Le projet de révision de l’OLPD : une occasion manquée

FR DE EN

David Vasella

sur le site

17.07.2021

Branches

Autorité

Lois

DSV

Thèmes

Révision de la LPD

Vente à emporter (AI)

Le contenu de la P‑LPD est imprécis, inutilement restrictif et dépasse en partie la base légale, ce qui fait que des obligations pertinentes pour la pratique se retrouvent au niveau de l’ordonnance.
En de nombreux endroits, de nouvelles obligations en matière de documentation et d’information sont introduites (p. ex. règlements, délais de conservation), qui nécessitent des dispositions législatives plutôt que des décrets.

Généralités

Le 23 juin 2021, le Publication du projet de révision totale de l’ordonnance relative à la LPD (P‑LPD). Après lecture, on ne peut qu’être déçu : Le ou les E‑VDSG (Version en ligne) est une occasion manquée.

Comme l’avait déjà Avant-projet de LPD (AP-LPD), elle est imprécise quant à son contenu et souvent inutilement restrictive. C’est le cas pour le Rapport explicatif encore plus. Il laisse des questions essentielles en suspens et semble globalement irréfléchi. Au lieu de justifier des propositions de réglementation sur le fond, le rapport fait souvent référence à l’enfant de 13 ans. Commentaire de l’OFJ vers actuelle OLPD et reprend des réglementations de l’actuelle OLPD, vieille de bientôt 20 ans, sans se demander si ces réglementations sont encore utiles ou si elles l’ont jamais été.

Il est également frappant de constater à quel point le langage du rapport est peu soigné, du moins dans la version allemande (“telefonisches Setting”), et à quel point certaines déclarations sont superficielles (“Ainsi, dans un hôpital, où des données personnelles sensibles sont régulièrement traitées, les exigences sont en général plus élevées que pour le traitement de données de clients ou de fournisseurs dans une boulangerie ou une boucherie”).. On trouve également des erreurs grammaticales dans l’E-VDSG.

La raison est sans doute la même que pour l’AP-LPD : la pression du temps et le manque de ressources, ainsi qu’un certain découragement face à la grande complexité du domaine. Cela est toutefois moins compréhensible dans le cas du P‑LPD que peut-être encore dans celui de l’AP-LPD. La LPD révisée (revDSG) a été le résultat d’un long processus politique au cours duquel deux camps se sont essentiellement affrontés : le camp le plus favorable à la réglementation et le plus proche de la protection des consommateurs, qui souhaitait davantage de RGPD, et le camp le plus orienté vers les citoyens et les entreprises, qui exigeait des règles plus ouvertes et une plus grande praticabilité. Le résultat de longues discussions a été un compromis. On ne voit guère de respect pour ce processus dans le P‑LPD, lorsqu’il veut même ressusciter une réglementation qui se trouvait dans l’AP-LPD, mais qui n’avait pas survécu à la consultation de l’AP-LPD.

Le manque de sensibilité pour les processus politiques se manifeste également ailleurs, pour des dispositions qui devraient être réglées par une loi formelle. L’OLPD est une ordonnance dépendante. Elle nécessite une base dans la loi ; sans une telle délégation, le Conseil fédéral reste certes autorisé à préciser les dispositions de la loi (art. 182, al. 2, Cst.), mais il ne peut alors que “préciser les dispositions de la loi fédérale concernée par des prescriptions détaillées et contribuer ainsi à améliorer l’applicabilité de la loi”. (ATF 141 II 169). On a l’impression que ce cadre a été dépassé dans le cas du P‑LPD. C’est particulièrement vrai pour les règles suivantes, qui ne sont pas des dispositions détaillées, mais dont l’importance est équivalente à celle des dispositions contenues dans la LPD révisée :

Règlement de traitement des personnes privées: art. 4 ; certes, cela est systématiquement réglé dans la sécurité des données, mais le règlement n’est pas une mesure de sécurité des données, il y renvoie entre autres. Art. 8, al. 3, révLPD (“Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données”) ne porte donc pas l’obligation des particuliers de tenir un règlement de traitement ;
Information lors de la communication de données personnellesArt. 15 et 16 ; l’obligation d’informer les destinataires de l’actualité, de la fiabilité et de l’exhaustivité des données personnelles communiquées et de leur rectification, suppression, etc. n’a pas de base dans la LPD révisée, ni pour les particuliers ni pour les organes fédéraux, mais serait incisive dans sa mise en œuvre (l’obligation d’informer de l’art. 16 est la disposition déjà évoquée qui se trouvait dans l’AP-LPD, mais qui n’a pas été reprise dans la LPD révisée ; l’inclure maintenant dans l’ordonnance est, espérons-le, un oubli) ;
Obligations en matière de documentationL’obligation de tenir et de conserver des documents peut s’avérer extrêmement coûteuse sur le plan opérationnel. Dans la LPD révisée, de telles obligations font largement défaut, et ce à dessein : le message précisait “au lieu d’une obligation générale de documentation, une disposition relative à un registre des activités de traitement a été insérée. La consultation a montré qu’une obligation générale de documentation n’était pas suffisamment définie”.. Le législateur avait donc décidé de régler certaines obligations de documentation dans la loi, mais de renoncer – délibérément – à d’autres. Le P‑LPD prévoit plusieurs obligations de ce type (p. ex. en cas de violation de la sécurité, art. 19, al. 5 ; motifs de limitation des droits des personnes concernées, art. 20, al. 5 ; conservation des analyses d’impact sur la protection des données pendant deux ans, art. 18, al. 5 ; conservation des logs système pendant deux ans, art. 3, al. 4 ; conservation de la documentation relative aux violations de la sécurité pendant trois ans, art. 19, al. 5) qui, ensemble, ont un poids qui appelle une réglementation légale.

