17.059 · Objet du Conseil fédéral · 2017-09-15
Département de justice et police
Liquidé
Zusammenfassung
Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales.
Ausgangslage
Communiqué de presse du Conseil fédéral du 15.09.2017
Une meilleure protection des données et un renforcement de l'économie suisse
Face à la révolution numérique, le Conseil fédéral juge nécessaire d'adapter la protection des données et de renforcer les droits des citoyens. Il entend en outre harmoniser le droit suisse en la matière avec les standards de protection de l'UE et du Conseil de l'Europe. Il s'agit d'assurer la libre transmission des données entre les entreprises suisses et européennes, en réponse aux voeux de l'économie. Le Conseil fédéral a adopté un message en ce sens lors de sa séance du 15 septembre 2017.
Le Conseil fédéral a adopté un projet de révision totale de la loi sur la protection des données (LPD) qui permettra de mieux protéger les citoyens. Ces derniers seront mieux renseignés sur les traitements par des entreprises des données qui les concernent et acquerront une plus grande maîtrise de ces données. La révision est également un pas important pour l'économie suisse. En adaptant la législation suisse au standard européen, le Conseil fédéral crée les conditions requises pour assurer la transmission sans obstacles de données entre la Suisse et les États de l'UE.
Afin de rester pratiques pour l'économie, les nouvelles dispositions légales ne vont pas plus loin que ce qui est exigé par le droit européen. Il n'y aura pas de "plus" suisse. Le Conseil fédéral tient ainsi compte des remarques reçues lors de la consultation externe.
Plus de transparence pour les particuliers
La révision apporte aux particuliers une meilleure protection. Ils devront désormais être informés lorsqu'une entreprise collecte des données à leur sujet, quel que soit le type de données collectées. En outre, les entreprises seront tenues de prendre en considération les enjeux de protection des données dès la mise en place de nouveaux traitements. Le projet de loi encourage par ailleurs l'auto-règlementation : chaque branche aura la possibilité d'adopter un code de conduite.
Renforcement de l'indépendance du préposé
Le projet de loi renforce le statut et l'indépendance du Préposé fédéral à la protection des données et à la transparence (PFPDT). Alors qu'il ne peut aujourd'hui émettre que des recommandations aux entreprises, il pourra à l'avenir ordonner des mesures provisionnelles et prendre des décisions contraignantes, au terme d'une enquête ouverte d'office ou sur dénonciation. Il ne pourra toutefois pas décréter de sanction administrative. Seuls les tribunaux auront cette prérogative.
En parallèle, la liste des comportements punissables s'allonge en même temps que celle des obligations des responsables du traitement. De plus, le montant maximal des amendes est porté à 250 000 francs. La liste des infractions et le montant maximal de l'amende ont été réduits par rapport à l'avant-projet, suite aux critiques exprimées lors de la consultation, et la négligence n'est plus punissable.
Avantages pour l'économie suisse
La révision de la loi tient compte des récents développements des textes de l'UE et du Conseil de l'Europe. Le projet reprend les exigences de la directive européenne 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins pénales. En effet, il importe que la Suisse puisse remplir ses engagements au titre des accords Schengen. Il s'agit en outre d'harmoniser le droit suisse avec le règlement européen 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Enfin, la révision vise à permettre à la Suisse de signer aussi tôt que possible la nouvelle version de la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
L'adaptation au droit européen est nécessaire pour que la Commission européenne reconnaisse la Suisse comme État tiers offrant un niveau de protection des données adéquat. Telle est la condition pour que les échanges de données transfrontières restent possibles, chose extrêmement importante pour l'économie suisse. Un standard élevé de protection, reconnu sur le plan international, est également propice au développement des nouveaux secteurs économiques dans le domaine de la société numérique.
Verhandlungen
Projet 1 et 2
Dépêche ATS
Délibérations au Conseil national, 12.06.2018
Le National temporise sur la protection des données
La grande réforme de la législation sur la protection des données, visant entre autres à s'aligner sur l'UE, attendra. Le National a scindé mardi le projet. Il n'a donné son aval qu'au volet le plus urgent visant notamment à reprendre une directive liée à Schengen.
Le temps presse : la mise en oeuvre de la directive européenne doit en principe avoir lieu d'ici le 1er août. La majorité bourgeoise a donc préféré régler rapidement ce volet. Le Conseil des États pourrait suivre lors de la session d'automne. Selon la conseillère fédérale, Bruxelles devrait se montrer compréhensive face à ce retard.
La commission des institutions politiques continue quant à elle de se pencher sur le reste de la réforme, jugé trop complexe à droite. La gauche, prête à renforcer la législation, n'a pas goûté la manoeuvre. On crée la confusion en multipliant les bases légales sur la protection des données, a critiqué Cédric Wermuth (PS/AG), qui craint que la droite ne veuille au final imposer un régime très libéral.
