Une loi jugée trop molle
Le Conseil fédéral veut obliger les entreprises à informer leurs clients des données récoltées à leur sujet. Mais les sanctions sont bien inférieures à ce qui se fait dans l’UE
L’Espagne vient d’infliger une amende de 1,2 million d’euros à Facebook pour avoir récolté de nombreuses données sur ses utilisateurs sans les «informer de manière claire» sur l’usage, en l’occurrence publicitaire, qui en était fait. La nouvelle loi sur la protection des données adoptée vendredi par le Conseil fédéral a elle aussi pour but d’obliger les entreprises qui récoltent des informations sur leurs clients, comme les magasins de vente en ligne, à les informer de l’utilisation qui en est faite. En théorie. Car l’absence de sanctions comparables à celles de l’UE risque de rendre la nouvelle législation suisse peu mordante. C’est ce que craint le préposé fédéral à la protection des données: «Les sanctions prévues, soit une amende de 250 000 francs au plus, semblent peu dissuasives en regard de celles qui sont fixées par le règlement général de l’UE, soit 200 millions d’euros ou 4% du chiffre d’affaires annuel», commente-t-il dans une prise de position.
Préposé du canton du Valais, Sébastien Fanti résume cela de manière beaucoup plus directe: «Cette nouvelle loi est une révision M-Budget qui est en position disruptive par rapport à l’UE. Les entreprises suisses sont de toute manière confrontées aux règles européennes. Il faut leur éviter une double réglementation. On leur rend ici un mauvais service», martèle-t-il. L’objectif de la révision est certes d’intégrer les risques d’Internet dans la législation sur la protection des données.
«La loi existante est d’une autre époque», relève la ministre de la Justice, Simonetta Sommaruga. Dans son avant-projet, le Conseil fédéral était cependant prêt à aller plus loin, aussi bien pour la réglementation que pour les sanctions. Il avait proposé un plafond de 500 000 francs pour les amendes. Mais les milieux économiques ont fait barrage, en particulier l’Union suisse des arts et métiers (USAM), pour qui le projet revu vendredi va encore trop loin.
«Mort numérique»
La loi consacre le principe général de l’obligation d’informer les particuliers. Elle laisse toutefois une large place à l’auto-réglementation. Pour l’USAM, c’est encore trop: trop «bureaucratique», trop lourd administrativement, «disproportionné», trop «focalisé sur les risques potentiels» et insuffisamment sur les «intérêts des PME». Le projet renforce par ailleurs le pouvoir du préposé fédéral. Aujourd’hui, il ne peut émettre que des recommandations. A l’avenir, il pourra prendre des mesures provisionnelles et rendre des décisions contraignantes mais, contrairement à ce qui se fait dans l’UE, il ne pourra pas prononcer de sanctions administratives. Seul un tribunal pourra le faire. Entre les intérêts des PME défendus par l’USAM et ceux de la protection de la sphère privée, il y a un fossé béant. Le parlement devra jongler entre ces deux extrêmes.
Parmi les autres innovations, il faut citer le traitement des données des personnes décédées. Le projet propose de reconnaître le droit des héritiers et de l’exécuteur testamentaire de les détruire, c’est-à-dire de provoquer la «mort numérique» du défunt.
▅
«Cette nouvelle loi est une révision M-Budget»
SÉBASTIEN FANTI, PRÉPOSÉ À LA PROTECTION DES DONNÉES DU CANTON DU VALAIS