- Le Conseil fédéral adopte l’OLPD et l’OCPD ; la nLPD entièrement révisée et les ordonnances entreront en vigueur le 1er septembre 2023.
- La DSV a été fortement remaniée par rapport au projet : Des références légales plus claires, la suppression de formulations imprécises et des adaptations systématiques.
- Les principales modifications concernent la sécurité des données, le traitement des commandes, les transferts à l’étranger et les droits des personnes concernées ; les obligations de transparence et les responsabilités sont précisées.
Lors de sa séance du 31 août 2022, le Conseil fédéral a adopté la nouvelle ordonnance sur la protection des données (DSV) et le nouveau règlement sur les certifications en matière de protection des données (VDSZ) a été adoptée. Les dispositions d’exécution seront publiées en même temps que la révision totale de la loi sur la protection des données ([n]DSG) comme prévu le 1er septembre 2023 entrera en vigueur (Communiqué de presse).
Situation de départ
Comme on le sait, le Parlement suisse a adopté le 25 septembre 2020 la révision totale de la loi sur la protection des données (DSG) adopte. La révision des dispositions d’exécution correspondantes a été entamée à l’automne 2020. Le 23 juin 2021, le Conseil fédéral a ouvert la procédure de consultation. Consultation qui a duré jusqu’au 14 octobre 2021.
Selon le Rapport sur les résultats de la procédure de consultation du 31 août 2022 de larges cercles avaient participé à la consultation – des prises de position ont été reçues de 24 cantons, de la Conférence des préposés cantonaux à la protection des données “privitim”, de partis politiques ainsi que de nombreuses associations issues des milieux économiques, de la protection des consommateurs et de la protection des données, et entre autres de Walder Wyss.
Le Conseil fédéral a maintenant décidé de
- LPD totalement révisée et
- le nouveau règlement sur la protection des données (DSV, PDF) et
- le nouveau règlement sur les certifications en matière de protection des données (VDSZ, PDF)
de faire entrer en vigueur le 1er septembre 2023. Il accorde ainsi une année supplémentaire d’adaptation à l’économie.
La version finale tant attendue de la DSV est donc enfin disponible. Parallèlement, le Conseil fédéral a approuvé le vaste Rapport explicatif sur la DSV et aussi vers le VDSZ avec un “FAQ sur le droit à la protection des données„.
Matériel de travail
Nous (Hannes Meyle et Anne-Sophie Morand avec David Vasella) avons fait une Comparaison de l’OCPD, de l’E-VDSG et de l’OCPD en vigueur. Vous les trouverez ici en PDF. Si une version Word est utile à des fins internes, nous pouvons volontiers la mettre à disposition sur demande.
Une version préparée de la DSV ainsi que les extraits correspondants du rapport explicatif, vous trouverez en outre ici, en plus de la nouvelle DSG avec des extraits du message et d’une version anglaise de Walder Wyss (Hugh Reeves).
Modifications suite à la consultation
Dans la DSV, le Conseil fédéral a apporté des adaptations par rapport au projet (E‑VDSG), répondant ainsi aux vives critiques émises lors de la consultation.
Déjà à Connaissance de l’E-VDSG Fin juin 2021, on parlait, surtout du côté de l’économie, d’une une occasion manquée a été évoqué. Il a été particulièrement critiqué que le contenu de l’avant-projet était imprécis et souvent inutilement restrictif, et que de nombreuses dispositions manquaient de base légale. Les réponses à la consultation n’étaient pas non plus avares de critiques. Le Conseil fédéral a donc tenté, dans l’ODS, d’établir un lien plus clair entre les dispositions de l’ordonnance et les normes légales correspondantes. Par rapport au projet mis en consultation, l’ODS contient donc des adaptations de fond, mais aussi systématiques. Le rapport explicatif résume ces adaptations comme suit :
Adaptations suite à la consultation
Par rapport au projet mis en consultation, l’ordonnance contient des adaptations de fond et systématiques. Les principales modifications sont présentées ci-dessous.4.1 Sécurité des données
La section relative à la sécurité des données a été remaniée afin de tenir compte des critiques formulées lors de la consultation.
Les termes nécessitant une interprétation (par ex. “distances raisonnables”) ont été supprimés. En outre, les objectifs sont désormais réglés dans un article spécifique (art. 2 OLPD), qui s’inspire de la réglementation de la loi sur la sécurité de l’information11 . L’article 3 règle les mesures techniques et organisationnelles.
