Révision de la loi fédérale sur la protection des données : que faut-il en attendre ?

Le 25 septembre 2020, les Chambres fédérales ont entériné la révision de la loi fédérale sur la protection des données, entamée le 15 septembre 2017. Etant donné le fait que les ordonnances d’application devront encore être mises en consultation, l’entrée en vigueur de cette nouvelle bouture ne devrait cependant pas intervenir avant le 1^er janvier 2022, ce qui laisse aux entreprises un délai d’environ une année pour assurer leur mise en conformité.

Rappelons que la Suisse n’étant pas membre de l’Union Européenne, le transfert des données personnelles de la Suisse vers un pays membre de l’Union Européenne ne peut avoir lieu sans sauvegarde particulière que moyennant la reconnaissance par la Commission Européenne du fait que la législation suisse garantit un niveau de protection adéquat (art. 45 RGPD), par quoi il faut entendre un niveau de protection peu ou prou équivalent à celui conféré désormais par le Règlement Général sur la Protection des données (RGPD).

De manière à garantir la compétitivité des entreprises suisses et permettre une libre circulation des données de la Suisse vers les pays membres de l’Union Européenne, le législateur s’est donc donné pour objectif de conférer à la nouvelle bouture de la loi un niveau suffisamment proche de celui du RGPD pour s’assurer que la Commission européenne continuera à y voir un niveau de protection adéquat.

C’est donc à l’aune du RGPD que cette révision a eu lieu. Que faut-il en retenir ?

• La nouvelle loi s’appliquera non seulement aux entreprises suisses, mais également aux entreprises sises à l’étranger qui « déploient des effets en Suisse » (art. 3), par quoi il faut à notre avis entendre des entreprises dont les activités ont également lieu en Suisse (y compris au travers du commerce électronique). En cette hypothèse, l’entreprise sise à l’étranger devra désigner un représentant en Suisse (art. 14). Ce faisant, le législateur suisse adopte ainsi le pendant du RGPD vis-à-vis des entreprises suisses (art. 3 al. 2 et 27 RGPD).

• Le responsable du traitement doit tenir un registre des fichiers (art. 12), reprenant en cela l’exigence d’inventaire posée par l’art. 30 RGPD.

• Le responsable du traitement peut désigner un conseiller à la protection des données (data protection officer, DPO), mais n’y est pas obligé (art. 10). Sur ce plan, le droit suisse se montre donc plus large et plus flexible que ne l’est le RGPD en ses art. 37 et 38, qui impose à certaines conditions une telle nomination.

• Tout recours à un sous-traitant doit donner lieu à un contrat ayant trait au traitement des données (art. 9), une situation comparable à celle visée à l’art. 28 RGPD, qui imposera dès lors que tout responsable s’interroge sur les clauses contractuelles existantes dans ses rapports avec ses sous-traitants, quitte à prévoir une annexe à ce sujet.

• Le responsable du traitement doit procéder à une analyse d’impact relative à la protection des données personnelles lorsque le traitement envisagé suscite un risque élevé pour la personnalité ou les droits fondamentaux de la ou des personne(s) concernée(s) (art. 22), une situation somme toute comparable à celle visée à l’art. 35 RGPD.

• Le responsable du traitement doit informer le Préposé fédéral de tout incident en matière de sécurité entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 24). Ce faisant, le droit suisse se rapproche du RGPD, sans réglementer cependant de façon aussi précise les obligations mises à la charge du responsable du traitement (art. 33-34 RGPD).

• Les droits des individus dont les données sont traitées et qui doivent être mise en œuvre par les responsables de traitement sont désormais étendus, en ce qui a trait aux : devoirs de transparence et d’information du responsable du traitement (art. 19), possibilité d’exiger la mise en œuvre d’une personne physique lors de toute décision automatisée reposant sur un traitement de données personnelles (art. 21), droit d’accès (art. 25-27), droit à la remise ou à la transmission des données personnelles (art. 28-29). Si le droit suisse se rapproche ici du RGPD, la granularité offerte est toutefois moindre que celle proposée aux art. 16 et suivants RGPD.

• Le Préposé fédéral disposera de pouvoirs élargis pour mener une enquête et prononcer des sanctions, dont la suspension du traitement concerné et le prononcé d’une amende pouvant aller jusqu’à CHF 250’000 francs en cas de violation intentionnelle des obligations mises à la charge du responsable concerné (art. 49-51, art. 60-63), étant précisé que la poursuite et le jugement des infractions incombent aux cantons (art. 65). A cet égard, le droit suisse va donc nettement moins loin que le RGPD, dont la violation est passible de sanctions pouvant aller jusqu’à € 20 millions ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (art. 83 RGPD).

Au final, si les entreprises suisses ayant d’ores et déjà fait le pas d’une mise en conformité aux exigences imposées par le RGPD n’auront guère d’efforts supplémentaires à accomplir pour se conformer à la nouvelle bouture de la loi fédérale sur la protection des données, il sera temps pour toutes les autres de s’intéresser de près à cette nouvelle réglementation qui, n’en doutons-pas, verra le Préposé fédéral exercer les nouvelles prérogatives qui lui sont conférées avec un zèle accru, en témoigne l’approche désormais suivie par les autorités européennes en la matière.

Sauf à vouloir prendre le risque de se voir amender ou, pire, suspendre tout traitement de données pouvant prétériter leur continuité opérationnelle, les entreprises suisses devront ainsi prendre les démarches pour se préparer. Elles ont un an pour le faire.