Droit de la protection des données : Evolution du paysage suisse et européen

Adrien Tharin

Anna Willi

Article

Avril 2017

Corporate

Commercial

International

par

L'équipe Altenburger

Adrien

Tharin

Anna

Willi

Adrien Tharin

Anna Willi

Droit de la protection des données : Evolution du paysage suisse et européen

Adrien Tharin

Anna Willi

Avril 2017

Il y a un peu moins d'un an, le Parlement Européen adoptait le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("Règlement général sur la protection des données", ou "RGPD"). Ce nouveau texte renforce les droits des citoyens de l'UE en leur permettant d'obtenir des informations complémentaires sur le traitement des données qui les concernent, sous une forme claire, accessible et compréhensible. Il concrétise également au niveau européen le droit à la rectification d'informations qui seraient inexactes. Il introduit enfin le droit à l'oubli, consacrant ainsi au plan législatif la décision de la Cour de Justice Européenne (Arrêt du 13 mai 2014, Google c. Agence Espagnole de Protection des Données), ainsi que le droit à la portabilité des données, soit la possibilité d'exiger du responsable du traitement qu'il remette à la personne concernée les données la concernant sous un format permettant leur traitement par un autre responsable (et facilitant ainsi leur transfert auprès d'un concurrent).

___
‍

Droit de la protection des données : Evolution du paysage suisse et européen

Ce Règlement entrera en vigueur le 24 mai 2018. D'ici là, les états membres de l'UE devront adapter leur législation pour permettre aux entreprises et aux particuliers de se conformer à leur obligations, notamment par l'adoption de codes de conduite, de procédures de certification et de surveillance. Les autorités nationales compétentes en matière de protection des données pourront par ailleurs infliger des amendes allant jusqu'à 4% du chiffre d'affaire mondial de l'entreprise concernée et pourront prononcer des sanctions de manière conjointes (plusieurs autorités d'états membres différents). Enfin, il est prévu de créer un Comité Européen de la Protection des Données, en charge de surveiller les autorités nationales et d'arbitrer les éventuels conflits survenant entre elles.

En Suisse, le Conseil Fédéral a rendu le 21 décembre 2016 son avant-projet de loi sur la révision totale de la loi sur la protection des données (LPD). Celui-ci s'inscrit dans la "Stratégie Suisse numérique" du 20 avril 2016 et fait suite à une évaluation de la législation en vigueur. Il en est ressorti, sans surprises, que cette dernière n'était plus adaptée aux évolutions technologiques actuelles.

Le projet de loi s'articule autour de plusieurs grandes lignes directrices, dont notamment les suivantes :

- Une approche basée sur les risques. Les obligations des responsables de traitement seront ainsi plus strictes pour les entreprises à mesure que le risque est accru. Par exemple, une entreprise dont l'essentiel de l'activité réside dans le traitement de données sensibles (santé, biométrie, opinions politiques, etc.) et qui fait régulièrement appel à des sous-traitants sera jugée plus sévèrement qu'une entreprise collectant des données de manière ponctuelle.

- Une terminologie adaptée à la législation européenne. Le "maître du fichier" de l'actuelle LPD devient ainsi le "responsable du traitement". Les "données sensibles" sont étendues aux données génétiques et biométriques. La notion de "profilage" traite spécifiquement du traitement de données à des fins prédictives (Big Data, Smart Data).

- Une amélioration des échanges de données avec l'étranger. La transmission de données vers l'étranger reste soumise au principe du niveau adéquat de protection. En revanche, celui-ci ne sera plus déterminé par le responsable du traitement mais par le Conseil Fédéral directement.

- Une meilleure protection des droits des individus. Sont ainsi renforcés les droits d'accès (droit de d'obtenir - gratuitement - de la part du responsable du traitement les données la concernant), le droit à la rectification des données, à l'interdiction du traitement ou de la communication des données à des tiers, le droit à l'oubli, voire à la destruction des données concernées. Le projet traite également des droits relatifs aux données des personnes décédées, en reconnaissant une qualité pour agir aux héritiers.

- Une clarification des obligations des responsables du traitement. Notamment, l'obligation d'informer la personne concernée que des données la concernant sont traitées, ou qu'elle est susceptible de faire l'objet d'une décision individuelle automatisée. Le responsable du traitement doit également notifier la personne concernée dès qu'un traitement non autorisé a été effectué sur des données la concernant (hacking) ou si ses données ont été perdues ou détruites. Enfin, il est prévu que le traitement de données soit protégé par défaut (privacy by default) et dès sa conception (privacy by design).

- Un renforcement des contrôles et de l'indépendance du Préposé fédéral à la protection des données (PFPDT). Ceci s'accompagne d'un renforcement des infractions pénales en vigueur, et la possibilité pour les autorités pénales d'imposer des amendes jusqu'à CHF 500'000.

Le Conseil fédéral a toutefois expressément décidé d'écarter certaines solutions consacrées à l'étranger ou au niveau européen. En particulier, il a été renoncé :

- A la protection des données de personnes morales

- Au pouvoir du PFPDT d'édicter des règles contraignantes. Le Conseil fédéral désire par là éviter d'éventuels problèmes relatifs au principe de légalité et à la délégation de pouvoirs. Le PFPDT ne pourra par ailleurs pas imposer d'amendes (au contraire de ce que prévoit le RGPD européen).

- Au renversement du fardeau de la preuve. Il avait été envisagé, en cas de litige avec un particulier, d'exiger du responsable du traitement qu'il démontre que le traitement était conforme au droit. Le Conseil fédéral a finalement estimé que les tribunaux disposaient déjà de mécanismes suffisants leur permettant d'apprécier une situation donnée et de résoudre les éventuels problèmes liés à l'établissement des preuves.

- A un exercice collectif des droits (class action) en matière de protection des données. Le principe général d'un exercice collectif des droits étant actuellement à l'étude, il est apparu inutile de prévoir un mécanisme particulier limité à la protection des données.

- Au droit à la portabilité des données. Le Conseil fédéral estime en effet que ce droit a pour principal objectif de stimuler la concurrence, non de protéger les individus. Ceci parait regrettable dans la mesure où il s'agissait d'une nouveauté européenne, qui permet aux individus d'éviter de se retrouver "bloqués" avec un opérateur ou un prestataire de service.

- A la mise en place d'un mécanisme spécial de résolution des conflits. Le Conseil fédéral estime en effet que de tels organismes existent déjà dans différents domaines (en particulier dans le domaine bancaire et des assurances).

L'avant-projet du Conseil fédéral doit encore être discuté aux les chambres fédérales. Il est ainsi susceptible d'être modifié avant son adoption définitive. Dans cette attente, il donne des indications claires quant à l'évolution prévisible du paysage réglementaire suisse et européen en matière de protection des données, et va contraindre les entreprises à adapter leurs conditions générales, politique de confidentialité et processus de traitement de données.

Altenburger Ltd legal + tax steht diesen Unternehmen unterstützend zur Seite.

Download (Anglais)Download (Allemand)Download (Français)Download (Italien)Download (russe)Download (Chine)

Services similaires

Parcourez nos derniers articles

En savoir plus sur notre expertise

En savoir plus sur Altenburger

Contact

Site Notice

Data Privacy