Ne pas mettre rapidement l'ensemble de la législation à l'aune européenne fait courir des risques à l'économie suisse mais aussi aux citoyens. Bruxelles pourrait ne pas reconnaître les standards helvétiques, a ajouté Valérie Piller Carrard (PS/FR). Le travail du Parlement ne sera pas facilité, a regretté Simonetta Sommaruga elle non plus pas favorable à la scission en deux.
Il faut une solution pragmatique. Berne n'a pas à en rajouter une couche avec du "swiss finish", a répondu Marco Romano (PDC/TI). Les entreprises suisses se sont quant à elles déjà alignées sur les standards européens, entrés en vigueur le 25 mai, a relevé Jean-Luc Addor (UDC/VS) au nom de la commission.
Dépêche ATS
Délibérations au Conseil des États, 11.09.2018
La grande réforme de la législation sur la protection des données sera traitée en deux temps. Suivant le National, le Conseil des États s'est contenté mardi de donner son aval au volet le plus urgent visant notamment à reprendre une directive liée à Schengen.
Le "gros morceau" attendra. Au National, la droite a jugé les propositions du Conseil fédéral trop complexe et souhaite se donner le temps de les analyser. La gauche la soupçonne de vouloir au final imposer un régime très libéral en deçà des exigences européennes déjà en vigueur depuis le 25 mai.
La Chambre du peuple pourrait trancher lors de la session d'hiver. Au nom de la commission sénatoriale, Pascale Bruderer (PS/AG) a souligné l'urgence de l'ensemble du dossier et regretté le découpage opéré au National. Même amertume du côté de la conseillère fédérale Simonetta Sommaruga.
Reste que le temps presse encore plus pour le premier volet : la mise en oeuvre de la directive européenne devait en principe avoir eu lieu au 1er août.
Retouches
La loi sur la protection sur les données n'a été retouchée qu'en quelques points. Le Parlement a précisé que le Préposé fédéral ne pouvait pas, non seulement recevoir, mais aussi solliciter d'instructions. Et ce aussi bien de la part d'une autorité que d'un tiers.
Le Préposé se verra confier la mission de sensibiliser le public à la protection des données personnelles. Son mandat ne pourra être renouvelé que deux fois.
Le Préposé ne pourra exercer aucune activité accessoire. Il pourra néanmoins y être autorisé par le Conseil fédéral pour autant que cette activité n'affecte pas l'exercice, l'indépendance et la réputation de la fonction du Préposé. Le Conseil des États ayant revu la formulation de cette disposition, le National doit à nouveau se prononcer.
Soutenue par Simonetta Sommaruga, la gauche s'est battue en vain pour que les opinions et activités syndicales continuent d'être explicitement mentionnées dans la loi et pas inclues dans celles politiques ou philosophiques.
Schengen
Pour le reste, les autres modifications législatives, dont une loi d'application parallèle ad hoc, adoptées par le Conseil des États règlent le traitement des données dans le cadre d'une poursuite pénale et de la coopération policière et judiciaire avec les pays membres de l'espace Schengen. Il s'agit de la reprise d'une directive de l'UE qui vise à garantir un niveau élevé de protection tout en facilitant l'échange.
La communication de données vers Schengen ne devra pas être soumise à des règles plus strictes que pour la transmission aux autorités pénales suisses. Les personnes concernées pourront demander au Préposé dans certains cas de vérifier si les données les concernant sont traitées licitement, voire demander une enquête.
Les autorités pénales veilleront à distinguer les différentes catégories de personnes concernées et les données fondées sur des faits de celles fondées sur des appréciations personnelles. La loi sur l'entraide pénale internationale a été revue. Une nouvelle disposition introduit un droit d'accès aux données personnelles visées par une demande de coopération.
Ce droit n'est pas absolu. L'autorité compétente peut refuser, restreindre ou différer la communication si cela peut compromettre une enquête ou une procédure, si un intérêt public prépondérant l'exige ou s'il en va de la protection des intérêts d'un tiers.
Extradition
Une restriction d'accès vise par ailleurs les données traitées dans le cadre de demandes d'arrestation en vue d'une extradition. Le but est d'éviter que des personnes recherchées puissent savoir dans quels pays elles peuvent se rendre sans risquer de se faire arrêter.
L'Office fédéral de la justice (OFJ) répondra toujours qu'aucune donnée n'est traitée illicitement et que l'on peut se tourner vers le Préposé pour vérification. Celui-ci répétera la réponse de l'OFJ ou se contentera d'indiquer qu'il a ouvert une enquête.
La personne visée par une demande de coopération internationale aura par ailleurs le droit d'exiger l'effacement ou la rectification des données inexactes le concernant. A elle d'apporter les preuves. Ce droit ne vaudra pas pour les données collectées à titre probatoire ou concernant les infractions fondant la demande de coopération. Il faudra alors s'adresser à l'État requérant.
