Texte déposé
Le Conseil fédéral est chargé de soumettre au Parlement un projet de modification de la loi sur la protection des données:
1. qui prévoie l'obligation de signaler au Préposé fédéral à la protection des données et à la transparence (PFPDT) toute communication indue de données personnelles à un tiers;
2. qui prévoie l'obligation d'informer les personnes concernées de toute communication indue de données personnelles à un tiers, lorsque le PFPDT le demande;
3. qui sanctionne d'une amende quiconque omet intentionnellement de se conformer à l'obligation de signaler visée au point 1 ou à l'obligation d'informer visée au point 2;
4. qui prévoie la punition sur plainte de quiconque omet intentionnellement de fournir les informations prévues par le droit d'accès.
Développement
On a pu lire récemment dans la presse que 100 millions de comptes d'utilisateurs Sony avaient été piratés, ce qui montre qu'il importe de renforcer le droit de regard sur ses propres données personnelles. Aujourd'hui, en effet, il n'existe pas d'obligation d'informer le PFPDT en cas de communication indue de données à un tiers, d'où une certaine confusion. Combler cette lacune permettrait de renforcer la confiance de la population dans les systèmes de traitement des données personnelles.
1. Il arrive fréquemment que des données personnelles fassent l'objet d'une communication indue à un tiers. Obliger les responsables à signaler le cas au PFPDT permettrait une réaction rapide et adaptée, ce dernier pouvant vérifier si l'erreur est due au système et s'il y a lieu de prendre des mesures.
2. Obliger les responsables à informer les personnes concernées en cas de violation grave de la protection des données leur permettrait de mieux réagir. D'autre part, la vérification préalable par le PFPDT de l'opportunité de cette information permettrait d'éviter que cette obligation ne fasse l'objet d'une interprétation exagérément extensive.
3. Pour garantir que les entreprises où se produisent ces "communications indues" de données s'acquittent effectivement des obligations visées aux point 1 et 2, il est nécessaire de prévoir des sanctions.
4. Le droit d'accès prévu par l'article 8 de la loi sur la protection des données (LPD) est important dans la mesure où il permet d'exercer un véritable droit de regard sur ses propres données personnelles. A ce jour, seule est sanctionnée la communication d'informations incomplètes ou fausses. D'autre part, les entreprises préfèrent en général prendre le risque d'une action civile, sachant que la perspective d'un procès est souvent dissuasive.
Avis du Conseil fédéral
du
09.12.2011
L'Office fédéral de la justice a procédé récemment à un vaste travail d'évaluation de la loi du 19 juin 1992 sur la protection des données (LPD, RS 235.1). Le Conseil fédéral a approuvé le 9 décembre 2011 le rapport que l'office a livré et conclu qu'il y a lieu d'examiner dans quelle mesure l'extrême rapidité des avancées technologiques et sociales exige des mesures législatives et quelle doit être leur nature. Etant donné que des travaux sont en cours au sein de l'UE et du Conseil de l'Europe pour réviser la convention sur la protection des données et que leurs résultats sont attendus dans les deux à quatre prochaines années, le Conseil fédéral est d'avis que les développements intervenant au niveau de l'UE et du Conseil de l'Europe doivent alimenter les réflexions menées en Suisse sur cette réforme.
Dans ce contexte, le Conseil fédéral juge problématique de se focaliser aujourd'hui sur un aspect visant à renforcer la protection de la personnalité, indépendamment de l'examen complet et imminent des dispositions législatives. Il est prêt en revanche à examiner les mesures évoquées par l'auteur de la motion dans son travail. Selon les résultats dudit travail et de l'éventuel projet de révision de la LPD qui sera ficelé, ces mesures peuvent être un moyen utile pour renforcer la protection des données. L'introduction d'un mécanisme obligatoire de signalement des atteintes portées à la protection des données personnelles est d'ailleurs également à l'étude dans les travaux de réforme de l'UE (voir la résolution du Parlement européen du 6 juillet 2011 sur une approche globale de la protection des données à caractère personnel dans l'Union européenne, P7_TA-PROV, 2011, 0323).
Proposition du Conseil fédéral du 09.12.2011
Le Conseil fédéral propose de rejeter la motion.