Les données personnelles sont le pétrole du XXIe siècle, lit-on fréquemment. Mais dans la pratique, seuls les géants du numérique savent véritablement exploiter ou gérer ce gisement. Les individus se soucient généralement assez peu de l’utilisation qui est faite de leur capital numérique, pourvu qu’elle leur assure la gratuité des services de Google ou Facebook.

Lire l'article lié: Une loi sur les données peu contraignante

La révision de la loi sur la protection des données, adoptée vendredi par le parlement fédéral, cible donc prioritairement les entreprises. Ces dernières devront informer leurs clients de l’utilisation qui est faite de leurs données, dès 2022, lorsque le nouveau texte devrait entrer en vigueur. Et sinon? Eh bien, pas grand-chose, en réalité.

Le nouveau texte renforce modérément les pouvoirs du préposé fédéral à la protection des données. Il pourra se saisir de n’importe quel dossier, et pas seulement des cas concernant un grand nombre de personnes, comme actuellement. Mais il ne pourra qu’interdire à une entreprise fautive d’effectuer tel ou tel traitement d’une donnée. Pour faire condamner pénalement une société qui, par exemple, s’est fait voler des données, ce brave préposé devra saisir un procureur. Ce dernier en fera-t-il une priorité parmi d’autres dossiers déjà urgents, peut-être d’homicide ou de viol? Pas sûr.

Même en cas de condamnation, certains spécialistes s’étranglent de la modestie de la sanction maximale prévue en Suisse: 250 000 francs. Une broutille pour un grand groupe, tandis qu’une PME n’aura en pratique aucune chance de devoir payer ce montant (les éventuelles sanctions prendraient en compte sa taille). Dans l’Union européenne, les mêmes infractions exposent à une pénalité pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel. D’autres voix estiment que le dégât d’image pour une entreprise qui aurait «égaré» les données de ses clients est bien plus dissuasif que n’importe quelle sanction financière.

La protection des données s’adresse donc surtout en Suisse à ceux qui veulent la respecter, comme le résume un avocat spécialisé. C’est une victoire pour le secteur privé, qui a évité des règles trop contraignantes. Comme souvent dans l’histoire récente, l’Europe dira si la stratégie suisse est la bonne. L’Union devrait évaluer d’ici à la fin de l’année si le nouveau cadre suisse est équivalent à la réglementation européenne. Un non pénaliserait nos entreprises. Un oui semble possible sur la base de considérations techniques. Mais, un an après le bras de fer sur l'équivalence boursière, le verdict européen pourrait aussi reposer sur des calculs politiques. 

Découvrez notre dossier sur les enjeux de la protection des données