Un jour sans fin : réfle­xi­ons sur l’a­vant-pro­jet de règle­ment sur la pro­tec­tion des données

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • L’or­don­nan­ce doit rester fidè­le à la loi et fai­re preuve de rete­nue, et ne régle­men­ter que les dis­po­si­ti­ons d’exé­cu­ti­on expres­sé­ment pré­vues par la loi révi­sée sur la pro­tec­tion des données.
  • Les règles doi­vent être pro­ches de la réa­li­té et pou­voir être respec­tées par les ent­re­pri­ses, même de tail­le moy­enne ; il faut évi­ter les exi­gen­ces trop ambi­ti­eu­ses en matiè­re de sécu­ri­té des données.

Ceux qui pen­sai­ent que l’ad­op­ti­on par le Par­le­ment ouvr­i­rait enfin la voie à l’en­trée en vigueur de la loi révi­sée sur la pro­tec­tion des don­nées se sont trom­pés. L’a­vant-pro­jet de l’or­don­nan­ce sur la pro­tec­tion des don­nées (OLPD), mis en con­sul­ta­ti­on fin juin après une longue ten­ta­ti­ve, dépas­se tel­lement l’ob­jec­tif fixé que les cri­ti­ques seront nombreu­ses lors de la con­sul­ta­ti­on. Le che­min vers l’en­trée en vigueur sem­ble plus long que jamais. Pres­que per­son­ne ne croit enco­re à une entrée en vigueur avant début 2023. 

C’est du déjà-vu : un pro­jet de régle­men­ta­ti­on éloi­g­né de la pra­tique qui sus­ci­te un lar­ge rejet de la part des ent­re­pri­ses. On se sent un peu com­me Bill Mur­ray qui, dans le film “Un jour sans fin”, revit sans ces­se la même jour­née. Dans le film, il éch­ap­pe fina­le­ment à la bou­cle tem­po­rel­le en s’e­xer­çant à l’hu­mi­li­té et en faisant le bien. On aimerait éga­le­ment appe­l­er le Con­seil fédé­ral (ou l’Of­fice fédé­ral de la justi­ce com­pé­tent) à se sou­ve­nir de ses anci­en­nes ver­tus lors de la révi­si­on du pro­jet d’ordonnance :

  • Réser­ve et respect de la loiL’or­don­nan­ce sur la pro­tec­tion des don­nées ne dev­rait rég­ler que les points pour les­quels la loi révi­sée sur la pro­tec­tion des don­nées pré­voit effec­ti­ve­ment des dis­po­si­ti­ons d’exé­cu­ti­on au niveau de l’or­don­nan­ce : En ce qui con­cer­ne les exi­gen­ces mini­ma­les en matiè­re de sécu­ri­té des don­nées, l’ob­li­ga­ti­on de tenir un regist­re des trai­te­ments, les moda­li­tés du droit d’ac­cès ain­si que cer­ta­ins aut­res points (dont beau­coup ne con­cer­nent tou­te­fois que les trai­te­ments de don­nées effec­tués par des orga­nes fédé­raux). Si l’a­vant-pro­jet veut par exemp­le instau­rer subi­te­ment un devoir d’in­for­ma­ti­on du sous-trai­tant (art. 13 AP-LPD), cela ne repo­se tout sim­ple­ment sur aucu­ne base légale.
  • Sens des réa­li­tés: Le règle­ment ne dev­rait exi­ger des ent­re­pri­ses que ce qu’el­les peu­vent rai­sonnablem­ent satis­fai­re. Et pas seu­le­ment les grands grou­pes finan­ciè­re­ment puis­sants, mais aus­si les nombreu­ses ent­re­pri­ses de tail­le moy­enne. Les pre­scrip­ti­ons pro­po­sées en matiè­re de sécu­ri­té des don­nées (art. 2 AP-LPD) ne sont par exemp­le pas des exi­gen­ces mini­ma­les, com­me l’e­xi­ge en fait l’art. 8, al. 3, révi­sé LPD. Il s’a­git plutôt d’un lar­ge éven­tail d’ob­jec­tifs de pro­tec­tion ambi­ti­eux qui doi­vent être “att­eints”. Ce qui serait enco­re accep­ta­ble si leur vio­la­ti­on n’é­tait pas punis­sa­ble. Mais c’est le cas. Cela témoi­g­ne d’u­ne fai­ble pri­se de con­sci­ence de la dif­fi­cul­té de rem­plir en per­ma­nence tous ces objec­tifs de pro­tec­tion au vu des cyber­ris­ques actuels. Il serait uti­le de jeter un coup d’œil au RGPD : L’ar­tic­le 32 du RGPD con­ti­ent des dis­po­si­ti­ons rai­sonn­ables sur la sécu­ri­té des don­nées, qui pour­rai­ent être repri­ses pres­que tel­les quelles.
  • Le cou­ra­ge de lâcher pri­seLes règles de l’or­don­nan­ce actu­el­le n’ont pas beso­in d’êt­re mises à jour lorsqu’el­les sont dépas­sées : Par exemp­le, le règle­ment de trai­te­ment (art. 4 AP-LPD). La loi révi­sée sur la pro­tec­tion des don­nées reprend l’en­sem­ble des nombreu­ses obli­ga­ti­ons de docu­men­ta­ti­on du RGPD – de la liste des trai­te­ments à l’ana­ly­se d’im­pact sur la pro­tec­tion des don­nées. Il est absur­de d’e­xi­ger en plus des ent­re­pri­ses sui­s­ses une quel­con­que régle­men­ta­ti­on hel­vé­tique. Les ent­re­pri­ses en Sui­s­se ne dev­rai­ent pas avoir à gérer plus de docu­men­ta­ti­on que les ent­re­pri­ses de l’EEE. Il est temps de lais­ser tom­ber les par­ti­cu­la­ri­tés suisses.

Le pro­jet de règle­ment ficel­le un paquet régle­men­tai­re qui, à de nombreux end­roits, va enco­re plus loin que les exi­gen­ces du RGPD. Il igno­re le fait que l’in­ten­ti­on décla­rée du légis­la­teur était d’é­vi­ter de tel­les “fini­ti­ons sui­s­ses”. Et fait géné­reu­se­ment abstrac­tion du fait que les dis­po­si­ti­ons du règle­ment néces­si­tent en fait une base léga­le. Il s’a­git main­tenant de cor­ri­ger cela. Le pro­jet d’or­don­nan­ce est une une occa­si­on man­quée. Mais c’est aus­si une chan­ce de fai­re mieux au deu­xiè­me essai.

Mat­thi­as Glatt­haar est responsable de la pro­tec­tion des don­nées et char­gé de la pro­tec­tion des don­nées à la Fédé­ra­ti­on des coopé­ra­ti­ves Migros. Il don­ne son avis personnel.