Les dispositions relatives à la journalisation et au règlement de traitement (art. 4 – 6 OLPD) maintiennent autant que possible la réglementation de l’OLPD en vigueur. Ainsi, la référence à l’analyse d’impact relative à la protection des données est supprimée des conditions de l’obligation de journalisation. La proposition de porter à deux ans la durée de conservation des logs n’est pas maintenue. Étant donné que la durée d’un an constitue à la fois un minimum et un maximum selon l’OLPD en vigueur, l’expression “au moins” a été ajoutée afin de permettre aux personnes privées de conserver les logs pendant plus d’un an. Pour les organes fédéraux, les dispositions des lois spéciales sont réservées.
4.2 Traitement par le responsable du traitement
Le contenu actuel de l’article 6 P‑ODP a été supprimé. En lieu et place, l’art. 7 OLPD règle uniquement le type d’autorisation préalable par laquelle un responsable du traitement peut autoriser un sous-traitant à transférer le traitement des données à un tiers. Cette disposition s’inspire de l’article 22, paragraphe 2, de la directive (UE) 2016/680 ou de l’article 28, paragraphe 2, du RGPD. Pour des raisons de sécurité juridique, elle reprend ce que le Conseil fédéral avait déjà mentionné dans son message relatif à la révision totale de la loi sur la protection des données.
FF 2017 6941, 7032).L’art. 6, al. 1 et 2, P‑LPD est supprimé parce que ces normes sont déjà couvertes par l’art. 9, al. 1, let. a, n‑LPD ainsi que par les dispositions relatives à la communication de données à l’étranger (art. 16 s. n‑LPD ; art. 8 s. OLPD). Même un responsable qui confie le traitement de données personnelles à un sous-traitant reste responsable de la protection des données.
Il ne semble en outre pas nécessaire de régler expressément la forme écrite de l’autorisation préalable du traitement des sous-traitants par les organes fédéraux, comme l’a prévu l’art. 6, al. 3, P‑LPD. On peut partir du principe que celle-ci doit déjà être choisie dans l’optique de la sécurité juridique. En outre, il convient également de respecter les éventuelles exigences formelles applicables en matière de droit des marchés publics.
L’article 7 P‑LPD a été entièrement supprimé. Cela s’explique par le fait que l’art. 26, al. 2, let. a, OLPD (anciennement art. 28, al. 2, let. a et b, P‑OLPD) régit déjà la participation du conseiller à la protection des données.
4.3 Communication de données personnelles à l’étranger
La consultation a montré qu’il existe un besoin de transparence et de clarté accrues.
Conformément à l’art. 8, al. 5, OLPD, les évaluations du Conseil fédéral doivent désormais être publiées. Une disposition transitoire règle les modalités (art. 46, al. 2, OLPD). En outre, le principe de transparence a été expressément inscrit à l’article 9, paragraphe 1, lettre a, du RGPD.
Enfin, il est également précisé que le PFPDT se prononce dans un délai de quatre-vingt-dix jours sur les clauses standard de protection des données et les règles contraignantes de protection des données internes à l’entreprise qui lui sont soumises (art. 10, al. 2, et art. 11, al. 3, OLPD).
4.4 Obligations du responsable
Le sous-traitant a été supprimé de l’art. 13, al. 1, OLPD (anciennement art. 13, al. 1, P‑LPD), car la base juridique de l’art. 19 nLPD s’adresse elle aussi uniquement au responsable. La responsabilité des renseignements reste du ressort du responsable. Par ailleurs, l’alinéa 1 a été reformulé dans le sens du RGPD. En outre, l’alinéa 2 de la disposition a été supprimé. La consultation a montré que l’utilisation de pictogrammes sous la forme demandée ne pourrait pas être mise en œuvre par l’économie. La condition de lisibilité par machine a notamment été fortement critiquée.
L’art. 15 P‑LPD ne s’appliquera désormais plus qu’aux organes fédéraux et sera donc déplacé dans le chapitre concernant les traitements de données effectués par les organes fédéraux (nouvel art. 30 OLPD). Cette disposition est maintenue pour les organes fédéraux, car elle est exigée par l’art. 7, al. 2, de la directive (UE) 2016/680.
L’art. 16 P‑LPD a été supprimé, car cet article avait été retiré après la consultation sur la n‑LPD et ne figurait donc pas dans le projet de loi soumis au Parlement. En ce sens, il n’était pas cohérent de le faire figurer dans le projet d’ordonnance.
L’art. 17 P‑LPD a été supprimé, car l’objectif et le but de la disposition sont déjà couverts notamment par l’art. 21, al. 2, n‑LPD.
