Les pratiques des entreprises friandes de données personnelles évoluent. Et la loi tente de s’y adapter. Tant au niveau européen qu’au niveau suisse, de nouveaux textes vont entrer en vigueur ces prochains mois.

A l’échelle du continent, le Règlement général sur la protection des données (RGPD), approuvé en avril 2016 par le Parlement européen, entrera en vigueur en mai 2018. Il prévoit notamment la portabilité des données: si un client change de prestataire pour certains services, le prestataire précédent devra transférer toutes ses informations à la nouvelle société – avant de les effacer.

Lire aussi: Ma journée pilotée par mes données

«Class actions» en Europe

Un droit à l’oubli numérique est aussi prévu, de même que la possibilité d’intenter des «actions de masse» en justice (class actions) contre des prestataires indélicats. Des amendes allant jusqu’à 20 millions d’euros (21,8 millions de francs) sont prévues et cela concerne aussi les entreprises suisses actives en Europe. Celles-ci devront obligatoirement se doter d’une Madame ou d’un Monsieur Protection des données en leur sein, ce qui risque de poser problème pour des petites entreprises, avertissait récemment PwC.

Suisse jugée trop laxiste

En Suisse, la procédure de consultation sur la loi sur la protection des données s’est achevée début avril. Et le projet n’a pas convaincu les organisations de défense des consommateurs, qui regrettent notamment qu’aucune disposition ne soit prévue pour la portabilité des données. Elles estiment aussi que la possibilité, pour des victimes potentielles, d’ouvrir gratuitement une procédure judiciaire ne va pas assez loin. Ces organisations auraient préféré que le responsable du traitement de données doive démontrer qu’il a agi en se pliant à la loi. Enfin, l’amende maximale de 500 000 francs n’est pas jugée suffisamment dissuasive.

A l’inverse, l’Association suisse d’assurance (ASA) s’était plainte des trop grandes restrictions imposées pour le profilage. La date d’entrée en vigueur de la nouvelle loi n’est pas connue.

Lire aussi: «La multiplication des données met en péril une vision de la démocratie»

Volte-face américaine

A noter que fin mars, aux Etats-Unis, le Congrès a abrogé une loi de l’ère Obama (pas encore entrée en vigueur) qui obligeait les fournisseurs internet à obtenir l’accord de leurs clients avant d’utiliser leurs données de géolocalisation, financières, de santé, ou toute information issue de leur historique en ligne.