Pri­se de posi­ti­on du Con­seil fédé­ral sur l’in­ter­pel­la­ti­on Fia­la (17.4088) : Que­sti­ons de mise en oeu­vre du règle­ment de base de l’UE sur la pro­tec­tion des données

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, , ,
Ven­te à emporter (AI)
  • Le Con­seil fédé­ral don­ne la prio­ri­té au main­ti­en de la décis­i­on d’a­dé­qua­ti­on de l’UE et adap­te la P‑LPD au RGPD, résul­tat dépen­dant de la décis­i­on du Parlement.
  • En cas d’in­cer­ti­tu­de, les ent­re­pri­ses doi­vent con­sul­ter à la fois le PFPDT et l’au­to­ri­té de sur­veil­lan­ce com­pé­ten­te de l’UE ; les com­pé­ten­ces de chaque auto­ri­té restent autonomes.
  • Un accord de coopé­ra­ti­on avec l’UE pren­dra des années ; le Con­seil fédé­ral attend l’a­vance­ment des travaux par­le­men­tai­res pour négocier.

Le Con­seil fédé­ral a déci­dé de Inter­pel­la­ti­on Fia­la (17.4088) con­cer­nant les que­sti­ons de mise en œuvre du règle­ment géné­ral sur la pro­tec­tion des don­nées de l’UE le 2 mars 2018, a pris posi­ti­on com­me suit :

[Que­sti­on Fia­laL’UE con­tin­uera-t-elle à recon­naît­re l’é­qui­va­lence de la légis­la­ti­on sui­s­se en matiè­re de pro­tec­tion des don­nées ?]

1. le main­ti­en de la décis­i­on d’a­dé­qua­ti­on de l’UE est un objec­tif prio­ri­taire pour le Con­seil fédé­ral. C’est notam­ment pour cet­te rai­son qu’il a déci­dé d’a­li­gner le con­te­nu de la P‑LPD sur les exi­gen­ces du pro­jet de révi­si­on de la Con­ven­ti­on STE 108 et du RGPD. Il n’est pas pos­si­ble de pré­voir aujour­d’hui quand la Com­mis­si­on euro­pé­en­ne réex­ami­ne­ra l’a­dé­qua­ti­on du droit sui­s­se de la pro­tec­tion des don­nées et si le résul­tat sera posi­tif. Pour que la Sui­s­se pui­s­se main­te­nir la décla­ra­ti­on d’a­dé­qua­ti­on exi­stan­te, elle doit pré­sen­ter un niveau de pro­tec­tion com­pa­ra­ble à celui de l’UE. L’issue de cet examen dépen­dra essen­ti­el­le­ment des décis­i­ons pri­ses par le Par­le­ment dans le cad­re de la révi­si­on de la légis­la­ti­on sui­s­se en matiè­re de pro­tec­tion des données.

Com­me la CIP‑N a déci­dé de scin­der le pro­jet et de l’ex­ami­ner en deux étapes (cf. ch. 9 ci-après), des retards sont pro­ba­bles. Si, lors de son pro­chain examen du droit sui­s­se de la pro­tec­tion des don­nées, la Com­mis­si­on euro­pé­en­ne arri­ve à la con­clu­si­on que celui-ci – par­ce que la LPD n’a pas enco­re été révi­sée – ne garan­tit plus un niveau de pro­tec­tion adé­quat, elle peut révo­quer, modi­fier ou sus­pend­re la décis­i­on d’a­dé­qua­ti­on. Cela aurait des con­sé­quen­ces néga­ti­ves pour l’é­co­no­mie sui­s­se et en par­ti­cu­lier pour les PME. Les don­nées per­son­nel­les de l’UE ne pour­rai­ent plus être trans­mi­ses sans aut­re à la Sui­s­se, mais il fau­drait prend­re des mesu­res de sécu­ri­té sup­p­lé­men­tai­res. Les ent­re­pri­ses sui­s­ses dev­rai­ent par exemp­le s’en­ga­ger con­trac­tu­el­le­ment envers les ent­re­pri­ses de l’UE à respec­ter le niveau euro­pé­en de pro­tec­tion des données.

[Que­sti­on Fia­laQui est l’in­terlo­cu­teur des ent­re­pri­ses sui­s­ses (p. ex. pour les obli­ga­ti­ons de décla­ra­ti­on) con­cer­nant le RGPD et la P‑LPD ? Est-ce le PFPDT, un orga­nis­me de l’UE ou même les deux ?]

2. chaque auto­ri­té appli­quera son pro­pre droit. Si le responsable du trai­te­ment des don­nées esti­me qu’il est sou­mis à la fois à la LPD et au RGPD, il s’adress­e­ra au PFPDT et à l’au­to­ri­té de con­trô­le étran­gè­re com­pé­ten­te.

[Que­sti­on Fia­laLes enquêtes et les éven­tu­el­les sanc­tions à l’en­cont­re d’entre­pri­ses sui­s­ses sont-elles menées par un orga­nis­me sui­s­se ? Com­ment et par qui ?]

3. l’en­quête et l’ap­pli­ca­ti­on de sanc­tions à l’en­cont­re d’u­ne ent­re­pri­se ayant son siè­ge en Sui­s­se mais sou­mi­se au RGPD relè­vent de la com­pé­tence des auto­ri­tés de con­trô­le des États mem­bres de l’UE. En l’ab­sence d’un accord de coopé­ra­ti­on, cel­les-ci ne peu­vent tou­te­fois pas mener elles-mêmes d’ac­tes d’en­quête en Sui­s­se. Si une ent­re­pri­se doit dési­gner un repré­sen­tant dans l’UE (art. 27 RGPD), les auto­ri­tés de con­trô­le euro­pé­en­nes peu­vent noti­fier ses décis­i­ons à l’entre­pri­se sui­s­se par l’in­ter­mé­di­ai­re de ce repré­sen­tant, sans pas­ser par la voie diplo­ma­tique.