La consultation dure jusqu’au 14 octobre 2021. De larges cercles participeront à la consultation. Il ne s’agira pas seulement d’apporter des améliorations et des précisions au règlement, mais aussi et surtout de respecter dans le règlement l’équilibre trouvé dans la révision de la LPD et de tenir compte du fait que de nombreuses entreprises sont avancées dans leur préparation à la révision de la LPD. Maintenant, après un long travail de préparation et de nombreux reports, introduire de nouvelles obligations surprenantes montre un manque de compréhension pour les efforts de nombreuses entreprises qui s’efforcent sérieusement de protéger les données. Cela ne renforcera certainement pas l’acceptation de la protection des données.

Remarques sur les dispositions sélectionnées

Sécurité des données

Art. 1 – Principes

Adéquation des mesuresIl ne s’agit pas seulement des coûts de mise en œuvre, mais aussi des dépenses de mise en œuvre en général (il peut s’agir de dépenses en personnel qui ne sont pas uniquement imputables à la mise en œuvre concrète, mais aussi de dépenses en temps et en organisation). Le rapport explicatif est très restrictif à ce sujet (p. 16) : Un responsable du traitement ou un sous-traitant n’est pas libre de mettre en place une sécurité des données moins qu’adéquate en raison de coûts excessifs ; ils ne peuvent choisir que la mesure la plus avantageuse parmi plusieurs mesures adéquates. C’est déjà logiquement faux : si le caractère adéquat est également déterminé en fonction des coûts de mise en œuvre, le responsable ne se soustrait pas au caractère adéquat pour des raisons de coûts, mais il le détermine en fonction des coûts. Sinon, la référence aux coûts de mise en œuvre serait également sans objet, car il va de soi que le responsable peut choisir la mesure la plus avantageuse parmi celles qui sont appropriées.
Examen des mesuresLes mesures doivent être examinées non pas “à intervalles raisonnables”, mais “de manière appropriée”. Des intervalles impliquent une obligation de vérifier les mesures prises, pour laquelle seules les circonstances temporelles sont discutables. Mais on peut déjà se demander si les mesures doivent être contrôlées, car souvent, ce ne sont pas les mesures qui doivent être contrôlées en premier lieu, mais les facteurs de risque – s’ils n’ont pas changé, les mesures ne doivent pas être contrôlées. C’est sans doute ce que l’on entend par là, mais il faudrait le préciser dans le texte de l’ordonnance.
Punissabilité: Une violation des exigences minimales est punissable en vertu de l’article 61 de la loi révisée sur la protection des données si elle est intentionnelle. Pour être punissable, il faut non seulement qu’une mesure ait été sciemment omise, mais aussi que le responsable ait au moins accepté de ne pas atteindre le niveau de protection requis compte tenu des risques prévisibles. A cet égard, l’E-VDSG suit une approche au cas par cas, basée sur les risques. Il sera donc difficile, sauf dans des cas extrêmes, de justifier une violation intentionnelle de la sécurité des données. Une violation de l’obligation de vérifier les mesures ne peut pas non plus être punissable en soi ; tant qu’il n’est pas établi que l’on a ainsi sciemment accepté de ne pas prendre une mesure devenue concrètement nécessaire, il n’y a pas de violation de la sécurité des données.

Art. 2 – Objectifs de protection

Cette disposition n’est pas formulée de manière claire : Les mesures ne doivent pas atteindre les objectifs de protection atteignentmais de s’y efforcer. C’est ce qu’il faut entendre par “raisonnable”. Le rapport explicatif précise d’ailleurs (p. 16) que toute violation de la sécurité des données n’implique pas une violation des exigences minimales, car une sécurité absolue ne peut être exigée. – Le rapport explicatif précise en outre ce qu’il faut entendre par “état de la technique” (p. 16) : L’état actuel, c’est-à-dire les mesures qui sont déjà disponibles et qui ont fait leurs preuves.
Les objectifs de protection ont été légèrement élargis afin de s’aligner sur le RGPD (rapport explicatif, p. 19).

