Lexipedia

17.4088 · Interpellation · 2017-12-13

Département de justice et police

Liquidé

Wortlaut

Il n'y a guère d'entreprises suisses qui ne soient pas touchées par le nouveau règlement général sur la protection des données (RGPD), qui s'appliquera dans l'UE à partir du 25 mai 2018. Ce règlement impose une charge bureaucratique considérable à toutes les sociétés ayant des clients dans l'UE. De nombreuses questions concernant la mise en oeuvre concrète sont encore pendantes et je charge le Conseil fédéral d'y répondre :

1. L'UE continuera-t-elle de reconnaître l'équivalence de la législation suisse en matière de protection des données ?

2. Quel est l'interlocuteur des entreprises suisses (par ex. en matière d'obligation d'informer) en ce qui concerne le RGPD et la nouvelle loi sur la protection des données (p-LPD) ? Est-ce le PFPDT, un organe de l'UE, voire les deux ?

3. Est-ce un organe suisse qui est compétent pour enquêter sur des entreprises suisses et, le cas échéant, leur imposer des sanctions ? Selon quelles modalités et quel est cet organe ?

4. Une entreprise peut-elle être sanctionnée deux fois pour une même infraction, une fois par la Suisse et une fois par l'UE ?

5. Une entreprise peut-elle être sanctionnée par l'UE ou par un de ses États membres même si elle se conforme au droit suisse ?

6. Les certifications et les organismes de certification suisses sont-ils reconnus par l'UE ?

7. La Suisse est-elle associée à l'élaboration des normes ?

8. Plusieurs dispositions du RGPD renvoient à la législation des États membres. Quel rôle joue le droit suisse à cet égard ?

9. Toutes ces questions montrent qu'un gros effort de coordination est nécessaire, avant même que les débats parlementaires relatifs à la révision de la LPD ne démarrent. C'est pourquoi la motion 16.3752 chargeait le Conseil fédéral d'approcher l'UE pour préparer un accord à ce sujet. Lors de l'heure des questions du 4 décembre 2017, le Conseil fédéral a fait savoir, dans sa réponse à ma question 17.5528, qu'il n'envisageait pas de prendre contact avec la Commission européenne avant les débats parlementaires. Or les questions évoquées ci-dessus vont se poser à de nombreuses entreprises suisses dès mai 2018 déjà. Ces questions de mise en oeuvre seront par ailleurs très précieuses pour les délibérations concernant la LPD suisse. Quelles démarches le Conseil fédéral entend-il prendre pour pallier aussi rapidement que possible le manque de coordination par la voie d'accords internationaux ?

Stellungnahme des Bundesrates

1. Le maintien de la décision d'adéquation de l'UE est une des priorités du Conseil fédéral. C'est dans ce but notamment qu'il a décidé de rapprocher le contenu du P-LPD des exigences du projet de modernisation de la convention STE 108, et du RGPD. Il n'est à l'heure actuelle pas possible de prévoir quand la Commission européenne procédera à une nouvelle évaluation du droit suisse de la protection des données, ni s'il en découlera un résultat positif. Si la Suisse veut conserver sa décision d'adéquation, elle doit offrir un niveau de protection comparable à l'UE. Le résultat de l'évaluation dépendra en grande partie des décisions du Parlement dans le cadre de la révision de la législation suisse en matière de protection des données.

Étant donné que la CIP-N a décidé de scinder le projet et de procéder à son examen en deux temps (voir ch. 9 ci-dessous) des retards sont probables. Si, lors de sa prochaine évaluation, la Commission européenne arrive à la conclusion que la législation helvétique n'offre plus un niveau de protection adéquat - parce que la LPD n'a pas encore été révisée - elle pourra révoquer, modifier ou suspendre sa décision. L'économie, et en particulier les PME, s'en trouveraient pénalisées. Les données personnelles en provenance de l'UE ne pourraient plus être transférées sans autre en Suisse et des garanties supplémentaires devraient être prévues. Ainsi, les entreprises suisses devraient s'engager contractuellement à l'égard des entreprises de l'UE à respecter le niveau de protection européen.

2. Chaque autorité appliquera son propre droit. Lorsque le responsable du traitement estimera être soumis tant à la LPD qu'au RGPD, il s'annoncera au préposé et à l'autorité de contrôle étrangère compétente.

3. Une enquête et le prononcé de sanctions contre une entreprise sise en Suisse mais soumise au RGPD seront de la compétence des autorités de contrôle des États membres de l'UE. Sans accord de coopération, ces dernières ne pourront toutefois pas effectuer par elles-mêmes des actes d'enquêtes en Suisse. Dans les cas où l'entreprise est tenue de désigner un représentant dans l'UE (art. 27 RGPD), les autorités de contrôle européennes pourront notifier leurs décisions à l'entreprise suisse par le biais de ce représentant, sans passer par la voie diplomatique.

4. Cette hypothèse n'est pas exclue. Le principe ne bis in idem (interdiction de la double incrimination) pourrait cependant entrer en ligne de compte s'agissant d'un concours entre des amendes administratives de l'UE et des sanctions pénales des autorités de poursuite pénale en Suisse.

5. Oui, si elles sont soumises au RGPD et qu'elles y contreviennent.

6. Le RGPD ne prévoit pas de procédure de reconnaissance de la part de l'UE concernant des certifications et des organismes de certification suisses.

7. Le RGPD ne contient aucune disposition prévoyant une telle association. Il n'est toutefois pas exclu que des entreprises suisses puissent être impliquées, par exemple dans le cadre de l'élaboration de codes de conduites.

8. La Suisse n'est pas un État membre au sens du RGPD, et ce indépendamment du fait que cet acte puisse s'appliquer à des entreprises suisses en vertu de son art. 3, al. 2,. Les renvois à la législation des États membres ne visent ainsi pas le droit suisse, qui ne joue dès lors aucun rôle.

9. La conclusion d'un accord de coopération entre la Suisse et l'UE prendra vraisemblablement plusieurs années ; les chances de succès dépendront de la capacité de la Suisse à démontrer que sa législation en matière de protection des données offre un niveau de protection adéquat au sens du RGPD. Pour cette raison, le Conseil fédéral avait estimé opportun d'attendre le début des travaux parlementaires. Il avait envisagé une première prise de contact avec la Commission européenne début 2018. Compte tenu toutefois de la décision de la CIP-N du 11 janvier dernier de traiter en priorité les modifications législatives nécessaires à la mise en oeuvre de l'acquis de Schengen, et de traiter les modifications visant à se rapprocher des exigences du RGPD dans un deuxième temps, le Conseil fédéral entend suspendre ses démarches pour l'instant.

Réponse du Conseil fédéral.