La Suisse s’est peut-être dotée vendredi d’une protection des données adaptée à l’ère du numérique. En acceptant vendredi dernier la révision de la loi sur la protection des données (LPD), le parlement fédéral a modernisé un texte datant de 1992, essentiellement en renforçant la transparence sur l’utilisation des données personnelles par les entreprises suisses. Ces dernières devront effectuer un important travail d’organisation d’ici à l’entrée en vigueur de la nouvelle loi, probablement en 2022. Elles risquent néanmoins peu de sanctions.

Principal changement, «les entreprises devront informer de manière proactive les individus dont elles traitent des données sur l’utilisation qui est faite de ces informations, relève l’avocat genevois Philipp Fischer. Ce qui implique que les entreprises aient une bonne connaissance de leurs processus de traitement de données personnelles».

Cela passera par la création de registres des traitements des données, qui devront préciser la finalité de ces opérations, la durée de conservation des informations ou des indications sur les catégories de destinataires à qui elles pourraient être transférées. Pour chaque opération de l’entreprise impliquant une donnée d’un client existant ou potentiel et avec mise à jour en continu.

Notre éditorial: Protection des données: une loi pour ceux qui veulent la respecter

Pas de pluie d’amendes en vue

La nouvelle loi va également renforcer l’application de règles existantes qui n’étaient pas forcément très suivies, poursuit Philipp Fischer, par ailleurs enseignant dans le CAS de droit de la finance numérique de l’Université de Genève: «Davantage de comportements pourront donner lieu à une amende, par exemple en cas de violation intentionnelle de l’obligation d’information.»

Faut-il s’attendre à ce qu’une pluie d’amendes s’abatte sur les entreprises suisses? Probablement pas, tempère notre interlocuteur, qui prévoit plutôt «une série de démarches du préposé fédéral à la protection des données, qui pourra plus facilement demander à une entreprise comment elle traite les données personnelles». En cas de perte ou de vol, une entreprise devra donc pouvoir démontrer qu’elle avait analysé les risques d’un accident et pris des mesures pour le limiter. «La loi révisée envoie le message subliminal qu’une entreprise devra pouvoir être capable de prouver en tout temps qu’elle respecte le droit suisse de la protection des données», conclut l’avocat genevois.

Un perdant: le citoyen

Même s’il juge le texte adapté aux risques technologiques dans son ensemble, Sébastien Fanti relève que la révision de la LPD fait un perdant: le citoyen. D’après le préposé valaisan à la protection des données, «non seulement un individu suisse ne dispose pas d’un moyen simple et rapide de poursuivre une entreprise qui aurait perdu ou mal traité ses données, mais l’amende maximale de 250 000 francs n’est pas dissuasive, en particulier pour les grands groupes. Elle est infinitésimale.»

Selon le spécialiste, les PME risqueront en pratique des amendes plus faibles, tenant compte de leur taille notamment. A titre de comparaison, la législation européenne sur la protection des données – le RGPD – prévoit jusqu’à 20 millions d’euros d’amende, ou 4% du chiffre d’affaires annuel d’une entreprise.

Négligence pas sanctionnée

La nouvelle loi donne davantage de latitude au préposé fédéral pour enquêter, alors qu’il ne peut pour l’instant se saisir que de cas concernant un grand nombre de personnes, enchaîne Sylvain Métille. Mais l’avocat lausannois ne prévoit pas non plus une multiplication des sanctions pénales: «La négligence n’est pas sanctionnée, il faut que l’entreprise ait eu un comportement intentionnel. En outre, le préposé fédéral, déjà débordé, le sera encore plus et il devra faire des dénonciations pénales auprès de procureurs qui auront peut-être des dossiers considérés comme prioritaires.»

Cette nouvelle loi, résume Sylvain Métille, «est faite pour ceux qui ont envie de la respecter et ne donne pas assez de moyens pour aller rechercher les autres». Vendredi, le préposé fédéral Adrian Lobsiger s’était félicité de l’adoption de la révision, sans faire de commentaires plus précis tant que le délai référendaire n’est pas expiré.

Equivalence européenne en question

Cette approche sera-t-elle jugée adéquate par l’Union européenne? C’est une condition nécessaire pour que les échanges de données restent facilités avec la Suisse. Les autorités communautaires devraient se prononcer d’ici à la fin de l’année sur ce point.

Si le cadre suisse n’est pas jugé équivalent, les entreprises helvétiques du secteur tertiaire peineraient à exporter leurs services vers l’UE, car à chaque fois qu’une société française ou allemande voudrait faire traiter des données en Suisse, elle devrait obtenir le consentement des personnes concernées ou conclure un contrat supplémentaire. Des complications qui n’existeraient pas avec d’autres sociétés européennes.

Découvrez notre dossier sur les enjeux de la protection des données