Art. 3 – Procès-verbal

SignificationIl n’est pas clair tout d’abord si une violation de l’obligation de journalisation peut également constituer une violation de la sécurité des données, le cas échéant punissable. On peut répondre par l’affirmative, mais uniquement si la journalisation est effectivement nécessaire dans le cas particulier pour empêcher une violation de la sécurité des données.
Alinéas 1 et 2En d’autres termes, les opérations telles que le stockage, etc. ne doivent pas être enregistrées si elles ne présentent pas de risques résiduels élevés (sauf pour les organes fédéraux et leurs sous-traitants, qui doivent concevoir des systèmes leur permettant de satisfaire à cette obligation). En revanche, contrairement à ce que prévoit le texte, l’obligation de consigner les données devrait également exister lorsque la DSFA a été omise mais qu’il existe néanmoins un risque élevé.
al. 3L’identité du destinataire ne désigne pas la personne qui accède, mais l’organisation à laquelle elle appartient ou sous les ordres de laquelle elle agit.
al. 4La limitation dure de la finalité des protocoles, même si elle se trouve aujourd’hui à l’article 10 OLPD, est erronée. Elle est en contradiction avec le principe de finalité, qui se rattache aux objectifs fixés de manière transparente par le responsable. Si elle l’avait été, elle aurait dû être inscrite au niveau de la loi. Rien ne s’oppose toutefois à ce qu’un responsable exploite des logs, par exemple à des fins d’analyse, s’il le décrit dans la déclaration de protection des données. La réglementation relative à la limitation de l’accès est également erronée sous cette forme ; la conservation des logs est une question de proportionnalité et de sécurité des données et exige une mise en balance.

Art. 4 – Règlement de traitement des personnes privées

Obligation en cas de risques élevésIl est difficile de comprendre que l’OFJ veuille prévoir l’obligation de tenir un règlement de traitement pour le traitement privé. Selon le message (voir ci-dessus), le registre des traitements, dont le contenu se recoupe avec celui du règlement, suffit à la documentation. Le rapport explicatif dit à ce sujet qu’il est possible de “copier” ces informations à partir du registre de traitement. Ce ne sera pas si simple sur le plan opérationnel, et on pourrait bien sûr combiner le registre des traitements avec le règlement, ou saisir séparément les indications supplémentaires dans le règlement et renvoyer au registre pour le reste, ou encore renvoyer uniquement aux instructions de process existantes et au registre des traitements ainsi qu’à une analyse d’impact sur la protection des données, voire à une déclaration de protection des données dans laquelle se trouvent les indications requises – l’unité d’acte ne peut pas plus s’appliquer qu’au registre des traitements. – Le rapport explicatif contient d’autres indications sur le contenu minimal.
Avec le règlement de traitement, le législateur s’accommode également du fait que les personnes concernées tenteront d’accéder au règlement de traitement par le biais d’une demande de renseignements avant ou en dehors de la procédure. Pour ce faire, les personnes concernées s’appuieront sur la clause générale du droit d’accès, qui – en combinaison avec la disposition pénale de l’art. 62 LPD révisée – est hautement problématique du point de vue de l’Etat de droit.
Absence de base légaleOn a tenté ici de transférer l’actuel art. 11 OLPD dans la nouvelle OLPD, mais sans nécessité et avec un Swiss Finish peu esthétique (le RGPD ne connaît pas une telle obligation). L’OFJ ne semble pas avoir pris conscience de la charge de travail qu’il génère ainsi pour les grandes organisations. De plus, le législateur a délibérément remplacé l’obligation de déclarer les fichiers dans la LPD révisée par l’obligation de tenir un registre des traitements. Il ne fallait donc pas s’attendre à ce que l’élément de traitement pour les responsables de traitement privés – qui est aujourd’hui lié à l’obligation de déclarer un fichier – soit repris dans la nouvelle OLPD. Une telle réglementation aurait dû figurer dans la loi dans son ensemble, comme nous l’avons déjà mentionné plus haut.
Risque élevéEn tout état de cause, l’obligation de tenir un règlement de traitement ne s’appliquerait qu’en cas de traitement à grande échelle de données personnelles sensibles ou de profilage à haut risque. Mais si une analyse d’impact sur la protection des données révèle qu’un tel traitement n’entraîne effectivement pas (ou plus) de risque élevé en raison des mesures prises par le responsable, l’obligation de tenir un élément de traitement doit logiquement être supprimée (à ce propos ici).
Conseiller à la protection des données: L’alinéa 3 donne l’impression qu’un conseiller à la protection des données doit toujours être désigné. Or, cela est facultatif pour les personnes privées (contrairement aux organes fédéraux ; art. 27 P‑LPD), et ce même dans les cas où le projet prévoit la tenue d’un règlement de traitement. Et qu’est-ce qui est “sous une forme compréhensible pour celui-ci”? Cela signifie-t-il que les particuliers sans conseiller à la protection des données peuvent aussi gérer des règlements incompréhensibles ?

