Lexipedia

14.404 · Initiative parlementaire · 2014-03-19

Liquidé

Wortlaut

Conformément à l'art. 160, al. 1, de la Constitution et à l'article 107 de la loi sur le Parlement, je dépose l'initiative parlementaire suivante :

La loi fédérale sur la protection des données est modifiée comme suit :

1. Le préposé fédéral à la protection des données et à la transparence est doté d'un pouvoir de sanctions administratives effectives, proportionnées et dissuasives en cas de violation de dispositions du droit fédéral de la protection des données. La loi règle la procédure et les voies de recours.

2. Le montant de l'amende administrative est fixé en tenant compte de la nature, de la gravité et de la durée de la violation, ou du fait que l'infraction a été commise intentionnellement ou par négligence. Si la violation est le fait d'une personne morale ayant des activités à but lucratif, le montant de l'amende peut aller, dans les cas les plus graves, jusqu'à 10 % de son chiffre d'affaires.

Begründung

Les violations massives de la protection des données se multiplient. Les nouvelles technologies et les réseaux sociaux rendent le traitement massif de données beaucoup plus facile. La constitution de profils de personnalité très détaillés devient chose aisée. L'essor de l'informatique en nuage (cloud computing) encourage le stockage de données à l'étranger, souvent hors de tout contrôle. Et, d'un simple clic, il est possible de dérober, d'altérer ou d'utiliser à des fins non prévues les données de centaines de milliers de personnes, le plus souvent sans qu'elles s'en aperçoivent. Ces dernières ne peuvent guère empêcher préventivement l'utilisation abusive de leurs données personnelles, étant donné les conditions générales léonines en vigueur sur la plupart des sites les collectant ou traitant.

Lorsque particuliers et entreprises tentent de se défendre, ils sont confrontés à des procédures longues et coûteuses dont le résultat est rarement satisfaisant. En effet, le préposé fédéral à la protection des données et à la transparence n'est doté que d'un pouvoir de recommandation, lequel ne fait que rarement peur aux entreprises, souvent des multinationales de l'Internet, qui contrôlent une masse grandissante de données personnelles. Il est donc impératif de le doter d'un pouvoir de sanction.

Pour que ces sanctions soient réellement dissuasives, il faut que les amendes soient à la hauteur des énormes capacités financières des multinationales concernées. Ainsi, des amendes de respectivement 150 000 et 900 000 euros infligées à Google par la CNIL française et son homologue espagnole pour viols répétés de la protection des données ont suscité la moquerie de la Commission européenne ; la commissaire Viviane Reding a qualifié ces montants d'"argent de poche". Madame Reding a par la suite annoncé sa ferme intention de faire passer le pouvoir de sanction en la matière à plus de 2 % du chiffre d'affaires des entreprises concernées. Aux Etas-Unis, les autorités américaines (FTC) ont en 2012 condamné Google à une amende de 22,5 millions de dollars pour des violations de la vie privée.

La Suisse doit se doter d'une protection des données efficace et adaptée aux défis actuels. Des sanctions réellement dissuasives font, à n'en pas douter, partie d'une législation moderne.