Dans certains cas, l'autorité pourra limiter le traitement de données plutôt que de les effacer. La directive règle par ailleurs le transfert de données vers des pays tiers ou des organisations internationales.
Dépêche ATS
Délibérations au Conseil national, 17.09.2018
Le volet le plus urgent de la grande réforme de la législation sur la protection des données peut être appliqué sans attendre. Le National, qui était à l'origine de la scission du projet, a mis lundi la dernière main se ralliant au Conseil des États.
Le "gros morceau" de la réforme pourrait être traité dès la session d'hiver. Une directive européenne liée à Schengen empêchait en revanche de prendre du retard sur certains pans.
Retouches
La loi sur la protection sur les données n'a été retouchée qu'en quelques points. Le Parlement a précisé que le Préposé fédéral ne pouvait pas, non seulement recevoir, mais aussi solliciter d'instructions. Et ce aussi bien de la part d'une autorité que d'un tiers.
Le Préposé se verra confier la mission de sensibiliser le public à la protection des données personnelles. Son mandat ne pourra être renouvelé que deux fois.
Le Préposé ne pourra exercer aucune activité accessoire. Il pourra néanmoins y être autorisé par le Conseil fédéral pour autant que cette activité n'affecte pas l'exercice, l'indépendance et la réputation de la fonction du Préposé. Le National s'est rallié tacitement à cette formulation.
Dépêche ATS
Délibérations au Conseil national, 24.09.2019
La réforme passe un premier écueil au National
La révision totale de la loi sur la protection des données a franchi mardi une première étape au Conseil national. La majorité, contre l'avis de l'UDC, a entamé l'examen de détail. PLR et PS ont trouvé un compromis sur les données relatives aux mesures d'aide sociale.
Le National a accepté l'entrée en matière par 120 voix contre 66. Le traitement des données a connu une évolution fulgurante et plusieurs pays ont déjà adapté leur législation, a rappelé Valérie Piller Carrard (PS/FR). L'UE a introduit le Réglement général pour la protection des données (RGPD) qui est entré en vigueur en mai 2018.
La révision vise à mieux défendre les droits des citoyens lorsqu'une entreprise collecte leurs données. Elle a également pour but de s'adapter aux standards européens. La Suisse veut continuer d'être reconnue par l'UE comme un État tiers ayant un niveau de protection suffisant pour échanger les données, a expliqué la conseillère fédérale Karin Keller-Sutter.
L'économie suisse attend avec impatience cette adaptation pour assurer la transmission sans obstacle des données entre la Suisse et l'Europe. "Une perte de l'équivalence aurait des effets très négatifs puisque les entreprises devraient prouver au cas par cas qu'elles garantissent la protection des données", a souligné la cheffe du Département fédéral de justice et police.
Critiques de l'UDC et de la gauche
Mais l'UDC et la gauche se sont montrées très critiques. "La loi fait 260 pages. Nous avons affaire à un monstre bureaucratique qui ne protège même pas mieux le citoyen", a lancé Gregor Rutz (UDC/ZH). "Cette loi s'appliquera à votre boulangère ou votre garagiste et elle ne les aidera pas".
La gauche n'est pas non plus satisfaite. Si le projet sur la table est maintenu tel quel, il va déboucher sur un référendum perdu d'avance, a déclaré Cédric Wermuth (PS/AG). Car en l'état, le texte met à mal la protection des citoyens et plombe les activités des entreprises.
"La proposition de renvoi de l'UDC est irresponsable, car cette loi est urgente", a relevé Marco Romano (PDC/TI). Le PDC est prêt à apporter un certain nombre de correctifs. La commission a d'ailleurs admis qu'une dizaine de dispositions sont problématiques du point de vue de la reconnaissance de l'équivalence et cinq en-deçà des exigences actuelles.
PLR, PVL, PDC, PS, Verts et PBD ont donc décidé d'aller de l'avant. Mais l'examen par article continue d'opposer les tenants d'une loi aussi souple que possible et les défenseurs des droits des citoyens. La loi ne s'appliquera qu'aux personnes physiques et non aux entreprises comme l'aurait souhaité l'UDC.
Aide sociale, des données sensibles
Dans la liste des données sensibles qui méritent une protection particulière, les mesures d'aide sociale seront prises en compte. Une majorité, sans l'UDC, s'est finalement rangée par 126 voix contre 67 à l'avis de la gauche pour qui ce point était déterminant pour accepter l'ensemble de la loi.
"Les mesures d'aide sociale englobent un champ très vaste, comme l'internement. Il n'y a aucun intérêt public à connaître ce type de données", a déclaré Angelo Barrile (PS/ZH).