Art. 5 – Règlement de traitement des organes fédéraux

Les remarques ci-dessus s’appliquent, d’autant plus que les organes fédéraux doivent également tenir un registre des traitements (art. 12 révLPD). En tout état de cause, l’obligation de tenir un règlement pour tous les profilages est également trop large – il est reconnu que les profilages sont souvent inoffensifs en raison de l’étendue de la notion de profilage. En outre, les autres variantes de l’infraction, à savoir la mise à disposition de données personnelles et la mise en relation de bases de données, ne sont pas claires. La notion de mise en relation n’apparaît nulle part dans la loi, sauf dans la définition du profilage à haut risque, mais là il s’agit d’autre chose, et la notion de “fichiers de données” est également nouvelle – selon le rapport explicatif, il s’agit des fichiers de données (p. 23), une notion qui reste floue. Au moins, il est clair que la mise en relation de Données pas encore celle de bases de données est

Traitement par le responsable du traitement des commandes

Art. 6 – Modalités

Alinéa 1Le responsable ne peut jamais garantir que les données sont traitées conformément au contrat et à la loi – il peut seulement y veiller. Cela joue un rôle, car le responsable reste responsable en matière de protection des données, mais en droit civil, il n’est responsable qu’en cas de faute (selon l’art. 41 CO) et non pas de manière causale.
al. 3 va à l’encontre du souci général de ne pas saper la numérisation par des exigences de forme. Une autorisation sous forme de texte devrait suffire, ce qui devrait être précisé (l’exigence de la forme écrite est tirée du rapport explicatif de la Directive 2018/680(où il est toutefois question d’une preuve textuelle). En outre, il devrait être clair qu’un organe fédéral peut également délivrer une autorisation générale sous réserve d’opposition, comme cela est également possible en vertu du RGPD (et également en vertu de la directive mentionnée).

Art. 7 – Information au conseiller à la protection des données de l’organe fédéral

Cette disposition est malencontreuse. D’une part, elle suppose que le recours à un sous-traitant comporte en principe des risques, ce qui n’est pas le cas (malgré l’affirmation contraire dans le rapport explicatif). D’autre part, elle exige que le conseiller à la protection des données soit informé, “lorsque des problèmes surviennent dans le respect des dispositions légales ou contractuelles relatives à la protection des données”.. Ce n’est pas beau sur le plan linguistique, mais aussi sur le plan du contenu. Que sont les “problèmes” ? Cette réglementation est de toute façon inutile, car l’art. 10, al. 2, let. b, révLPD (qui s’applique également aux conseillers d’un organe fédéral) prévoit déjà que le conseiller participe à l’application du droit de la protection des données.

Communication de données personnelles à l’étranger

Art. 9 – Clauses de protection des données et garanties spécifiques

Les prescriptions relatives au contenu des clauses de protection des données – c’est-à-dire les contrats qui légitiment une communication dans un Etat ne disposant pas d’un niveau de protection adéquat, mais qui ne sont pas reconnus par le PFPDT – sont formulées de manière imprécise. La let. g est en outre erronée ; il ne s’agit pas de “légitimés à traiter les données”. destinataires, mais simplement des destinataires. En outre, il ne peut pas être question que les destinataires informent la personne concernée, du moins pas si l’exportateur a été informé du traitement par les destinataires ou si le destinataire est un sous-traitant.

Art. 10 – Clauses standard de protection des données

Cette disposition (l’exportateur prend des mesures raisonnables pour s’assurer que l’importateur respecte les clauses) a été remplacée par le nouvelles clauses contractuelles types est devenu superflu (voir les clauses 14 et 15). Et encore une fois, l’exportateur ne peut pas, en principe, s’assurer que le destinataire respecte les clauses ; il peut seulement l’exiger et vérifier, dans le cadre de la clause 14 des nouvelles clauses contractuelles types, si le droit local s’oppose au respect. Le rapport explicatif prévoit également que le destinataire doit être obligé, “la législation suisse en matière de protection des données” de respecter la loi. C’est faux ; il doit respecter les clauses standard, pas le droit suisse. De même, l’art. 6, al. 2, P‑ODSG exige uniquement que le sous-traitant respecte des dispositions “équivalentes”.

