Lexipedia

Burkhalter Didier · Nationalrat · 2004-03-10

Burkhalter Didier · Nationalrat · Neuenburg · Freisinnig-demokratische Fraktion · 2004-03-10

Wortprotokoll

Nous sommes donc en présence d'un double projet: d'une part un projet de révision de la loi fédérale sur la protection des données, et d'autre part un projet d'arrêté fédéral concernant l'adhésion de notre pays à un Protocole additionnel à la Convention pour la protection des données dans le cadre du Conseil de l'Europe.

Il ne s'agit pas d'une révision fondamentale de la loi fédérale actuelle, dont l'entrée en vigueur date de 1993, soit d'à peine plus de dix ans, et qui - il faut le dire d'emblée et clairement - donne globalement satisfaction, mais il s'agit d'une révision ponctuelle dont l'objectif essentiel devrait être l'amélioration de la transparence, en particulier la transparence lors de l'information des personnes sur lesquelles des données sensibles sont collectées.

A l'origine de cette révision, il y a en fait trois impulsions: les deux premières sont des motions du Parlement, provenant plus exactement de commissions du Conseil des Etats, et la troisième réside dans l'harmonisation du droit européen. [PAGE 232]

La première motion 98.3529, intitulée en résumé "Liaisons online", a été adoptée il y a déjà plus de quatre ans. Elle concerne seulement l'administration, elle vise l'établissement de bases légales pour toute liaison en ligne vers des banques de données de la Confédération, même s'il s'agit de projets pilotes.

La seconde motion 00.3000 a été acceptée en l'an 2000, soit une année plus tard. Elle touche également le secteur privé. Elle a pour objectif le renforcement de la transparence, en introduisant l'obligation pour les personnes privées et pour les organes fédéraux aussi, d'informer les personnes concernées lors de la collecte de données personnelles, sensibles et lors de profils de la personnalité.

A cela s'ajoute donc un Protocole additionnel à la Convention pour la protection des données du Conseil de l'Europe, qui date de 2001. Son objectif général réside dans l'harmonisation des conditions de communication des données au travers des frontières des Etats membres.

Avec la révision proposée de la loi, le principe selon lequel la collecte, et notamment les finalités du traitement, doivent être reconnaissables s'appliquera non seulement aux organes fédéraux, mais également au secteur privé. On introduit un devoir d'informer et on attend en fait du collecteur des données une information active à l'égard des personnes concernées. En plus de ce devoir d'informer, le projet de loi renforce également la procédure d'opposition. Ainsi, le maître du fichier aurait l'obligation de suspendre immédiatement le traitement des données si une personne concernée s'y opposait. Par ailleurs, on peut aussi dire que le Préposé fédéral à la protection des données recevrait, d'après le nouveau projet de loi, de nouvelles compétences de surveillance sur le secteur privé.

La commission est donc entrée en matière sans opposition sur cette révision de la loi fédérale sur la protection des données. Ainsi a-t-elle reconnu pleinement la nécessité de donner suite, sur le fond, à l'essentiel des deux motions adoptées. La majorité de la commission a toutefois décidé de vous proposer de renvoyer le projet actuel au Conseil fédéral. Cette décision a été prise par 12 voix contre 11.

Cette décision découle essentiellement du double constat suivant: d'une part, la révision va beaucoup plus loin que ce qui était demandé et, d'autre part, elle ne tient pas suffisamment compte des réalités pratiques vécues par les entreprises privées concernées. En effet, la commission a recouru à des auditions auprès de représentants des différents milieux concernés. Elle s'est alors rendu compte que la révision proposée n'avait pas été élaborée avec suffisamment d'attention au point de vue des praticiens d'entreprises - un point de vue de la pratique qui, d'ailleurs et de manière plus générale, devrait être également mieux pris en compte lors de l'élaboration des ordonnances.

Dans le cadre de ces auditions, la majorité de la commission a estimé que le projet devait être réexaminé dans des domaines fondamentaux tels que l'élargissement du devoir d'information, les éléments reconnaissables de la collecte des données et le devoir d'enregistrement des fichiers. Dans ce domaine, l'amélioration proposée va dans la bonne direction avec le recours à l'autoréglementation, à des procédures de certification et à des labels de qualité, mais sans en avoir réellement, là encore, examiné la faisabilité pratique. Et l'on peut ainsi s'interroger sur l'utilité de désigner un conseiller à la protection des données pour certaines entreprises.

Autre domaine à réexaminer: la question de la suspension immédiate du traitement des données lorsqu'une personne concernée s'y oppose. Dans la pratique, cela risque de s'avérer tout simplement impossible, en tout cas excessif. La majorité de la commission a acquis la conviction que le projet actuel se rapproche par trop d'un système dans lequel l'exploitation des données est en principe interdite mais peut être autorisée, alors que la législation devrait avant tout permettre de combattre efficacement les abus. On court le risque de noyer de bonnes et justes intentions de protection dans un système bureaucratique et procédurier excessif qui, de plus, ne servirait pas - pas forcément en tout cas - les intérêts légitimes de l'individu, mais pourrait plutôt conduire relativement facilement à l'abus de droit.

Dans le cadre de ses auditions, la commission s'est encore interrogée sur le rapport coût/efficacité des différentes mesures proposées en matière d'augmentation de la transparence. Par exemple dans le domaine de l'assurance-maladie, il est ainsi apparu que le nouveau devoir d'informer, notamment lors de décisions individuelles automatisées, n'apportait pas forcément des informations utiles tout en impliquant d'importantes dépenses administratives et bureaucratiques, lesquelles se reporteraient bien sûr sur les primes, alors même que le nombre de demandes de renseignements s'avère actuellement extrêmement faible. Une caisse d'assurance-maladie, à titre d'exemple, a cité le chiffre de dix à douze demandes par année pour 1,4 millions d'assurés.

La majorité de la commission estime que la législation actuelle permet d'assurer un haut niveau de protection des données et constate, s'agissant de la communication des données vers l'étranger, que la conformité avec les dispositions de l'Union européenne a été attestée. Si la commission s'accorde très largement sur le fait que le projet proposé doit être revu, ou plus exactement allégé, concentré sur l'essentiel, la commission est en revanche partagée sur la manière d'y parvenir.

Une minorité importante a estimé que le projet pouvait être amélioré directement en commission, mais la majorité a donc décidé de vous proposer de renvoyer ce projet au Conseil fédéral avec le mandat de présenter rapidement un nouveau projet. Un projet qui s'en tienne à une révision de la loi sur la protection des données strictement limitée aux aspects contenus dans les deux motions et aux seules adaptations nécessaires du droit européen, à savoir le devoir d'informer sur les données sensibles, les bases légales pour les liaisons en ligne avec les banques de données de la Confédération et puis le Protocole additionnel à la Convention du Conseil de l'Europe. Ce faisant, et dans la volonté non remise en cause d'atteindre davantage de transparence, le Conseil fédéral devra également mieux tenir compte des réalités de la vie économique - du terrain et des entreprises, si vous voulez -, et donc de la croissance et des emplois.