Par 128 contre 63, les activités syndicales ont par contre été retirées de la liste des données sensibles au grand dam de la gauche. En revanche, les données génétiques y figureront pour autant qu'elles permettent d'identifier une personne. Cette précision a été adoptée par 129 voix contre 60 afin de ménager le secteur de la recherche.
Profilage, une question à approfondir
Les conditions déterminant le consentement de la personne concernée sont précisées. Le consentement devrait être indispensable pour des données sensibles mais pas en cas de profilage. Ce point a été très discuté. Tout le monde a reconnu qu'il reviendrait au Conseil des États de retravailler cet article.
Biffer le profilage affaiblit le niveau actuel de protection des données, a relevé la ministre de la justice. Elle a soutenu une proposition individuelle de Balthasar Glättli (Verts/ZH) pour différencier les cas de figure. Il ne faudrait pas de consentement pour chaque profilage individuel mais pour ceux entraînant un risque élevé pour la personnalité notamment lorsqu'il y a appariement systématique de données provenant de sources différentes.
Le problème aujourd'hui est de savoir dans quelle mesure à l'ère du Big Data l'expression de la libre volonté du citoyen est encore possible, a relevé le Zurichois. Le profilage est essentiel dès lors qu'il est utilisé pour évaluer le risque représenté par exemple en matière d'assurance. En vain. Sa proposition a été rejetée par 131 voix contre 61.
Projet 3
Dépêche ATS
Délibérations au Conseil national, 25.09.2019
Le National adopte une loi très souple pour l'économie
La révision totale de la loi sur la protection des données est sur les rails. Le National l'a adoptée mercredi par 98 voix contre 68 et 27 abstentions. Hormis de rares compromis avec la gauche, les députés ont privilégié une version très souple pour l'économie.
Le projet débattu depuis mardi a opposé la droite, favorable à un projet le moins contraignant possible pour les entreprises, aux élus de la gauche et des Vert'Libéraux qui ont défendu les droits des personnes sur leurs données personnelles. Au bilan, le match s'est clairement soldé par une victoire des premiers.
La loi vise à obtenir la reconnaissance par l'UE de l'équivalence en matière de protection des données et à remplir les exigences de la convention 108 du Conseil de l'Europe. L'économie attend avec impatience cette mise à niveau aux standards européens. L'UE a introduit son Règlement général pour la protection des données (RGPD) il y a plus d'un an.
"Sur une dizaine de points décisifs, la droite a réussi à imposer son point de vue", a déploré Balthasar Glättli (Verts/ZH). La majorité veut faire sauter tous les verrous qui protègent les citoyens dans le traitement de leurs données ; on sera en-deçà du RGPD, de la convention du Conseil de L'Europe et même du droit en vigueur, a renchéri Cédric Wermuth (PS/AG).
La gauche a d'ores et déjà menacé de rejeter le projet en votation finale s'il n'est pas amélioré. Le rapporteur de commission, Matthias Jauslin (PLR/AG), a admis qu'un certain nombre de points comme le profilage qui permet de cerner la personnalité de quelqu'un à partir de ses données, ou la transmission d'informations à l'étranger devraient être retravaillés par le Conseil des États.
Droits limités des citoyens
Pour éviter un naufrage dès le débat d'entrée en matière, le PLR a fait mardi une concession à la gauche concernant l'aide sociale. Il a accepté que les données dans ce domaine soient considérées comme des données sensibles. L'UDC, qui critiquait un "monstre bureaucratique" s'est ainsi retrouvée totalement isolée.
Mais la suite des débats a montré peu de volonté de conciliation de la part de la droite. Les données relatives aux activités syndicales ne bénéficieront pas d'une protection particulière. Le consentement des personnes ne sera pas non plus exigé en cas de profilage, bien que cela affaiblisse le niveau actuel de protection, a averti la conseillère fédérale Karin Keller-Sutter.
Le projet énumère toute une série de règles en matière de devoir d'informer visant à renforcer la transparence. La droite a réussi à limiter cette obligation notamment si des efforts disproportionnés sont nécessaires. Le droit d'accès à ses données ne sera pas complètement gratuit, comme l'aurait voulu Isabelle Moret (PLR/VD).
Contre l'avis du Conseil fédéral, le National s'est encore opposé à une réglementation pour la gestion des données de personnes décédées. La gauche et plusieurs élus du centre auraient souhaité préciser les dispositions concernant la mort numérique. Selon la majorité, le Code civil suffit.
Les entreprises ou leurs sous-traitants devront tenir un registre des activités de traitement des données. Mais il y aura des exceptions pour celles de moins de 250 collaborateurs. Un compromis a été trouvé entre les souhaits de l'UDC qui réclamait 500 collaborateurs et ceux de la gauche qui voulait fixer le seuil à 50.
