Protection des données : des enjeux nationaux mais aussi internationaux très complexes

A l’heure où la Suisse s’apprête à adopter sa nouvelle loi sur la protection des données (LPD), en discussion au Parlement, les enjeux juridiques, politiques et commerciaux autour des données prennent une dimension internationale. Avec l’accélération de la numérisation, les volumes de données traitées ne cessent d’augmenter. Ces dernières ont acquis une valeur commerciale énorme. Plusieurs affaires récentes de reventes ou d’échanges de données entre géants du numérique – souvenez-vous de l’affaire Cambridge Analytica – nous ont fait prendre conscience que certaines entreprises construisent leur succès sur la collecte et l’exploitation de nos datas. En parallèle à ce marché très lucratif, les données sont devenues un enjeu géopolitique stratégique et un motif de fortes tensions commerciales et politiques entre certains Etats, comme les Etats-Unis et la Chine (par ex. les mesures prises à l’encontre d’Huawei ou du propriétaire chinois de TikTok). La question de l’avenir du transfert des données personnelles hors UE est encore plus d’actualité suite à l’arrêt «Schrems II» de la Cour de justice de l’UE (CJUE, arrêt du 16 juillet 2020 C-311/18) invalidant l’accord entre l’UE et les Etats-Unis qui donnait certaines garanties pour faciliter le transfert des données. Critiqué, cet accord ne peut plus être utilisé. La CJUE a considéré que les mécanismes qui y étaient prévus étaient insuffisants, car ils n’empêchaient pas le gouvernement américain d’accéder aux données. S’ouvre ainsi une période d’incertitude. Pour certains, c’est une preuve supplémentaire que l’UE ne parvient pas à protéger efficacement ses citoyens contre les abus des Etats-Unis. Reste qu’économiquement, l’UE, tout comme la Suisse, sont largement dépendants des services et des technologies américaines. Et il sera difficile pour les acteurs suisses et européens de concurrencer les géants américains qui ouvriront certainement des filiales en Europe pour continuer de fournir leurs services. La Suisse n’est pas directement concernée par cet arrêt mais, disposant d’un accord similaire avec les Etats-Unis, notre gouvernement devra se pencher sur ces questions s’il souhaite conserver l’équivalence des législations avec l’UE. C’est d’ailleurs l’un des enjeux de la nouvelle LPD: il est essentiel que la LPD soit reconnue par l’UE comme étant équivalente à son Règlement général sur la protection des données (RGPD). Sans reconnaissance, les entreprises helvétiques devraient assurer de lourdes charges administratives supplémentaires et leur compétitivité serait entravée. Dans ce contexte complexe, les entreprises suisses, qui traitent de plus en plus de données, se doivent – alors que les risques de cyberattaques explosent - d’assurer la sécurité de leurs données ainsi que celles de leurs clients, sous peine de paralysie en cas de piratage et d’atteinte à leur réputation. L’arrivée du RGPD en 2018 a été très contraignante pour les entreprises, mais elle a constitué une occasion de revoir les processus pour optimiser le fonctionnement des organisations. Avec la nouvelle LPD – les Chambres peinent à se mettre d’accord sur un texte –, on perçoit toutefois toute la difficulté de trouver des solutions qui à la fois protègent les citoyens et leurs données, mais ne pénalisent ou paralysent pas les entreprises dans leurs activités. * Secrétaire patronale Centre Patronal