on pense à la pratique d’exécution dans le domaine de la LCD et en particulier de l’interdiction des spams (on connaît les décisions de non-application avec des justifications parfois aventureuses), il ne faut certainement pas s’attendre à un activisme.
Il ne faut pas non plus s’attendre à ce que le PFPDT mène des enquêtes à grande échelle. Certes, il sera soumis à une certaine pression pour obtenir des résultats et devra faire usage de ses compétences élargies, mais il devrait s’imposer une certaine retenue pour des raisons politiques, en raison de l’image qu’il se fait de lui-même (“pas un régulateur”) et du manque de ressources.
Les entreprises continueront à être occupées par des travaux de mise en œuvre après le 1er septembre, d’une part avec les exigences évidentes en matière d’obligation d’information, mais aussi avec l’organisation interne et les tâches habituelles de longue haleine telles que le stockage et la suppression des données personnelles. Une certaine charge de travail supplémentaire subsistera en outre, par exemple dans la collaboration avec les prestataires de services et les partenaires, où les contrats de protection des données et les négociations correspondantes ont augmenté.
En fin de compte, l’influence de la nouvelle LPD sur la pratique des entreprises devrait toutefois rester gérable. Même les représentants de la bulle de protection des données savent que le droit de la protection des données n’est pas la seule réglementation à laquelle les entreprises sont confrontées. Outre les réglementations sectorielles, les entreprises doivent, selon leur secteur d’activité, respecter les dispositions du droit des cartels, de la lutte contre la corruption, du droit du blanchiment d’argent, etc.
La révision est-elle réussie ? Oui et non. La nouvelle LPD est le résultat d’un long bras de fer politique. Cela a des avantages et des inconvénients – d’une part, la LPD est moins gouvernante que le RGPD. D’autre part, de nombreuses erreurs artisanales de la LPD et du RGPD continueront d’entraîner une insécurité juridique. Le fait que la punissabilité soit individualisée et que le choix des obligations punissables semble arbitraire ne contribue pas non plus à l’acceptation du droit de la protection des données (pourquoi serait-il punissable de transférer des données personnelles vers des pays tiers sans clauses contractuelles standard, mais pas de notifier une analyse d’impact relative à la protection des données ou la notification d’une violation de la sécurité des données ?), ou encore l’absence d’une approche cohérente de l’évaluation légale des risques. Toujours est-il que cela laisse aux entreprises la marge de manœuvre qu’elles réclament toujours dans la mise en œuvre de la législation sur la protection des données.
Ce que le droit de la protection des données ne peut pas changer : La poursuite du développement de la technologie et sa pénétration dans les moindres ramifications de la vie quotidienne. On ne pourra pas se soustraire à l’IA générative, même si on le voulait, et il y aurait de bonnes raisons de le faire (aucune occasion de délocaliser la pensée n’a jamais été manquée). Il est difficile de prévoir quels en seront les effets, et ce n’est pas le lieu de spéculer à ce sujet. Mais une réflexion s’impose : Les moyens utilisés ont un effet en retour ; ce que l’on possède nous appartient. Une IA qui se prétend semblable à l’homme n’est pas seulement une IA semblable à l’homme, mais aussi un modèle pour le comportement humain, comme l’ont été d’autres technologies fondamentales – Internet n’est pas seulement un lieu de liberté, mais peut remplacer le savoir par l’information et la pensée par Googler. Il est donc non seulement possible, mais probable, que tôt ou tard, une IA ne soit plus considérée comme un être humain déficient, mais que l’être humain soit considéré comme une IA déficiente. Nous nous demanderons par exemple s’il faut vraiment un droit d’être entendu par l’homme pour les décisions individuelles automatisées ou plutôt un droit d’être entendu par la machine pour les décisions humaines.
Le droit de la protection des données n’est toutefois guère en mesure d’aborder de telles questions s’il ne veut pas devenir encore plus la “loi du tout”. Plus que des questions philosophiques, il exige de l’artisanat, un travail constant sur le traitement des données, en quelque sorte dans la salle des machines des entreprises, et un changement de compréhension, passant d’un mal nécessaire à un cadre tout à fait judicieux dans un monde numérisé.
Dans ce sens – out with the old, in with the new ! Nous continuerons à accompagner avec amour le droit de la protection des données sur ce site.