Droit de portabilité
Le projet prévoit une nouveauté, à savoir le droit pour les citoyens à récupérer leurs données s'ils veulent changer de prestataire. A nouveau, la droite a obtenu contre l'avis des Verts qu'il ne s'agisse que des informations communiquées et non de toutes les données personnelles qui auront été traitées par les algorithmes.
Le préposé à la protection des données devrait être élu par l'Assemblée fédérale. Une élection directe garantit mieux son indépendance, selon la majorité. Le PVL s'est insurgé contre la volonté du Parlement de vouloir nommer à-tout-va des hauts fonctionnaires chargés de l'opérationnel.
Le préposé devra disposer d'indices suffisants pour ouvrir une enquête. La droite a échoué d'un cheveu, par 99 voix contre 95, à durcir les conditions pour lui permettre d'investiguer d'office. En matière de sanctions, les amendes contre les personnes physiques devraient s'élever à 250'000 francs au maximum. La gauche aurait voulu 500'000 francs.
La loi entrera en vigueur lorsque le Conseil fédéral aura fixé la date en tenant compte notamment des besoins de l'économie privée. La droite aurait préféré un délai de deux ans, afin de donner aux entreprises le temps de procéder aux adaptations nécessaires.
À l'entame des débats, Karin Keller-Sutter a répété l'importance de cette révision pour l'économie. Mais elle a aussi souligné qu'il n'était pas question de revenir en arrière sur la protection des citoyens.
Dépêche ATS
Délibérations au Conseil des États, 18.12.2019
Les sénateurs renforcent plusieurs mesures
La nouvelle loi sur la protection des données divise les esprits. En automne, le National a passablement édulcoré le texte. Le Conseil des États a au contraire renforcé mercredi plusieurs mesures.
La réforme vise à mieux protéger les citoyens et à adapter la législation suisse au standard européen. Le Parlement a scindé le projet en deux. Les dispositions nécessaires à la mise en oeuvre d'une directive européenne liée à Schengen sont en oeuvre depuis mars.
La deuxième partie est indispensable pour obtenir la reconnaissance de l'équivalence en matière de protection des données par l'UE. Mais la copie issue du National abaisse le niveau de protection par rapport au droit actuel. Après un examen expéditif du projet, le Conseil des États s'en est éloigné tacitement sur plusieurs points.
Protéger les syndicats
Les sénateurs ont notamment estimé que les données relatives aux activités syndicales devaient bénéficier d'une protection particulière. La mesure permet d'éviter de créer des divergences avec la réglementation européenne. Le National avait décidé de les retirer de la liste des données sensibles.
La transparence doit également être renforcée, aux yeux des conseillers aux États. L'exception au devoir d'informer en cas d'efforts disproportionnés, décidée par le National, doit être supprimée. Pas question non plus d'établir un catalogue exhaustif des informations à fournir si l'on veut accéder aux données.
Le non-respect intentionnel des exigences de matière de sécurité des données doit par ailleurs être sanctionné. Et l'amende s'élever à 250'000 francs.
Pas de données sur les mineurs
Les droits des personnes faisant l'objet d'une évaluation de leur solvabilité doivent aussi être renforcés, selon les sénateurs. Les données traitées ne doivent pas être plus vieilles que cinq ans, et non dix comme le souhaite le National. Et elles doivent se rapporter à un adulte. Les députés veulent eux inclure les données concernant les mineurs.
Les journalistes doivent pouvoir disposer de données portant atteinte à la personnalité lorsque celles-ci ont été collectées et conservées en vue d'une publication. Même si l'article ne paraît jamais. La mesure vise à répondre à une crainte des médias.
Profilage à risque élevé
À la demande des députés, les sénateurs sont revenus sur le profilage qui permet de cerner la personnalité de quelqu'un à partir de ses données ou la transmission d'informations à l'étranger. Ils ont introduit, par 19 voix contre 14, la notion de "profilage à risque élevé". La protection ne sera renforcée que lorsqu'un traitement de données tombe dans cette catégorie.
La gauche et quelques membres du camp bourgeois ont tenté sans succès de revenir à la version initiale du gouvernement. Celle-ci prévoit une protection renforcée dès qu'un traitement de données correspond à un profilage, sans différencier en fonction du risque.
Les sénateurs ont par ailleurs rejoint les députés sur les entreprises. Celles qui engagent un conseiller à la protection des données bénéficieront d'allègements. Il s'agit de favoriser l'autorégulation et la responsabilisation.
Pour le camp rose-vert, les entreprises n'ont pas besoin d'incitations pour engager de tels conseillers. Rien n'y a fait. Les sénateurs ont voté par 25 voix contre 13 pour la mesure.
Au vote sur l'ensemble, les conseillers aux États ont approuvé le projet par 29 voix contre 4.
