Lexipedia

Loi sur la protection des données. Convention pour la protection des personnes. Adhésion

03.016 · Objet du Conseil fédéral · 2003-02-19

Département de justice et police

Liquidé

Zusammenfassung

Message du 19 février 2003 relatif à la révision de la loi fédérale sur la protection des données (LPD) et à l'arrêté fédéral concernant l'adhésion de la Suisse au Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données

Ausgangslage

La révision vise principalement l'amélioration de l'information des personnes sur lesquelles des données sont collectées, la fixation d'un niveau de protection minimum lorsque les autorités cantonales traitent des données en exécution du droit fédéral et la transposition dans le droit suisse des principes prévus par le Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données.

La révision a pour origine deux motions adoptées en 1999 et 2000 par les Chambres fédérales, qui demandaient d'une part davantage de transparence lors de la collecte de données et d'autre part une base légale formelle pour tout accès en ligne à des données traitées par des organes fédéraux ainsi qu'un standard minimum de protection lorsque des données sont traitées par les cantons en exécution du droit fédéral. En outre, certaines dispositions de la loi fédérale sur la protection des données doivent être modifiées pour permettre l'adhésion de la Suisse au Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données. L'expérience faite en matière de protection des données a démontré que l'application de la loi fédérale sur la protection des données est de manière générale satisfaisante, même si cette loi présente quelques défauts ponctuels, notamment par rapport aux moyens accordés aux personnes concernées pour s'opposer au traitement de données les concernant.

Le projet de révision prévoit l'obligation pour les personnes privées et les organes fédéraux d'informer activement la personne concernée lorsqu'ils collectent des données sensibles et des profils de la personnalité à son sujet. La personne concernée doit au moins être informée de l'identité du maître du fichier, des finalités du traitement pour lequel les données sont collectées et des catégories de destinataires des données si la communication est envisagée. Pour les données personnelles qui ne sont pas des données sensibles ni des profils de la personnalité, la collecte doit au moins être reconnaissable pour la personne concernée. Le projet de révision assortit en outre l'obligation de déclarer les fichiers d'un certain nombre d'exceptions et renforce la position des personnes qui s'opposent à un traitement de données les concernant. Il fixe également des exigences minimales auxquelles les cantons doivent satisfaire en matière de protection des données quand ils exécutent le droit fédéral et renforce les possibilités de contrôle sur ceux-ci lorsqu'ils traitent des données personnelles en application du droit fédéral. Le projet de révision permet au Conseil fédéral d'autoriser, pour une durée limitée, le traitement automatisé de données sensibles ou de profils de la personnalité dans le cadre de projets pilotes, avant qu'une loi au sens formel ne soit entrée en vigueur.

Enfin, pour rendre la législation suisse conforme au Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données, le projet de révision harmonise les conditions auxquelles est subordonnée la communication transfrontière de données avec le droit européen et accorde la qualité pour recourir au Préposé fédéral à la protection des données dans le cadre de la surveillance des organes fédéraux.

Verhandlungen

Au Conseil national, le projet s'est heurté à des oppositions. Une courte majorité de la Commission des affaires juridiques (CAJ), soutenue par le groupe radical-libéral, a proposé de le renvoyer au Conseil fédéral en le chargeant de strictement limiter la révision à la mise en oeuvre des motions 00.3000 (Renforcement de la transparence lors de la collecte des données personnelles) et 98.3529 (Liaisons 'on-line'. Renforcer la protection pour les données personnelles) et du protocole additionnel du 8 novembre 2001. Cette majorité était parvenue à la conclusion - après les auditions notamment - qu'il n'était pas nécessaire de prévoir de nouvelles dispositions en matière de protection des données, la Suisse disposant déjà d'un très haut niveau de protection dans ce domaine. Une minorité de la commission, réunissant la gauche et les Verts, a sollicité le renvoi du projet en commission afin que la discussion par article puisse s'y dérouler. Le conseiller fédéral et ministre de la justice Christoph Blocher aurait également préféré que la Commission des affaires juridiques améliore la loi sur la protection des données.

Le Conseil a décidé sans opposition d'entrer en matière sur le projet avant d'adopter, par 97 voix contre 64, la proposition de renvoi de la majorité.

Conformément à la nouvelle loi sur le Parlement, le Conseil des États devait seulement examiner la proposition de renvoi du Conseil national. En tant que rapporteur de la commission, Jean Studer (S, NE) a expliqué que le Parlement était lui-même en mesure d'apporter des corrections au projet, raison pour laquelle la commission avait considéré à l'unanimité que la loi sur la protection des données ne devait pas faire l'objet d'un renvoi au Conseil fédéral. Le ministre de la justice Christoph Blocher a déclaré que les éventuelles lacunes pourraient aussi bien être comblées par une commission d'examen préalable que par le Conseil fédéral. En outre, le Conseil national n'aurait pas indiqué clairement ce qu'il reprochait au projet. Se ralliant tacitement à la proposition de sa commission, la Chambre haute a rejeté la proposition de renvoi au Conseil fédéral.

À la session d'automne 2005, le Conseil national a procédé à l'examen du projet retravaillé par sa Commission des affaires juridiques. Il s'est rallié à toutes les propositions de la majorité de la commission, renonçant ainsi à certaines dispositions restrictives initialement proposées par le Conseil fédéral. Une minorité rose-verte, qui défendait les propositions du Conseil fédéral et proposait elle-même d'autres dispositions visant à étendre la protection des données, a été battue lors de plusieurs votes.

Le conseil a notamment rejeté sa proposition d'introduire un article 4bis, selon lequel toute personne traitant des données personnelles devrait être en mesure de fournir des informations sur leur origine. Il a également rejeté, à l'article 7a, une proposition visant à ce que l'obligation d'informer ne s'applique pas uniquement aux " données sensibles " mais à toutes les données concernant la personne en question. Le conseil a en outre biffé l'article 7b proposé par le Conseil fédéral et introduisant une obligation d'informer lors de décisions individuelles automatisées. La proposition de la minorité visant à introduire, à l'article 15, un droit de recours pour les associations a elle aussi été rejetée.

À l'article 15a, le conseil a biffé par 88 voix contre 55, contre l'avis du Conseil fédéral et d'une minorité, une série de dispositions sur l'opposition au traitement de données personnelles. Le Conseil fédéral avait proposé que le maître du fichier suspende immédiatement le traitement de données si la personne concernée le demandait ; en cas de refus, le maître du fichier aurait dû faire valoir un motif justificatif dans un délai de dix jours. La majorité du conseil a estimé que les droits de la personne concernée étaient déjà entièrement garantis par d'autres dispositions. La loi a finalement été adoptée par 99 voix contre 0, la gauche et les Verts ayant choisi de s'abstenir.

Le Conseil des États s'est rallié à la plupart des décisions du Conseil national et a approuvé les deux projets à l'unanimité. S'agissant de l'article 7b, il a adhéré à la version du Conseil fédéral et a approuvé, par 19 voix contre 13, une disposition qui institue un devoir d'informer concernant aussi les décisions individuelles automatisées.

Par 95 voix contre 61, le Conseil national a cependant maintenu son opposition à l'article 7b, cette disposition étant jugée à la fois inutile et génératrice de coûts supplémentaires pour l'économie.

Le Conseil des États a finalement suivi la décision du Conseil national.