Longtemps après l’Union européenne, la Suisse a révisé en 2022 sa loi sur la protection des données. Elle entrera en vigueur le 1er septembre 2023. L’idée initiale étant de protéger davantage les utilisateurs contre des abus d’utilisation de leurs données personnelles. Ce faisant, la loi suisse, différente de celle de l’Europe, présente un réel stress pour les entrepreneurs notamment en cas de cyberattaque. Elle prévoit, dans certains cas, non seulement de pouvoir punir les entreprises, grandes ou petites, mais aussi leurs patrons ou leurs employés.
Là, il y a un gros «hic» car la loi suisse introduit la possibilité de poursuivre des personnes physiques. L’Europe avait bien pris garde à ne viser que les entreprises ou autres organisations, donc les personnes morales et surtout pas les personnes physiques.
Grosse différence!
Imaginez-vous qu’en Suisse, des informaticiens, des chefs d’entreprise vont devoir défendre leur intégrité professionnelle devant des tribunaux. C’est carrément contre-productif. Cette responsabilité va trop loin. En effet, songez un instant, à la situation où des hackers volent des données (et cela arrive plusieurs fois par jour en Suisse), l’entrepreneur, ou son informaticien, pourrait être accusé d’avoir mal «designer» le système informatique. Bonjour les dégâts.
Ce n’est pas une loi qui va encourager l’entrepreneuriat, dans un pays déjà si frileux
Xavier Comtesse
En tout cas, ce n’est pas une loi qui va encourager l’entrepreneuriat, dans un pays déjà si frileux. En cas de cyberattaque le dilemme est grand: en effet, l’entrepreneur pourra soit négocier une rançon avec les hackers afin d’éviter toutes fuites de données privées (cela ne ferait qu’encourager la criminalité) ou alors se dénoncer quitte à encourir les peines prévues par la loi (voir ci-dessous). Il devra faire un arbitrage entre le pire et le moindre mal. Pauvre Suisse. L’Europe n’a pas commis cette aberration, seules les personnes morales (entreprises, associations, etc.) sont considérées comme responsables.
En fin de compte, la Suisse introduit une loi boomerang qui peut, dans certaines circonstances, favoriser l’ennemi
Mais de quelles sanctions parle-t-on au juste?
L’administration fédérale de préciser: «Des amendes de 250 000 francs au plus à l’encontre de personnes privées (art. 60). Seront punis les comportements et les omissions intentionnels, mais pas la négligence. Le non-respect du devoir d’informer, de renseigner et d’annoncer, et la violation des devoirs de diligence et celle du devoir de discrétion seront punis sur plainte seulement. L’insoumission à une décision du PFPDT (ndlr: préposé fédéral à la protection des données et à la transparence) sera en revanche poursuivie d’office. C’est en principe la personne physique responsable qui sera punie. L’entreprise elle-même pourra toutefois nouvellement l’être aussi, à hauteur de 50 000 francs maximum, si l’identification de la personne punissable au sein de l’entreprise ou de l’organisation nécessite des actes d’enquête disproportionnés. (...) [Contrairement à la nouvelle LPD, le RGPD de l'UE] dispose que les sanctions administratives ne sont prononcées qu’à l’encontre de personnes morales. Les autorités européennes de protection des données peuvent condamner des entreprises fautives à des amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.»