Dépêche ATS
Délibérations au Conseil national, 05.03.2020
Le profilage divise encore les Chambres fédérales
La révision de la loi sur la protection des données butte encore sur le profilage. Le National a rejeté jeudi une proposition des sénateurs pour une protection stricte des données des citoyens.
Le Conseil des États voulait corriger la version assez libérale choisie par le Conseil national. Il demandait une garantie de protection si le profilage à partir des données personnelles entraînait un risque "élevé" pour le citoyen. La gauche et les Vert'libéraux n'ont pas réussi à rallier la Chambre du peuple à ce concept.
Avec cette définition, les risques seraient différenciés. Les données transmises à une librairie pour lui permettre de cibler des ouvrages pour ses clients seraient considérées comme peu sensibles. En revanche, chacun se rappelle l'indignation qu'avait suscité le profilage pratiqué par les CFF, a rappelé Beat Flach (PVL/AG).
Il ne s'agit pas d'interdire le profilage, mais de savoir à quel moment il faut l'accord express des personnes pour le traitement de leurs données, a ajouté Cédric Wermuth (PS/AG). La question du profilage est au coeur de ce projet. En renonçant à la version du Conseil des États, on abaisse le niveau actuel de protection des données à l'heure même du Big Data", a mis en garde Balthasar Glättli (Verts/ZH).
Pas de "swiss finish"
En vain. Le PLR, le PDC et l'UDC ont rejeté la proposition des sénateurs. Avec cette définition restrictive, pratiquement tout traitement de données tomberait sous le coup du Règlement général pour la protection des données (RGPD) adopté par l'UE en novembre 2018. Ce serait du "swiss finish", a relevé Marco Romano (PDC/TI) pour qui la loi ne doit pas générer davantage d'interventionnisme.
Le PLR, le PDC et le PVL ont finalement opté pour un compromis. La protection serait garantie en cas de "profilage aboutissant à des données personnelles sensibles". Au vote, cette proposition a passé par 65 voix contre 57 et 65 abstentions issues du PS et des Verts.
La conseillère fédérale Karin Keller-Sutter a cependant rappelé que le traitement de données sensibles était déjà réglé dans le droit actuel. Et pour Balthasar Glättli (Verts/ZH), cette définition est une coquille vide.
Évaluation de la solvabilité
Les députés ont également refusé la solution du Conseil des États au sujet des données sur la solvabilité. La gauche a vainement plaidé pour qu'on dise au citoyen si ses données sont utilisées pour évaluer sa solvabilité.
Par 105 voix contre 83, la droite l'a également emporté pour que les données puissent remonter à dix ans et non cinq comme l'aurait souhaité le Conseil fédéral. "Dix ans, c'est long. Beaucoup de choses peuvent avoir changé entretemps", a plaidé la ministre de la justice.
D'autres divergences sont encore sur la table. Parmi les données personnelles à protéger, le National ne veut protéger que les données génétiques permettant d'identifier une personne sans équivoque. Beat Flach (PVL/AG) a pourtant répété que les données génétiques sont par définition sensibles.
La protection des mineurs est quant à elle garantie. Les personnes dont les données seront traitées devront être majeures. Il n'y aura pas d'obligation d'informer les personnes de tous leurs droits. Les responsables du traitement ne pourront pas invoquer des efforts disproportionnés pour ne pas informer. En revanche, les entreprises bénéficieront de règles plus souples pour l'échange de données internes entre elles.
D'ici au 20 mai
La révision de loi vise à obtenir la reconnaissance par l'UE de l'équivalence en matière de protection des données et à remplir les exigences de la convention 108 du Conseil de l'Europe. La Suisse a jusqu'au 20 mai pour s'aligner sur l'Europe. La loi sera donc au menu de la session spéciale les 4 et 5 mai.
Sans équivalence, les entreprises seront contraintes de prouver au cas par cas qu'elles garantissent la protection des données. Pour éviter cette perspective coûteuse, la loi contient plusieurs dispositions pour se conformer aux standards européens.
Gregor Rutz (UDC/ZH) n'a d'ailleurs pas manqué de regretter une reprise intégrale du RGPD dans le droit suisse. "En voulant strictement protéger les données des citoyens, on s'empêtre dans des contradictions sans fin", a-t-il dit.
Dépêche ATS
Délibérations au Conseil des États, 02.06.2020
Le Conseil des États veut des gardes fous au profilage à risque
Le Conseil des États s'est rallié mardi sur plusieurs points au National sur la révision de la loi sur la protection des données, mais a maintenu des divergences. Par 39 voix contre 5, il a notamment maintenu une définition plus stricte du profilage à risque élevé.
Les sénateurs ont accepté le compromis proposé par le Conseil national visant à protéger les données personnelles sensibles, mais veulent préciser la définition du profilage à risque élevé, a précisé Daniel Fässler (PDC/AI) au nom de la commission. Cette précision s'appuie sur la définition prévue par le droit actuel pour les profils de personnalité et assure exactement le même niveau de protection que le droit en vigueur.