Obligations du responsable du traitement et du sous-traitant

Art. 13 – Modalités des obligations d’information

Alinéa 1: Ici, on se frotte les yeux : le responsable du traitement des commandes a un devoir d’information ? Ce ne peut être qu’un oubli. Pourtant, le rapport explicatif dit aussi “l’obligation d’information du responsable du traitement et du sous-traitant est inscrite à l’article 19 nLPD”.. Elle ne l’est pas (“Le responsable informe la personne concernée…”); on n’a pas lu ? Une obligation d’information propre à la personne chargée du traitement des commandes serait absurde et irait à l’encontre de son obligation de donner des instructions.
Mise en œuvre de l’obligation d’information:
- Le contenu de la réglementation est tout aussi regrettable, mais il ne s’agit probablement pas d’un oubli. L’obligation d’information est sans doute l’obligation la plus difficile à mettre en œuvre pour le responsable. Dans un environnement purement en ligne, elle peut être facile à remplir (si l’on pense à la clause générale de l’obligation d’information), mais qu’en est-il de l’information des personnes avec lesquelles on ne traite que par écrit ?
- Voici le Visite raisonnable d’un site web. Le fait que tout le monde ne dispose pas d’un accès à Internet n’est pas un contre-argument, sinon les déclarations de protection des données devraient également être publiées en braille. L’OFJ aurait donc dû préciser dans l’ordonnance qu’il est possible d’informer efficacement via un site web, du moins si la personne concernée connaît l’identité du responsable et si l’information peut être facilement trouvée sur son site web. Des propositions de réglementation en ce sens ont été soumises à l’OFJ. Dans ce contexte, il aurait fallu préciser davantage qu’une référence à un site web n’est peut-être pas toujours nécessaire, mais qu’il suffit en tout cas de renvoyer à une déclaration de protection des données, même sans fournir certaines informations de base (“informations de base”) déjà dans la source du renvoi (par exemple par un lien dans les conditions générales).
- Tout cela manque dans le P‑LPD, et dans le rapport explicatif, un examen sérieux de ces questions. La réglementation proposée à l’art. 13, al. 1, ne peut être qualifiée que de commode – elle passe complètement à côté du problème, elle est imprécise, elle entraîne une insécurité juridique, elle est superflue sous cette forme et elle s’inspire de considérations relevant du droit des conditions générales, sans que l’on se soit seulement demandé si ces considérations étaient transposables. Au lieu de cela, le rapport explicatif écrit “… lors du choix du mode d’information, le responsable du traitement ou le sous-traitant doit veiller à ce que la personne concernée reçoive toujours les informations les plus importantes au premier niveau de communication”. Qu’est-ce que cela signifie ? Est-ce que cela signifie les Informations de base après le RGPD ? On ne peut que spéculer et continuer à lire, “il peut y avoir une bonne pratique en la matière” (?), “que toutes les informations essentielles soient disponibles en un coup d’œil”.. Est-ce une obligation pour la table des matières ? Il est urgent de préciser ici qu’il suffit de renvoyer à un site web, par exemple à partir des CGV, sans informations supplémentaires et sans code QR.
- Et à la fin, le rapport explicatif écrit encore “Est-ce que la communication a lieu dans un setting téléphonique a lieu, les informations peuvent être communiquées oralement par une personne physique et éventuellement complétées par un lien vers un site web”. Un “setting” téléphonique ? Et encore : “Dans le cas d’informations enregistrées, la personne concernée doit avoir la possibilité d’écouter des informations plus détaillées”. Qui veut s’infliger cela après 30 minutes d’attente, et surtout : comment l’OFJ en arrive-t-il à cette conclusion, quelle est la nature juridique de l’obligation d’informer, quel est le modèle des personnes concernées, quelles sont les réflexions de praticabilité qu’il mène ? On n’en apprend rien.
Alinéa 2Que signifie “lisible par une machine” pour les pictogrammes ? Il suffit probablement que le texte explicatif des icônes puisse être lu à haute voix par un lecteur d’écran ou que l’exploitant du site web insère une explication à côté des pictogrammes, par exemple sous forme de texte alternatif (<img src=“xyz.jpg” alt=“Texte explicatif”>). Mais cela n’est probablement pas possible si les icônes sont intégrées en tant que police de caractères. Le rapport explicatif dit seulement à ce sujet “[…] le logiciel utilisé doit pouvoir identifier, reconnaître et extraire facilement les informations présentes dans de tels formats”. Cela ne rend pas les choses plus claires. Et “Cela permet notamment de comparer différents documents et, de manière générale, d’automatiser quelque peu les choses”. Est-ce que “de manière générale, une certaine automatisation” est une préoccupation en matière de protection des données ?

Art. 14 – Devoir d’information des organes fédéraux lors de la collecte systématique de données personnelles

Cette exigence est connue du RGPD et correspond à l’actuel art. 14 OLPD. Une telle obligation d’information ne devrait toutefois pas s’appliquer s’il ressort clairement des circonstances qu’une information (c’est-à-dire une communication de données personnelles) est facultative. Lorsqu’un assureur-maladie réalise une enquête de satisfaction, une telle indication ne devrait pas être nécessaire, par exemple.

Art. 15 – Information lors de la communication de données personnelles

Cette obligation constitue également un Swiss Finish. Une telle obligation ne peut à mon avis pas être réglée au niveau de l’ordonnance ; elle est trop radicale dans sa mise en œuvre. Elle est également superflue. En fin de compte, il appartient aux responsables de garantir le respect des principes de protection des données. Cela peut exiger une indication de l’actualité, etc. des données personnelles, mais pas dans tous les cas. Une obligation stricte de fournir une telle information ne sera tout simplement pas appliquée et ne pourra pas l’être.
Et là encore, le sous-traitant est obligé de communiquer des informations qu’il ne possède pas. Il s’agit probablement de la même erreur que pour l’article 13.
On s’est inspiré ici de la directive Schengen, mais il n’y a pas de raison d’étendre de telles obligations aux agents privés.

