Au niveau international, il est de plus en plus reconnu que le traitement de données personnelles touche en principe la sphère privée et qu’il est susceptible d’affecter d’autres droits fondamentaux. Pour garantir une protection efficace de la sphère privée, des bases légales suffisantes doivent être créées pour justifier ces ingérences. La limitation de la protection de la sphère privée doit en particulier respecter les exigences fixées à l’art. 8 par. 2 CEDH (nécessité d’une base légale, existence d’un motif justificatif, proportionnalité).
La révision doit d’une part renforcer les dispositions légales de protection des données figurant dans la loi fédérale du 19 juin 1992 sur la protection des données (LPD) pour faire face au développement fulgurant des nouvelles technologies et d’autre part tenir compte des réformes du Conseil de l’Europe et de l’Union européenne en la matière.
Le but de la révision est sur le fond de garantir un traitement des données plus transparent et de renforcer le droit de chacun de disposer de ses propres données. L’avant-projet, dès lors qu’il vise à en renforcer les garanties matière de protection des droits humains, doit être salué.
Amnesty International se réjouit à ce titre du renforcement des obligations du responsable de traitement (art. 13 à 19 AP-LPD), et plus particulièrement de l’introduction du principe de protection dès la conception (art. 18 AP-LPD). Il s’agit là d’un principe essentiel pour s’assurer que le consentement de la personne concernée est réellement pris en compte. L’effet rétroactif accordé à ce principe par l’article 59 lit. b doit également être salué.
Amnesty International salue également l’adjonction expresse du droit à l’effacement des données (art. 25 al. 1 lit. c AP-LPD) ainsi que l’octroi de compétences décisionnelles en matière de mesures provisoires (art. 42 AP-LPD) et administratives (ART. 43 AP-LPD) au Préposé fédéral à la protection des données et à la transparence.
Cela étant, la Section suisse d’Amnesty International, à la lumière du but de la révision totale de la loi, formule les remarques ci-dessous:
- Ad 8 et 9 AP-LPD: L’activité d’élaboration de recommandations de bonne pratique par le Préposé doit être saluée, en tant que cela formalise et développe les tâches d’information et de conseil d’ores et déjà assumées par le Préposé. De même, la participation des responsables de traitement à ce procédé est à encourager, dès lors que des processus de régulation concertée des traitements de données, en particulier dans le domaine numérique, sont à même d’en favoriser le respect. Cela étant, le caractère facultatif de ces recommandations, qui correspondent pourtant matériellement à la loi, laisse à craindre que les milieux intéressés ne s’y réfèrent que dans une mesure relative. Le défaut de conséquences du refus d’approbation par le Préposé de recommandations émises par un responsable de traitement ou par les milieux intéressés est également regrettable, en tant que le respect de la loi par les recommandations de bonne pratique émanant directement des responsables de traitement apparait comme facultative. L’introduction d’une étape supplémentaire en cas de refus d’approbation du Préposé serait donc judicieuse, le responsable de traitement ainsi débouté devant être invité à soumettre une version modifiée de sa recommandation de bonne pratique ou, à défaut, à abandonner cette dernière.
- Ad 41 à 43 AP-LPD: L’élargissement des pouvoirs d’investigation et de contrôle du Préposé (art. 41 AP-LPD) à l’endroit de tout responsable de traitement quant auquel il existe un soupçon de traitement contraire à la loi est sans conteste favorable à une meilleure application des normes de protection par les milieux intéressés. L’octroi de compétences décisionnelles au Préposé doit également être salué, dès lors qu’il est sans nul doute de nature à renforcer l’efficacité de la loi (art. 42 et 43 AP-LPD). Dès lors, le choix de la voie pénale, au détriment d’un pouvoir de sanction du Préposé, déçoit. L’octroi de compétences répressives à l’autorité précitée, à l’instar de ses homologues européens, est de nature à renforcer la mise en œuvre des dispositions de protection comme d’en simplifier l’exécution. A contrario, la multiplication des procédures en lien avec la saisine des autorités de justice pénales, de surcroît non nécessairement spécialisées en la matière, présente un risque de ralentissement des procédures. La voie de la poursuite pénale mènera en outre à davantage de sanctions des personnes physiques, en lieu et place des personnes morales.
L’avant-projet de Loi sur la protection des données ne va ainsi pas aussi loin que ce que l’on aurait pu espérer dans le renforcement des garanties de protection. Ce texte demeure toutefois et sans conteste un renforcement des droits des personnes concernées et la Section suisse d’Amnesty International soutient son adoption.
Avril 2017