[Que­sti­on Fia­laLes ent­re­pri­ses peu­vent-elles être sanc­tion­nées à la fois par la Sui­s­se et par l’UE pour le même cas ?]

4. cet­te pos­si­bi­li­té n’est pas à exclu­re. Le prin­ci­pe ne bis in idem (inter­dic­tion de la dou­ble pour­suite) pour­rait tou­te­fois s’ap­pli­quer en cas de cumul d’a­men­des inf­li­gées par l’UE et de sanc­tions péna­les pro­non­cées par les auto­ri­tés de pour­suite péna­le suisses.

[Que­sti­on Fia­la: Les ent­re­pri­ses peu­vent-elles être sanc­tion­nées par l’UE ou ses Etats mem­bres bien qu’el­les respec­tent le droit sui­s­se ? Non,]

5. oui, s’ils sont sou­mis au RGPD et enfr­eig­n­ent ses dispositions

[Que­sti­on Fia­laLes cer­ti­fi­ca­ti­ons et les orga­nis­mes de cer­ti­fi­ca­ti­on sui­s­ses sont-ils recon­nus par l’UE ?]

6) Le RGPD ne pré­voit pas de pro­cé­du­re de recon­nais­sance par l’UE des cer­ti­fi­ca­ti­ons et des orga­nis­mes de cer­ti­fi­ca­ti­on suisses.

[Que­sti­on Fia­laLa Sui­s­se est-elle impli­quée dans l’é­la­bo­ra­ti­on de nor­mes ?]

7) Le RGPD ne con­ti­ent aucu­ne dis­po­si­ti­on pré­voyant une tel­le par­ti­ci­pa­ti­on de la Sui­s­se. Il n’est tou­te­fois pas exclu que des ent­re­pri­ses sui­s­ses pui­s­sent être impli­quées, par exemp­le dans le cad­re de l’é­la­bo­ra­ti­on de codes de conduite.

[Que­sti­on Fia­laLe RGPD ren­voie à de nombreux end­roits au droit des États mem­bres. Quel rôle joue le droit sui­s­se dans ce con­tex­te ?]

8) La Sui­s­se n’est pas un État membre au sens du RGPD. Cela vaut indé­pen­dam­ment du fait que cet acte pui­s­se s’ap­pli­quer direc­te­ment aux ent­re­pri­ses sui­s­ses en ver­tu de son artic­le 3, para­gra­phe 2. Les réfé­ren­ces au droit des États mem­bres n’in­clu­ent pas le droit sui­s­se, qui ne joue donc aucun rôle..

[Que­sti­on Fia­laCes que­sti­ons mont­rent qu’il exi­ste un grand beso­in de coor­di­na­ti­on avant même que la révi­si­on de la LPD ne soit débat­tue au Par­le­ment. C’est pour­quoi le Con­seil fédé­ral a été char­gé, par la moti­on 16.3752 trans­mi­se, de recher­cher un accord cor­re­spond­ant avec l’UE. Selon la répon­se à ma que­sti­on 17.5528 lors de l’heu­re des que­sti­ons du 4 décembre, le Con­seil fédé­ral a décla­ré qu’il ne sou­hai­tait pas cont­ac­ter la Com­mis­si­on euro­pé­en­ne avant les débats par­le­men­tai­res. Or, les que­sti­ons sus­ment­i­onnées se posent déjà en mai 2018 pour de nombreu­ses ent­re­pri­ses sui­s­ses. En out­re, ces que­sti­ons de mise en œuvre sont justem­ent très pré­cieu­ses pour les déli­bé­ra­ti­ons sur la LPD sui­s­se. Quel­les mesu­res le Con­seil fédé­ral comp­te-t-il prend­re pour rég­ler le plus rapi­de­ment pos­si­ble ce beso­in de coor­di­na­ti­on dans le droit des trai­tés inter­na­ti­on­aux ?]

9. la con­clu­si­on d’un Accord de coopé­ra­ti­on ent­re la Sui­s­se et l’UE pren­dra pro­ba­blem­ent plu­sieurs années. Les chan­ces de suc­cès dépen­dront de la capa­ci­té de la Sui­s­se à démon­trer que sa légis­la­ti­on en matiè­re de pro­tec­tion des don­nées garan­tit un niveau de pro­tec­tion adé­quat au sens du RGPD. C’est pour­quoi le Con­seil fédé­ral a jugé oppor­tun d’at­tendre le début des travaux par­le­men­tai­res.. Un pre­mier cont­act avec la Com­mis­si­on euro­pé­en­ne était pré­vu pour début 2018. Vu la décis­i­on de la Com­mis­si­on des insti­tu­ti­ons poli­ti­ques du Con­seil natio­nal du 11 jan­vier 2018 de trai­ter en prio­ri­té les mesu­res légis­la­ti­ves néces­saires à la mise en œuvre de l’ac­quis de Schen­gen et de pro­cé­der dans une deu­xiè­me étape à l’ex­amen des adap­t­ati­ons visa­nt à rappro­cher le droit sui­s­se de la pro­tec­tion des don­nées des exi­gen­ces du RGPD, le Con­seil fédé­ral a tou­te­fois l’in­ten­ti­on d’at­tendre avant de fran­chir le pas..