16.3752 · Motion · 2016-09-28
Département de justice et police
Liquidé
Wortlaut
Dans la perspective de la révision de la loi fédérale sur la protection des données (LPD) et de l'entrée en vigueur du règlement général de l'UE sur la protection des données, le Conseil fédéral est chargé d'approcher l'UE pour préparer un accord sur la coordination de l'application de leur droit respectif de la protection des données par les autorités compétentes et d'ouvrir des pourparlers préliminaires en vue de résoudre les problèmes posés à l'économie et aux autorités de surveillance en Suisse et dans l'UE par l'absence d'une délimitation territoriale des compétences en matière de droit de la surveillance en cas d'application parallèle du règlement de l'UE et de la LPD.
Begründung
La Suisse est en train de réviser son droit de la protection des données, alors que l'UE aura achevé la révision du sien d'ici 2018. Le niveau de protection sera comparable de part et d'autre. Toutefois, l'UE n'a pas harmonisé sa surveillance de la protection des données avec celle de la Suisse. L'économie suisse aura de ce fait à assumer une charge administrative supplémentaire totalement inutile, mais néanmoins considérable. La protection des données n'y gagne rien, seuls les coûts s'envolent : conformément au nouveau droit européen, ce sont les autorités de surveillance de chacun des 28 États membres de l'UE qui sont responsables de surveiller et de faire appliquer, nouvellement même à l'étranger, le respect de la protection des données de leurs habitants. En matière de protection des données, une entreprise suisse qui a des clients dans l'UE n'est donc plus soumise à la seule surveillance du préposé fédéral à la protection des données et à la transparence, mais encore à celle des autorités compétentes de l'UE, y compris en ce qui concerne les obligations d'informer, etc. La Suisse ne peut s'y opposer avec sa LPD, car l'UE en a décidé ainsi et prévoit en cas d'infraction des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise fautive. Les règles applicables dans l'UE sont bien plus compliquées et lourdes à mettre en oeuvre que celles qui s'appliquent en Suisse et sont discriminatoires à l'égard des entreprises suisses. La souveraineté de la Suisse est également touchée, car des autorités de surveillance étrangères s'immiscent dans des traitements de données effectués sur le territoire suisse. L'entraide administrative ne résout pas le problème. Il faut trouver une autre solution : seule la Suisse doit être compétente en matière de surveillance légale du respect de la protection des données sur le territoire suisse, et ce conformément à son propre droit (LPD), comme les autorités de l'UE sont responsables de l'application du règlement de l'UE sur le territoire de celle-ci. Les échanges d'informations peuvent s'effectuer par le biais de l'entraide administrative. Le niveau de protection des données étant comparable, tout le monde y gagne : en matière de droit de la surveillance, les entreprises d'ici ne devront s'en tenir qu'aux injonctions du préposé et n'auront qu'un seul système normatif à respecter, alors que les autorités pourront faire un meilleur usage des ressources dont elles disposent.
Antrag des Bundesrates
Le Conseil fédéral propose d'accepter la motion.
Stellungnahme des Bundesrates
Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données s'applique au traitement de données effectué dans le cadre des activités d'un responsable de traitement ou d'un sous-traitant situé sur le territoire de l'UE, que le traitement ait lieu ou non dans l'UE. Il s'applique aussi, dans certains cas définis à son article 3 paragraphe 2, au traitement de données relatives à des personnes concernées qui se trouvent sur le territoire de l'UE alors que le responsable du traitement ou le sous-traitant n'est pas établi dans l'UE. Le champ d'application du règlement et les compétences de surveillance des autorités de contrôle de l'UE peuvent donc effectivement s'étendre à des responsables de traitement établis en Suisse lorsque le traitement de données personnelles concerne des personnes qui se trouvent sur le territoire de l'UE. Cela ne signifie pas pour autant que les autorités de contrôle européennes puissent intervenir sur le territoire suisse (voir en particulier l'art. 55 du règlement qui stipule que chaque autorité de contrôle est compétente pour exercer les pouvoirs dont elle est investie sur le territoire de l'État membre dont elle relève). Dès lors, le Conseil fédéral ne partage pas l'analyse de l'auteur de la motion selon laquelle le règlement (UE) 2016/679 porterait atteinte à la souveraineté de la Suisse. Le Conseil fédéral convient toutefois qu'à l'ère digitale, il serait dans l'intérêt tant des autorités suisses que des autorités de l'UE de pouvoir coopérer efficacement en vue d'assurer la bonne application de leurs législations respectives. Par conséquent, le Conseil fédéral est disposé à entamer en temps voulu des pourparlers avec l'UE comme le demandent les auteurs de la motion. Le considérant 116 du règlement (UE) 2016/679 invite d'ailleurs la Commission et les autorités de contrôle de l'UE à coopérer avec les autorités de contrôle des pays tiers. Les démarches de la Suisse pourraient s'inscrire dans ce cadre.
Le Conseil fédéral propose d'accepter la motion.