Art. 16 – Information sur la rectification, l’effacement ou la destruction ainsi que sur la limitation du traitement des données personnelles

Sur ce point, l’OFJ a la mémoire trop courte. L’obligation d’informer les destinataires de la rectification, de l’effacement ou de la destruction de données personnelles figurait déjà dans la loi sur la protection des données. Art. 19 let. b de l’avant-projet de LPD (“Vous informez les […] destinataires […] de toute rectification, suppression ou destruction […], de toute violation de la protection des données ainsi que de toute limitation du traitement […], à moins qu’une telle communication ne soit impossible ou ne nécessite des efforts disproportionnés”). Cette proposition n’avait pas survécu à la consultation. Et voilà que la même obligation ressusciterait dans l’ordonnance ? Le rapport explicatif ne mentionne même pas cette proposition de l’AP-LPD.
Et ce n’est pas tout : l’expéditeur doit maintenant informer le destinataire d’une limitation du traitement. Cela ressemble au droit de la personne concernée à la limitation du traitement selon le RGPD (article 18). La loi révisée sur la protection des données ne connaît pas du tout un tel droit des personnes concernées.

Art. 17 – Réexamen d’une décision individuelle automatisée

Inutiles, mais sans doute inoffensifs. Aucun responsable ne fera preuve de discrimination à l’égard de quelqu’un parce qu’il demande une révision de la décision. Toutefois, il n’y a pas de discrimination dans le fait qu’un responsable se défende lorsqu’une personne concernée n’est pas d’accord avec le réexamen. Cela peut aller jusqu’à la résiliation d’un contrat – elle est légitime si la personne concernée rend impossible la poursuite du contrat par son propre comportement (mot-clé : névrose de désir).

Art. 18 – Forme et conservation de l’analyse d’impact relative à la protection des données

“Par écrit” doit ici signifier “preuve par un texte” – le rapport explicatif le dit, mais il faudrait le préciser dans le texte de l’ordonnance, si l’on pense à l’arrêt Helsana du TAF.
La durée de conservation de deux ans est justifiée par le fait qu’il s’agit d’un instrument central de la législation sur la protection des données et qu’il peut être important, en particulier, lors de l’examen de violations de la sécurité des données ou de l’évaluation de la punissabilité d’un comportement. Le responsable doit donc conserver une DSFA notamment parce qu’elle peut servir d’indice de l’accusation dans une enquête si, après la DSFA, une mesure de sécurité a été omise (donc probablement une mesure décrite dans la DSFA). D’une part, le fait qu’une mesure de sécurité prévue ait été intégrée dans un DSFA ne signifie pas qu’elle était nécessaire au sens de la loi et, d’autre part, le fait de ne pas conserver un DSFA n’est pas punissable. Le responsable du traitement est donc incité à ne pas conserver un DSFA s’il n’est pas sûr de lui. Cela est particulièrement vrai dans le contexte de l’interprétation restrictive du principe nemo-tenetur pour les personnes morales en ce qui concerne les documents soumis à une période de conservation (ATF 142 IV 207 E. 8.3.3.).
Le rapport explicatif indique en outre, en se référant aux organes fédéraux, qu’ ”il peut arriver, en raison de la permanence de certaines bases juridiques, qu’une analyse d’impact relative à la protection des données doive être conservée pendant une très longue période (p. ex. plusieurs décennies)”. Il n’est pas clair quelle base juridique l’OFJ a en vue ici, le rapport explicatif ne dit rien à ce sujet.

Art. 19 – Notification des violations de la sécurité des données

Alinéa 1L’étendue des informations à communiquer au PFPDT en cas de violation de la sécurité s’inspire du RGPD, mais s’en écarte : selon le P‑ODP, il faut également indiquer la date et la durée de la violation, ce que le RGPD n’exige pas (même si le responsable inclura ces informations ne serait-ce que pour prouver que la notification a été faite en temps utile). La raison pour laquelle le texte du RGPD n’a pas été simplement repris n’est pas claire.
Alinéa 2Cela correspond dans une large mesure aux prescriptions du RGPD, sauf que l’E-ODP exige en plus l’indication de l’identité de la personne concernée. “Type de blessure” est exigée. Un responsable le fera de toute façon.
al. 5Une nouvelle obligation de documentation est introduite ici, sans que l’on sache clairement à quoi elle sert (si ce n’est à faciliter une enquête du PFPDT). Dans l’ensemble, on peut en conclure qu’il s’agit ici de se conformer au RGPD. En tout état de cause, il ressort de la systématique que seules les violations qui déclenchent une obligation de notification au PFPDT doivent être documentées, et non les violations inférieures au seuil de notification. Ce qui n’est pas écrit, mais qui est clair et devrait néanmoins être précisé : L’obligation de documentation ne couvre que les faits connus. Le responsable n’est pas tenu d’effectuer des recherches supplémentaires uniquement pour satisfaire à l’obligation de documentation (il ne doit et ne peut notamment pas “tous les faits liés aux incidents”. de l’information.
La durée de conservation de trois ans semble quelque peu arbitraire. Deux ans auraient certainement suffi.

