- habilitation du PFPDT à prononcer des sanctions administratives efficaces, proportionnées et dissuasives en cas de violation de la protection des données.
- Amendes calculées en fonction de la gravité et de l’intention ; pour les personnes morales à but lucratif, jusqu’à 10% du chiffre d’affaires dans les cas graves.
Initiative parlementaire Schwaab (14.404) : Pour des sanctions réellement dissuasives en cas de violation de la protection des données
Pas de suite donnée (17.03.2015)
Texte soumis
En vertu de l’article 160, alinéa 1, de la Constitution fédérale et de l’article 107 de la loi sur le Parlement, je dépose l’initiative parlementaire suivante :
La loi sur la protection des données est modifiée comme suit :
1) Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est habilité à prononcer des sanctions administratives efficaces, proportionnées et dissuasives en cas de violation des dispositions du droit fédéral relatives à la protection des données. La loi règle la procédure et les voies de recours.
2) Le montant de l’amende administrative est fixé en tenant compte de la nature, de la gravité et de la durée de l’infraction et en fonction du fait que l’infraction a été commise intentionnellement ou par négligence. Si l’infraction est commise par une personne morale exerçant une activité à but lucratif, l’amende peut atteindre, dans les cas les plus graves, jusqu’à 10 % du chiffre d’affaires.
Justification
Les violations grossières de la protection des données sont de plus en plus fréquentes. Les nouvelles technologies et les réseaux sociaux rendent le traitement des données à grande échelle beaucoup plus facile. Il est facile d’établir des profils de personnalité très détaillés. Le cloud computing favorise le stockage de données à l’étranger, souvent sans aucune possibilité de contrôle. D’un simple clic, les données de centaines de milliers de personnes peuvent être dérobées, falsifiées ou utilisées à des fins non prévues, et ce généralement sans que les personnes concernées s’en rendent compte. Celles-ci ne peuvent guère empêcher l’utilisation abusive de leurs données personnelles, car les conditions générales de la plupart des sites web sur lesquels des données sont saisies ou traitées sont formulées de manière unilatérale et avantageuse.
Lorsque des particuliers ou des entreprises tentent de se défendre, ils doivent s’attendre à des procédures longues et coûteuses, et le résultat est rarement satisfaisant. Le PFPDT n’est habilité qu’à émettre des recommandations. Or, celles-ci semblent rarement dissuader les entreprises, souvent des multinationales de l’Internet, qui contrôlent une quantité croissante de données personnelles. Il est donc urgent de doter le PFPDT d’un pouvoir de sanction.
Pour que les sanctions soient réellement dissuasives, les amendes doivent tenir compte de l’énorme puissance financière des multinationales concernées. Ainsi, les amendes de 150 000 euros et 900 000 euros infligées à Google par les autorités française et espagnole de protection des données pour des violations répétées de la protection des données ont suscité la risée de la Commission européenne. La commissaire Viviane Reding a qualifié ces montants d’ ”amende d’argent de poche”. Elle a alors fait part de sa ferme intention de porter les possibilités de sanctions dans ce domaine à plus de 2 % du chiffre d’affaires global des entreprises concernées. Aux Etats-Unis, les autorités américaines (FTC) ont condamné Google en 2012 à une amende de 22,5 millions de dollars pour violation de la vie privée.
La Suisse a besoin d’une protection des données efficace et adaptée aux défis actuels. Une législation moderne implique sans aucun doute des sanctions réellement dissuasives.
Rapport de la Commission des institutions politiques du 31 octobre 2014 :