Article contributeur

Nouvelle loi sur la protection des données: des sanctions peu crédibles

Le projet de révision de la loi sur la protection des données permet de remettre à jour la loi actuelle datant de 1992 et à aligner le droit suisse avec le RGPD. Bien que le projet soit jugé bon, il subsiste néanmoins un certain problème au niveau des sanctions.

Lighter page = ecologic page

Les articles archivés ne chargent pas les images afin de réduire l'impact CO2 de l'AgefiEn savoir plus

Compris
Le Conseil fédéral a approuvé, le 15 septembre dernier, le projet de révision de la loi sur la protection des données (P-LPD). Cette révision vise à remettre à jour la loi actuelle qui date de 1992 et à aligner le droit suisse avec le nouveau règlement général européen sur la protection des données (RGPD) qui entrera en vigueur en mai 2018. Le pays possède, en effet, un intérêt majeur à renforcer ses dispositions pour continuer à être reconnu en tant que juridiction dont la législation en mat...

Vous devez avoir un compte utilisateur pour lire cet article

Le Conseil fédéral a approuvé, le 15 septembre dernier, le projet de révision de la loi sur la protection des données (P-LPD). Cette révision vise à remettre à jour la loi actuelle qui date de 1992 et à aligner le droit suisse avec le nouveau règlement général européen sur la protection des données (RGPD) qui entrera en vigueur en mai 2018.

Le pays possède, en effet, un intérêt majeur à renforcer ses dispositions pour continuer à être reconnu en tant que juridiction dont la législation en matière de protection des données est jugée comme étant «adéquate» par l’Union européenne (UE). Mise à niveau d’une loi âgée de 25 ans Le P-LPD sera normalement traité par le Conseil National cet hiver et la nouvelle loi devrait entrer en vigueur avant décembre 2018. Des dispositions transitoires sont prévues et les responsables du traitement auront deux ans pour satisfaire aux nouvelles obligations. Face à la révolution numérique, la nouvelle loi sur la protection des données (LPD) – tout comme le RGPD, qui concernera également, dès mai prochain, les entreprises suisses offrant des produits et services aux citoyens de l’UE ou analysant leurs comportements en récoltant leurs données personnelles – vise à renforcer les droits des citoyens afin qu’ils soient mieux protégés. Elle a pour but, par exemple, d’obliger les sociétés qui récoltent des informations sur leurs clients, comme les magasins de vente en ligne, à les informer de l’utilisation qui en est faite. «Globalement, il s’agit d’un bon projet», commente Sylvain Métille, avocat spécialiste de la protection des données, du droit de l’informatique et des technologies. «C’est la mise à niveau d’une loi qui a 25 ans avec l’état actuel du monde.» Si le P-LPD est, dans son ensemble, similaire aux nouvelles règles européennes (protection des données «par défaut» et «dès la conception», ou encore consentement des internautes obtenu au moyen d’une déclaration ou d’un acte positif univoque), certaines différences fondamentales subsistent néanmoins. «Il y a un sérieux problème au niveau des sanctions», alerte Sylvain Métille. «C’est un mauvais signal qui est donné avec, comme conséquences, une protection amoindrie.» Sanctions peu crédibles Le RGPD prévoit des amendes administratives allant jusqu’à 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent si ce montant dépasse 20 millions d’euros. Alors que dans l’avant-projet le montant maximal de l’amende était de 500.000 francs, le Conseil fédéral a fait marche arrière après la consultation en réduisant de moitié le montant de l’amende, qui s’élève désormais à 250.000 francs et a réduit les violations pouvant êtres sanctionnées d'une amende. Si les associations de défense des consommateurs et la gauche trouvaient que le projet n'allait pas assez loin, le gouvernement a été sensible aux remarques de la droite et de l'économie, hostiles à tout excès de bureaucratie. Il a donc préféré des infractions pénales qui viseront prioritairement les personnes individuelles au sein des entreprises privées, avec le risque, selon Sylvain Métille, que l’employé se retrouve en position de bouc émissaire. «Ces sanctions ne sont pas crédibles», regrette l’avocat.  «De plus, elles ne s’appliquent qu’à un nombre réduit de cas.» Des cas visés par la violation intentionnelle d’obligations d’informer, de renseigner et de collaborer ainsi que la violation intentionnelle de devoirs de diligence. «Si les pouvoirs du préposé fédéral à la protection des données et à la transparence sont renforcés, puisqu’il pourra faire cesser ou modifier un traitement de données, il ne pourra toujours pas  infliger de sanctions administratives. Or, il doit être en mesure de prononcer directement des amendes, à l’image de ses homologues européens», argumente-t-il. Affaiblissement de la position suisse «Les grandes entreprises -  telles que les GAFAs - vont avoir peur des sanctions en euros et vont s’aligner avec le RGPD», prévoit Sylvain Métille. «Par contre, dans le cas de sociétés soumises à la loi suisse uniquement, un hôpital par exemple, il y aura peu d'incitation à respecter spontanément la LPD, d’autant plus que la poursuite ne se ferra pas d’office, mais sur plainte seulement», explique-t-il. «Le risque est aussi d’attirer des sociétés étrangères à la recherche d’un régime plus souple, ce qui affaiblirait la position de la Suisse.»

Leila Ueberschlag

Devenez vous aussi un acteur de l’Agefi

Devenir un acteur de l'Agefi