Droits de la personne concernée

Art. 20 – Modalités

Alinéa 1Le contenu de cette disposition ne pose pas de problème, mais elle est imprécise. La demande de renseignements peut bien entendu toujours être faite oralement, sauf que le responsable n’est pas tenu de réagir en cas de demande orale.
Alinéa 2Comme aujourd’hui, un droit de regard suppose que les deux parties – le responsable et la personne concernée – soient d’accord avec cette modalité.
al. 3La question de savoir si l’information est compréhensible pour la personne concernée dépend en premier lieu de l’horizon du destinataire. Le responsable doit bien entendu fournir les informations de manière à ce qu’une personne concernée moyenne puisse en faire quelque chose ; il n’est toutefois pas tenu de tenir compte des faiblesses particulières de la personne qui demande concrètement les informations. Si un enfant fait une demande d’information, il peut se faire expliquer le contenu par ses parents ou ses personnes de référence. En outre, le responsable n’est pas tenu de fournir, au titre de l’intelligibilité, des informations qui ne sont pas couvertes par le droit d’accès. Il faudra bien faire la distinction entre l’explication d’une information et les informations complémentaires.
al. 4Le responsable pourra, comme aujourd’hui, demander une copie d’une pièce d’identité.
al. 5Nouvelle obligation de documentation à la manière du RGPD – voir ci-dessus. Le responsable est en effet tenu d’indiquer les motifs d’un refus, d’une limitation ou d’un report de l’accès (art. 26, al. 4, LPD révisée). Si ces indications ne suffisent pas à la personne concernée, elle peut demander l’accès en justice ; lors du procès, la charge de la preuve des motifs de la limitation, etc. incombe au responsable. Il est donc dans son intérêt de se documenter en conséquence – une obligation légale n’est pas nécessaire. Et le délai de conservation semble à nouveau choisi arbitrairement.

Art. 21 – Compétence

Alinéa 1Il n’est pas surprenant que la personne concernée puisse demander des informations à chaque responsable en cas de responsabilité conjointe. Si l’autre responsable fournit néanmoins l’information, l’obligation d’information du responsable demandé est remplie ; la fourniture de l’information n’est pas hostile à la représentation.
al. 3Cette disposition est superflue. Il appartient de toute façon au responsable de s’assurer de sa capacité à fournir des informations.

Art. 22 – Délai

Alinéa 1Si la demande d’accès ne précise pas de quelles données il s’agit pour la personne concernée et que le responsable demande des précisions, le délai ne commence à courir qu’à partir de ces précisions.

Art. 23 – Exceptions à la gratuité

Alinéas 1 et 2La question de la participation aux frais est liée aux fréquentes demandes abusives d’informations : Lorsqu’une demande d’accès n’est pas faite à des fins de protection des données, mais à d’autres fins, et que l’intérêt de la personne concernée à obtenir des informations est faible, mais que la charge de travail du responsable est en même temps élevée, ce dernier doit avoir la possibilité, conformément aux principes généraux, d’invoquer le déséquilibre flagrant des intérêts en tant que cas d’abus de droit (il est reconnu que ce cas de figure peut relever de l’abus de droit, tout comme l’exercice contraire au but poursuivi, dont il est plus souvent question). Or, une participation aux frais de 300 CHF est si faible qu’elle ne tient aucunement compte de l’opposition des intérêts. Si cette participation aux frais n’est pas substantiellement augmentée (au moins décuplée), cela doit donc être considéré comme un indice que l’invocation de la disproportion flagrante des intérêts n’est pas seulement possible dans de rares cas exceptionnels. En d’autres termes, cela signifie que : Si le responsable s’en tient à une participation aux frais de 300 CHF, même en cas de dépenses beaucoup plus élevées, il peut à plus forte raison invoquer la disproportion des intérêts.
al. 3: dans ces cas, le délai d’information de 30 jours ne commence à courir qu’à l’expiration du délai de retrait ; il faudrait le préciser.

Art. 25 – Conseiller à la protection des données

Alinéa 1Le conseiller à la protection des données ne doit pas assumer cette tâche ; il doit l’avoir. En d’autres termes, un conseiller à la protection des données défaillant n’a pas pour conséquence qu’un responsable privé ne peut plus se prévaloir de l’exception à l’obligation de notification en cas d’analyse d’impact prévue à l’art. 23, al. 4, nLPD. Cela résulte non seulement de l’art. 25, al. 1, let. b, P‑LPD, mais aussi du fait que la désignation du conseiller est facultative pour les particuliers et peut être limitée en conséquence à certains traitements ou domaines. Un conseiller défaillant n’a pas non plus pour conséquence qu’un organe fédéral n’aurait pas respecté l’obligation de désignation. Cela ne serait le cas que si l’organe fédéral empêchait le conseiller d’accomplir ses tâches ou ne créait pas les conditions nécessaires à cet effet.
Le conseiller n’est pas tenu d’examiner chaque traitement – l’approche basée sur les risques s’applique ici. En outre, l’indépendance du conseiller implique qu’il fixe ses propres priorités.

