(ats) La révision de la loi sur la protection des données doit répondre aux attentes de l'économie. Par 98 voix contre 68 et 27 abstentions, le National a adopté mercredi la version la moins contraignante pour les entreprises. La gauche a échoué à mieux protéger la sphère privée.

Lors de la deuxième journée de débat, la droite a rejeté bon nombre de propositions qui auraient renforcé le droit de regard des citoyens sur leurs données. L'UDC et le PLR ont très souvent fait bloc pour rejeter des cautelles jugées trop lourdes pour les entreprises.

Le projet énumère toute une série de règles en matière de devoir d’informer visant à renforcer la transparence. La droite a réussi mercredi à imposer par 109 voix contre 87 un régime d'exceptions notamment si des efforts disproportionnés sont nécessaires. Balthasar Glättli (Verts/ZH) a déploré en vain le caractère vague des critères retenus pour refuser l'information.

L'entreprise qui traite de manière automatisée les données personnelles sera soumise à un devoir d'informer. Là aussi, la droite, par 132 voix contre 64, a imposé une exception pour le traitement incluant le profilage, contre la volonté du Conseil fédéral.

Droit à l'oubli relatif

Contre l'avis du Conseil fédéral, le National s'est encore opposé par 134 voix contre 63 à une réglementation pour la gestion des données de personnes décédées. La gauche et plusieurs élus du centre auraient souhaité préciser les dispositions concernant la mort numérique. Selon la majorité, le Code civil suffit.

Les entreprises ou leurs sous-traitants devront tenir un registre des activités de traitement des données. Mais il y aura des exceptions pour celles de moins de 250 collaborateurs. Un compromis a été trouvé par 126 voix contre 69 entre les souhaits de l'UDC qui réclamait 500 collaborateurs et la gauche qui voulait fixer le seuil à 50.

Droit à récupérer ses données

Le projet prévoit une nouveauté, à savoir le droit pour les citoyens à récupérer leurs données s'ils veulent changer de prestataire. A nouveau, la droite a obtenu contre l'avis des Verts qu'il ne s'agisse que des données communiquées et non de toutes les données personnelles qui auront été traitées par les algorithmes.

Le traitement des données pourra être utilisé afin d'évaluer la solvabilité d'un client. Ce contrôle ne sera cependant pas possible s'il s'agit de données particulièrement sensibles. Le Conseil fédéral aurait aussi voulu exclure le profilage. La gauche voulait elle interdire purement et simplement l'évaluation de la solvabilité.

Préposé élu par l'Assemblée fédérale

Le préposé à la protection des données devrait être élu par l'Assemblée fédérale. Par 162 voix contre 30, la majorité veut ainsi retirer au Conseil fédéral son droit à le nommer. Une élection directe garantit mieux son indépendance, a estimé la majorité. Le PVL s'est insurgé contre la volonté du Parlement de vouloir nommer à-tout-va des hauts fonctionnaires chargés de l'opérationnel.

Le préposé devra disposer d'indices suffisants pour ouvrir une enquête. La droite a échoué d'un cheveu, par 99 voix contre 95, à durcir les conditions pour lui permettre d'investiguer d'office.

En matière de sanctions, seules les personnes physiques pourront être punies en cas d'infraction. Les amendes devraient s'élever à 250'000 francs au maximum. Ce montant est proportionné et suffisamment dissuasif. La gauche aurait préféré un montant de 500'000 francs, estimant qu'une somme inférieure "ne faisait peur à personne".

La loi entrera en vigueur lorsque le Conseil fédéral aura fixé la date en tenant compte notamment des besoins de l’économie privée. La droite aurait préféré un délai de deux ans, afin de donner aux entreprises le temps de procéder aux adaptations nécessaires.

La balle passe dans le Conseil des Etats.