La Commission des institutions politiques (CIP‑N) a terminé ses délibérations sur le projet de loi sur l’égalité entre femmes et hommes. Projet de révision de la LPD du Conseil fédéral a été conclu. Le site Drapeau contient des divergences par rapport au projet du Conseil fédéral sur différents points, notamment les modifications suivantes (y compris les propositions de minorité) :
- Champ d’application territorial (art. 2a P‑LPD) : La commission souhaite étendre le champ d’application territorial de la LPD à tous les faits de traitement qui ont des conséquences en Suisse. Selon la proposition, les entreprises étrangères qui organisent des activités de traitement en Suisse doivent être soumises à la LPD et, dans ce contexte, doivent également désigner un représentant en Suisse (art. 12a P‑LPD). Dans sa version actuelle, cette disposition soulève toutefois des difficultés d’interprétation ; ainsi, il n’est pas évident de savoir ce qu’il faut entendre par le point de rattachement “effet”. Alors que les conditions de désignation d’un représentant s’inspirent de celles du RGPD, les mêmes critères ne doivent pas s’appliquer en ce qui concerne le champ d’application géographique.
- Registres de traitement (art. 11 E‑DSG)Le projet du Conseil fédéral prévoit l’obligation pour le responsable du traitement (et le sous-traitant) de tenir des registres de traitement et établit en outre une obligation de notification au PFPDT pour les organes fédéraux. Il existe une proposition de minorité à ce sujet (Minorité I), qui va plus loin et souhaite ancrer dans la loi une obligation générale de déclaration. Des propositions divergentes de la Commission existent également en ce qui concerne la disposition d’exception selon laquelle les responsables de traitement doivent être exemptés de l’obligation de documentation s’ils emploient moins de 50 personnes et si le traitement en question n’entraîne qu’un “faible risque”. La majorité de la commission exige dans tous les cas une exemption pour les entreprises jusqu’à 500 employés, donc sans évaluation des risques, la proposition de la minorité (Minorité I) suit le Conseil fédéral en ce qui concerne le seuil de collaborateurs et soutient pour le reste la proposition de la majorité (pas de pesée des risques).
- Atteintes à la personnalité/consentement : Les questions relatives à l’existence d’une atteinte à la personnalité en ce qui concerne les données personnelles sensibles et le profilage ainsi que les questions relatives aux exigences en matière de consentement sont controversées. Les positions suivantes sont défendues :
- Le site Majorité de la commission suit le Conseil fédéral, selon lequel il y a atteinte à la personnalité lorsque des données sensibles sont communiquées à des tiers. Si l’on s’appuie sur le consentement comme justification, celui-ci doit être explicite.
- Une proposition de minorité (Minorité II) complète l’état de fait par les traitements effectués à des fins de prospection directe. Le consentement doit être explicite pour tous les traitements de données personnelles sensibles et pour le profilage, ce qui permet de suivre le Conseil fédéral sur ce point.
- Une autre proposition minoritaire (Minorité IV) veut – uniquement – établir une atteinte à la personnalité pour toutes les communications, mais indépendamment du type de données, tout en exigeant un consentement exprès aussi bien pour les communications que pour le traitement de données personnelles sensibles.
- D’autres propositions suivent le Conseil fédéral en ce qui concerne les éléments constitutifs de l’atteinte à la personnalité (communication de données personnelles sensibles), mais demandent en outre une explicitation pour le profilage à haut risque (Minorité I) ou pour tout traitement nécessitant un consentement (Minorité III).
- Droits des personnes concernées (art. 23 s. E‑DSG) : L’aménagement des droits des personnes concernées est également controversé:
- Droit à la restitution des données et la portabilité : La majorité de la Commission a intégré ce droit dans le projet. Dans ce contexte, il faudrait notamment clarifier l’admissibilité de telles communications de données pour lesquelles les personnes traitant les données sont soumises à certaines limites légales (par exemple dans le domaine des assurances sociales).
- Droit d’accès : La majorité de la commission se prononce en faveur du responsable pour un droit d’accès limité des personnes concernées et veut le limiter “exclusivement” aux informations nécessaires pour que les personnes concernées puissent faire valoir leurs droits en vertu de la présente loi, en indiquant “les données personnelles en tant que telles” (art. 23, al. 2, let. b, P‑LPD) et notamment sans indication des éventuels destinataires des données. Les minorités suivent en principe le projet du Conseil fédéral. La majorité de la commission demande également une extension du catalogue d’exceptions, l’intérêt prépondérant du responsable devant suffire pour refuser le droit d’accès (même si les données sont communiquées à des tiers) et étant supprimé si l’exercice est effectué à des fins contraires à la protection des données.
- Obligation d’information : Le responsable doit simplement informer “de manière appropriée” la personne concernée de la collecte de données personnelles.
- Dispositions pénales (art. 54 ss. P‑LPD) : Le projet du Conseil fédéral prévoit de sanctionner à l’avenir une violation du devoir de diligence, ce qui est soutenu dans une large mesure. Deux propositions de minorité demandent cependant chacune une augmentation du montant de l’amende prévue. Une proposition (Minorité I) exige un montant d’amende pouvant aller jusqu’à CHF 20’000’000 ou jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent. Une deuxième proposition minoritaire (Minorité II) demande une augmentation à CHF 500’000. Comme auparavant, les personnes physiques individuelles doivent être punies (art. 29 CP) ; en particulier le Proposition de minorité I sera difficilement applicable dans ce contexte.
- Autres ajustementsEn ce qui concerne la réalisation d’une analyse d’impact sur la protection des données, le projet de la Commission assouplit l’obligation de consultation et la limite aux cas où des risques résiduels subsistent malgré les mesures prises. Une minorité exige en outre que l’analyse d’impact sur la protection des données soit répétée en cas de modification des risques, mais au plus tard tous les 5 ans. En outre, l’examen de la solvabilité des responsables doit être facilité en autorisant le profilage dans ce contexte. La majorité de la commission se prononce en outre en faveur d’une réglementation légale concernant les dispositions transitoires, selon laquelle la loi doit entrer en vigueur deux ans après l’expiration du délai référendaire non utilisé ou après son acceptation en votation populaire. La majorité de la commission suit le projet du Conseil fédéral en accordant aux responsables un délai d’adaptation supplémentaire de deux ans. Enfin, il convient de mentionner diverses propositions concernant la modification et le complément d’actes législatifs existants qui doivent également être mis en œuvre avec la mise en œuvre de la P‑LPD.