Art. 26 – Dérogation à l’obligation de tenir un registre des activités de traitement

Selon l’art. 12, al. 5, de la loi révisée sur la protection des données, le Conseil fédéral doit prévoir des exceptions à l’obligation de tenir un registre des traitements pour les entreprises qui emploient moins de 250 personnes et dont le traitement des données nécessite un “.faible risque“de l’entreprise. Selon l’article 26 du règlement, un risque faible signifie que ni “traite un grand nombre de données personnelles sensibles”. seront encore “a effectué un profilage à haut risque” est faible. Tous les autres traitements comportent donc un risque faible. On s’en souviendra lors des analyses d’impact en matière de protection des données, d’autant plus que le rapport explicatif renvoie encore expressément à la notion de risque dans les analyses d’impact (p. 11 s.). En conclusion, l’art. 26 P‑LPD doit être appliqué en tant que concrétisation de l’art. 22, al. 2, révLPD.

Dispositions particulières relatives au traitement des données par les organes fédéraux

Art. 27 – 30

On s’appuie ici sur le RGPD. Les exigences posées aux conseillers sont ici réglées au niveau de l’ordonnance, alors que celles posées aux responsables privés sont presque identiques dans la loi (art. 10) – ce qui n’est pas très esthétique du point de vue de la systématique, mais qui est ainsi conçu dans la loi révisée sur la protection des données.

Art. 31 – 32

Ces dispositions devraient encore donner lieu à des discussions. Pour les activités de traitement automatisé, les organes fédéraux doivent d’abord – lors de la “planification” – informer le conseiller afin que “tient compte immédiatement des exigences de la protection des données”. être mis en place. Ce que signifie “immédiatement” n’est pas précisé ; cela signifie seulement que la protection des données doit être prise en compte à temps dans le sens du Privacy by Design. Le conseiller doit également être informé à la “fin” du projet, sans que l’on sache toutefois clairement à quoi sert cette information et ce qu’il faut entendre par fin du projet.
Lors de la planification, le conseiller est donc informé. Ensuite, lors de la “validation” du projet ou de la “décision de développement du projet”, le PFPDT doit être informé. Aucune de ces étapes n’est toutefois claire. Il aurait suffi d’exiger une information “en temps utile” au conseiller et une information du PFPDT “avant le début du traitement” (si tant est qu’il y en ait une).
Art. 32 : il convient de tenir compte de la disposition transitoire de l’art. 47.

Préposé fédéral à la protection des données et à la transparence

Art. 45 – Taxes

Selon l’art. 59 revLPD, le PFPDT perçoit des émoluments pour des activités telles que la prise de position sur un code de conduite, la consultation sur la base d’une analyse d’impact relative à la protection des données (ce qui a encore plus pour conséquence que le risque résiduel n’est pas élevé), les mesures préventives et les mesures selon l’art. 51 ( !!) et les conseils. Le taux se situe désormais entre 150 et 350 CHF selon les cas. Il convient de tenir compte de l’OGEmol. Entre autres, la personne assujettie à l’émolument doit être informée à l’avance de l’émolument probable si la dépense est exceptionnelle. Cela devrait également s’appliquer aux mesures provisionnelles selon l’article 51 de la loi révisée sur la protection des données…

Le pro­jet de révi­si­on de l’OLPD : une occa­si­on manquée

Géné­ra­li­tés

Remar­ques sur les dis­po­si­ti­ons sélectionnées

Sécu­ri­té des données

Art. 1 – Principes

Art. 2 – Objec­tifs de protection

Art. 3 – Procès-verbal

Art. 4 – Règle­ment de trai­te­ment des per­son­nes privées

Art. 5 – Règle­ment de trai­te­ment des orga­nes fédéraux

Trai­te­ment par le responsable du trai­te­ment des commandes

Art. 6 – Modalités

Art. 7 – Infor­ma­ti­on au con­seil­ler à la pro­tec­tion des don­nées de l’or­ga­ne fédéral

Com­mu­ni­ca­ti­on de don­nées per­son­nel­les à l’étranger

Art. 9 – Clau­ses de pro­tec­tion des don­nées et garan­ties spécifiques

Art. 10 – Clau­ses stan­dard de pro­tec­tion des données

Obli­ga­ti­ons du responsable du trai­te­ment et du sous-traitant

Art. 13 – Moda­li­tés des obli­ga­ti­ons d’information

Art. 14 – Devoir d’in­for­ma­ti­on des orga­nes fédé­raux lors de la coll­ec­te sys­té­ma­tique de don­nées personnelles

Art. 15 – Infor­ma­ti­on lors de la com­mu­ni­ca­ti­on de don­nées personnelles

Art. 16 – Infor­ma­ti­on sur la rec­ti­fi­ca­ti­on, l’effa­ce­ment ou la des­truc­tion ain­si que sur la limi­ta­ti­on du trai­te­ment des don­nées personnelles

Art. 17 – Réex­amen d’u­ne décis­i­on indi­vi­du­el­le automatisée

Art. 18 – For­me et con­ser­va­ti­on de l’ana­ly­se d’im­pact rela­ti­ve à la pro­tec­tion des données

Art. 19 – Noti­fi­ca­ti­on des vio­la­ti­ons de la sécu­ri­té des données

Droits de la per­son­ne concernée