La sécurité juridique est dès lors garantie. Les sénateurs ont rejeté la proposition de Ruedi Noser (PLR/ZH) demandant de suivre la version du National. Selon lui, la définition du Conseil des États mènerait à une interdiction de facto du profilage.
Solvabilité à cinq ans
Les sénateurs ont par ailleurs maintenu que les données traitées dans le but d'évaluer la solvabilité d'une personne ne doivent pas dater de plus de cinq ans. Damian Müller (PLR/LU) a plaidé en vain pour que ce délai soit étendu à 10 ans, à l'instar de la solution choisie par le Conseil national. Il souhaitait également que les données issues de registres publics ne soient soumises à aucun délai.
Parmi les données personnelles à protéger, les sénateurs ont maintenu leur divergence en demandant de protéger les données génétiques qui sont des données particulièrement sensibles. Le National proposait de ne protéger que les données génétiques permettant d'identifier une personne sans équivoque.
Important pour l'économie
Pour l'économie suisse, il est particulièrement important que cette révision puisse entrer en vigueur, a souligné la conseillère fédérale Karin Keller-Sutter. Elle a appelé les sénateurs à suivre les propositions de la majorité de la commission, dont elle a salué le travail, notamment sur la question "centrale" du profilage à risque élevé.
La révision de la loi sur la protection des données donne lieu à des visions différentes selon les Chambres fédérales. En première lecture, le Conseil des États a voulu corriger la version assez libérale choisie par le National en demandant une garantie de protection si le profilage à partir des données personnelles entraînait un risque "élevé" pour le citoyen. La Chambre du peuple n'a pas voulu de ce concept, mais a revu sa copie pour se rapprocher des États.
Dépêche ATS
Délibérations au Conseil national, 17.09.2020
Le Parlement toujours divisé sur le profilage
La question du profilage continue de diviser le Parlement. Le National a rejeté jeudi par 98 voix contre 88 un compromis du Conseil des États. Selon la majorité de droite, le profilage ne doit pas être soumis à des exigences particulières.
Le Conseil des États a dès le début des débats voulu ancrer dans la loi le concept de "profilage à haut risque" afin de mieux protéger les citoyens. Notamment en cas d'agrégation des données. Une majorité des députés considère cependant ces précisions comme exagérées.
"Dans le monde numérique, le profilage est une réalité de fait", a indiqué Marco Romano (PDC/TI). Il est inutile de vouloir créer une insécurité juridique. La notion de profilage à risque élevé n'existe pas dans la réglementation européenne, a ajouté pour la commission Damien Cottier (PLR/NE).
Moins bien que le droit en vigueur
Pour la droite, la révision de loi contient un dispositif suffisant pour la protection des données. Une interprétation que ne partage pas la gauche. "Il ne faut pas abaisser le niveau de protection du droit actuel", a déclaré Balthasar Glättli (Verts/ZH).
Aujourd'hui, grâce aux données de mouvements, on peut voir qui rencontre qui, à quel moment, à quelle heure et à quel endroit. Il s'agit de profilage à haut risque. "Les conséquences juridiques ne devraient pas être les mêmes", a abondé Corina Gredig (PVL/ZH).
La ministre de la justice Karin Keller-Sutter a également tenté en vain de défendre le compromis du Conseil des États. Il s'agit d'un recul net par rapport au droit en vigueur. "Le profilage va devenir un enjeu de plus en plus sensible dans les années qui viennent", a-t-elle mis en garde.
Les députés ont en outre rejeté un droit d'opposition pour le profilage comme l'aurait souhaité Balthasar Glättli (Verts/ZH). Et par 104 voix contre 87, ils veulent que les données traitées dans le but d'évaluer la solvabilité d'une personne puissent remonter jusqu'à dix ans et non cinq comme le préconisent le Conseil fédéral et le Conseil des États.
Risque d'échec en votation finale
C'était la troisième fois que le Conseil national se penchait sur ce dossier. Le Conseil des États reprendra les dernières divergences la semaine prochaine. Le PS et les Verts ont déjà averti qu'ils rejetteraient le projet en votation finale s'il débouche sur une péjoration du droit actuel. L'UDC s'est opposée dès le début à cette nouvelle réglementation. La conseillère fédérale s'est inquiétée d'un éventuel échec en votation finale.
Dépêche ATS
Délibérations au Conseil des États, 23.09.2020
Le Conseil des États tient fermement au profilage à haut risque
Le Conseil des États ne veut rien lâcher sur la question du profilage. Il tient à faire figurer dans la loi sur la protection des données la notion de profilage à haut risque. Une conférence de conciliation tentera jeudi de mettre les Chambres d'accord.
