Protection des données: le tigre (de papier) commence à rugir
Vingt millions d’euros, tel est le montant maximal de l’amende prévue en cas de violation des nouvelles règles européennes en matière de protection des données. Dans un avant-projet de révision de la loi suisse, le Conseil fédéral adopte une position plus mesurée, en limitant les sanctions à 500000 francs.
Cela dit, la réglementation européenne est appelée à avoir une portée extraterritoriale. Elle s’appliquera, par exemple, aux entreprises suisses qui traitent des données personnelles dans le cadre de l’offre de biens ou de services à des personnes localisées dans l’Union européenne. L’année 2017 sera ainsi une année cruciale pour ajuster les pratiques des entreprises aux nouvelles règles de protection des données qui entreront en vigueur en 2018.
C’est probablement la Cour de justice européenne qui a accéléré l’adoption du nouveau cadre réglementaire européen. En 2014, cette juridiction européenne a jugé qu’un particulier bénéficiait du droit d’obtenir son «déréférencement» de moteurs de recherche sur Internet (affaire Google Spain SL). En 2015, cette même autorité a également contraint la Commission européenne à renégocier les conditions auxquelles des données personnelles peuvent être transférées aux Etats-Unis (affaire Schrems).
Le droit européen de la protection des données a connu une profonde mutation par le biais de l’adoption du Règlement général sur la protection des données (RGPD). A compter du 25 mai 2018, le RGPD introduira un régime unifié au sein de l’UE, en remplacement de la directive actuelle (directive 95/46/CE) qui avait été transposée de manière disparate par les Etats membres.
La Suisse ne pouvait pas rester immobile face à cette évolution judiciaire et législative. Un avant-projet de révision de la loi fédérale suisse sur la protection des données (LPD) a été présenté le 21 décembre 2016. Comme tant d’autres projets législatifs soumis au parlement durant ces dernières années, ce projet vise à aligner le droit suisse avec les nouvelles règles européennes. Cet ajustement est nécessaire afin que la Suisse continue à être reconnue en tant que juridiction dont la législation en matière de protection des données est jugée «adéquate» dans la perspective de l’UE. Le maintien de ce label de qualité est essentiel pour permettre un transfert de données personnelles entre la Suisse et l’UE à des conditions raisonnables pour les entreprises.
Au-delà des sanctions, les nouvelles règles européennes et suisses visent à améliorer la mise en oeuvre (enforcement) de la protection des données en renforçant les droits des personnes concernées par un traitement de données personnelles et en accordant des pouvoirs coercitifs aux autorités de contrôle. En Suisse, le préposé fédéral à la protection des données et à la transparence pourra procéder à des enquêtes, même si le prononcé des sanctions restera du ressort des autorités pénales.
La transparence des processus de traitement de données personnelles sera significativement accrue: chaque responsable devra informer en détail les personnes concernées du but et des modalités du traitement de leurs données personnelles. Vu que le responsable du traitement n’a pas nécessairement un contact direct avec les personnes concernées, des privacy notices – à la fois complètes et aisément compréhensibles – devront être publiées sur le site internet des entreprises concernées.
Par ailleurs, le droit d’accès, à savoir la possibilité pour une personne concernée d’obtenir des informations sur les données personnelles qui sont traitées, est également renforcé. Enfin, les autorités de surveillance devront être informées immédiatement en cas de perte (leak) de données personnelles. A noter qu’à l’avenir, seules les données personnelles de personnes physiques seront protégées, alors que le droit suisse actuel vise également les données personnelles de personnes morales. Cette particularité helvétique est amenée à disparaître.
Le corollaire de ce renforcement des moyens d’action à disposition des particuliers et des autorités est la nécessité d’adapter les processus internes au sein des entreprises. Les nouvelles règles engendreront également un devoir de documentation. Il appartiendra en effet aux responsables du traitement d’apporter la preuve qu’ils ont pris toutes les mesures nécessaires pour se conformer aux nouvelles règles. Ainsi, les mesures suivantes pourraient notamment être envisagées afin d’assurer la conformité aux nouvelles règles:
– Rédaction ou revue des privacy notices à la lumière des nouvelles exigences.
– Définition de processus internes pour le traitement des requêtes des personnes concernées (tel le droit d’accès aux données personnelles).
– Revue des contrats qui sont conclus avec des sous-traitants et des sociétés affiliées et qui impliquent un traitement de données personnelles.
– Définition d’une gouvernance en matière de protection des données, afin de garantir le respect continu des nouvelles règles et le partage du know-how en la matière.
Toute entreprise suisse qui traite des données personnelles devrait examiner ses directives et processus internes afin de se préparer à l’entrée en vigueur du nouveau cadre légal. Compte tenu de la portée extraterritoriale de la réglementation européenne, les entreprises suisses devront également tenir compte du RGPD. Dans certains cas, elles se verront notamment contraintes de nommer un «représentant» au sein de l’UE.
Le nouveau droit suisse reflétera sans doute fidèlement le droit européen. Il est peu vraisemblable que la procédure parlementaire apporte des changements fondamentaux par rapport à l’avant-projet publié en décembre 2016. Les nouvelles règles, applicables dès 2018, sont donc pour l’essentiel connues. A charge maintenant aux entreprises de profiter de l’année 2017 pour les mettre en oeuvre de manière raisonnable et en minimisant l’impact sur la marche des affaires.
En Suisse, la LPD a longtemps été considérée comme un tigre de papier. Après une décennie pendant laquelle la transparence et l’échange de données personnelles dominaient le débat public, les questions de protection de la sphère privée et des données personnelles reviennent sur le devant de la scène. Le nouveau cadre légal sortira sans doute le tigre de sa torpeur.
▅