L’article 14 OLPD (anciennement art. 18 P‑LPD) ne règle plus que la conservation de l’analyse d’impact relative à la protection des données et ne se prononce plus sur sa forme. Comme pour les autres instruments réglementés par la nLPD et l’OLPD, il appartient aux responsables de décider sous quelle forme ils souhaitent les conserver. Il est certain qu’elle doit être lisible dans un format courant en cas d’examen par le PFPDT ou de violation.
A l’art. 15 P‑LPD, l’al. 2 a été aligné sur les dispositions de l’art. 24, al. 1, n‑LPD, de sorte que la notification ultérieure doit également être effectuée “dans les meilleurs délais”. L’al. 4 a été supprimé en raison de la modification des art. 26 et 27 OLPD, selon laquelle l’implication du conseiller à la protection des données dans la notification d’une violation de la sécurité des données est désormais conçue comme une obligation de l’organe fédéral.
4.5 Droits de la personne concernée
Dans la première section, l’art. 20, al. 4, P‑ODP (nouvel art. 16, al. 5, OLPD) a été modifié en ce sens que les exigences déjà prévues à l’art. 1, al. 2, let. a et b, OLPD pour garantir la sécurité des informations transmises ne sont que partiellement reprises. L’obligation du responsable prévue à la let. b de garantir que les données personnelles de la personne concernée soient protégées contre l’accès de tiers non autorisés lors de la communication de renseignements résulte déjà suffisamment
concrètement de l’article 8 nLPD. La lettre b a donc été supprimée. En revanche, il a été expressément maintenu que le responsable doit prendre des mesures appropriées pour identifier la personne concernée. Ceci est d’autant plus important que la personne concernée est tenue de coopérer.L’art. 20, al. 5, P‑LPD a été supprimé, car la problématique est déjà suffisamment couverte par l’art. 26, al. 4, n‑LPD. L’art. 26, al. 4, nLPD prévoit déjà que le responsable doit indiquer les raisons pour lesquelles il refuse, limite ou diffère l’accès. Cela suffit pour une action en justice. Les responsables n’ont donc plus d’obligation de conservation. Une conservation par le responsable s’impose toutefois pour des raisons de preuve.
L’article 21 P‑LPD (nouvel art. 17 OLPD) a été adapté afin d’être clairement identifié comme une norme de coordination. L’alinéa 2 a été modifié de manière à ce que le sous-traitant assiste le responsable du traitement dans la fourniture des informations.
L’article 23 P‑LPD (nouvel art. 19 OLPD) concernant les exceptions à la gratuité a également été remanié. L’al. 3 prévoit désormais que la demande est considérée comme retirée si la personne concernée ne confirme pas sa demande dans les dix jours suivant la communication de la participation aux frais. En conséquence, le délai prévu à l’art. 18 OLPD (anciennement art. 22 P‑OLPD) ne commence à courir qu’après ce délai de réflexion.
La section 2, relative au droit à l’édition ou à la transmission de données, a été une nouvelle fois fondamentalement remaniée. Les articles suivants ont été créés : L’article 20 OLPD traite de l’étendue du droit, l’article 21 OLPD des exigences techniques de la mise en œuvre et l’article 22 OLPD (anciennement art. 24 P‑ODP) précise, sous Délai, modalités et compétence, dans quelle mesure les dispositions relatives au droit d’accès s’appliquent au droit à la remise ou à la transmission de données.
4.6 Dispositions particulières relatives au traitement des données par des personnes privées
L’al. 1 de l’art. 25 P‑OLPD (nouvel art. 23 OLPD) “conseiller à la protection des données” a été supprimé, car les responsables privés ne sont pas tenus de désigner des conseillers à la protection des données. Dans le texte restant, la lettre c a introduit la possibilité pour les conseillers à la protection des données d’informer l’organe supérieur de direction ou d’administration dans les cas importants.
4.7 Dispositions particulières relatives au traitement des données par les organes fédéraux
L’article 26 OLPD (anciennement art. 28 P‑OLPD) précise à l’alinéa 2 que les commissaires à la protection des données collaborent à l’application des dispositions relatives à la protection des données. Sachant que les prescriptions des chiffres 1 et 2 servent ici exclusivement d’exemples à cet égard.
La tâche du conseiller à la protection des données consistant à annoncer au PFPDT les violations de la sécurité des données (art. 28, al. 2, let. c, PADS) est désormais conçue comme une obligation de l’organe fédéral. Elle est donc désormais réglée à l’art. 27 OLPD.
L’article 31 P‑ODP sur l’information au conseiller à la protection des données est supprimé. Cette disposition reprend en partie l’art. 20, al. 2, OLPD. L’information du conseiller à la protection des données découle toutefois de ses tâches générales de conseil, d’assistance et de contrôle.