Les sénateurs ont maintenu mercredi une divergence avec le Conseil national. Elle porte sur le profilage à haut risque qui selon eux doit être soumis à des exigences particulières. Selon eux, les citoyens doivent bénéficier d'une protection particulière à l'heure où toutes les données sont agrégées.
Le Conseil des États a dès le début des débats voulu ancrer dans la loi le concept de "profilage à haut risque". Le National considère cependant cette précision comme exagérée. Cette notion n'existe pas dans la réglementation européenne, créant une insécurité juridique, selon les députés.
Mercredi, la ministre de la justice Karin Keller-Sutter a répété que le compromis du Conseil des États procurait au contraire la sécurité juridique. Il permet de garder le même niveau de protection que celui en vigueur. La solution du National irait en deçà. La conseillère fédérale a rappelé que si cette version était maintenue, le projet courrait de gros risques en votation finale.
Solvabilité
Les sénateurs se sont par contre ralliés au National sur les données traitées dans le but d'évaluer la solvabilité d'une personne. Celles-ci pourront remonter jusqu'à dix ans et non cinq comme l'avait proposé le Conseil fédéral.
C'était la troisième fois que le Conseil des États se penchait sur ce dossier. Le PS et les Verts ont déjà averti qu'ils rejetteraient le projet en votation finale s'il débouche sur une péjoration du droit actuel. L'UDC s'est opposée dès le début à cette nouvelle réglementation.
Dépêche ATS
Délibérations au Conseil national, 24.09.2020
La loi encadrera le profilage à haut risque
Le profilage à haut risque figurera dans la loi sur la protection des données. Le Conseil national a finalement accepté jeudi de soumettre cette pratique à des exigences particulières, suivant la proposition de la conférence de conciliation.
La question du profilage a divisé les Chambres depuis trois ans. La gauche et le PVL ont défendu mordicus que le traitement de données permettant de dresser un profil précis de la personnalité des citoyens grâce à un appariement des données provenant de sources différentes devait être strictement encadré. Ils ont finalement obtenu gain de cause.
"On a besoin d'une loi sur la protection des données moderne et adaptée aux exigences européennes", a déclaré Matthias Samuel Jauslin (PLR/AG) pour la commission. La mouture présentée par la conférence de conciliation mentionne ainsi explicitement le profilage à risque élevé. Le National l'a acceptée par 134 voix contre 42, l'UDC étant la seule formation à la rejeter. Le Conseil des États a confirmé à l'unanimité.
Cette précision s'appuie sur la définition prévue par le droit actuel pour les profils de personnalité et assure exactement le même niveau de protection que le droit en vigueur. La sécurité juridique est dès lors garantie. En outre, elle n'implique aucune augmentation des procédures pour les entreprises, a rappelé Damien Cottier (PLR/NE).
Adaptée au Big Data
La droite avait fait barrage estimant cette disposition inutile. Elle arguait en outre que cette définition du profilage n'existe pas dans le droit européen.
La loi révisée est ainsi adaptée à la digitalisation et au Big Data. Aujourd'hui, grâce aux données de mouvements, on peut voir qui rencontre qui, à quel moment, à quelle heure et à quel endroit. Ces renseignements méritent une protection particulière, a rappelé à de multiples reprises Balthasar Glättli (Verts/ZH).
Durant tous les débats, l'UDC et le PLR ont tout fait pour restreindre au strict minimum les nouvelles obligations imposées aux entreprises. La gauche et le PVL ont mis au contraire en avant la nécessité de protéger les utilisateurs et leurs données, parfois sans succès.
La gauche avait menacé de ne pas adopter le projet de loi en votation finale si le profilage n'était pas précisé. L'UDC s'est quant à elle tout du long opposée à cette nouvelle réglementation qu'elle considère comme un monstre bureaucratique. La ministre de la justice Karin Keller-Sutter avait averti qu'un échec de la loi nuirait surtout aux entreprises.
Équivalence avec l'UE
La révision de loi vise à obtenir la reconnaissance par l'Union européenne (UE) de l'équivalence en matière de protection des données. Dans l'UE, le nouveau Règlement général pour la protection des données (RGPD) est entré en vigueur le 25 mai 2018. La Suisse avait jusqu'au 20 mai pour s'aligner.
Sans équivalence, les entreprises seraient contraintes de prouver au cas par cas qu'elles garantissent la protection des données. Pour éviter cette perspective coûteuse, la loi contient plusieurs dispositions pour se conformer aux standards européens.
La révision apporte aux citoyens une meilleure protection de leurs données. Ils devront être informés. La protection des mineurs est garantie. Les personnes dont les données seront traitées devront être majeures. Il y a une liste des données considérées comme sensibles. Les entreprises seront elles soumises à certaines nouvelles obligations.