Le projet de révision totale de la loi sur la protection des données (LPD) vise à mieux protéger les citoyens et à adapter la législation suisse au standard européen. Afin de permettre à la Suisse de mettre en œuvre rapidement une directive européenne liée à Schengen, le Parlement a décidé, en 2018, de scinder le projet et d’adopter en priorité les dispositions nécessaires à la mise en œuvre de cette directive. Ces nouvelles dispositions sont entrées en vigueur le 1er mars 2019.
Parallèlement, la discussion du reste de la réforme s’est poursuivie. Ces travaux sont indispensables pour que l'UE continue de reconnaître la Suisse comme un Etat tiers ayant un niveau de protection des données suffisant pour que la possibilité d'échanger des données avec elle soit préservée. La CIP-CN a entamé la discussion par article de la révision totale de la loi sur la protection des données en juin 2018. Elle a notamment pris les décisions suivantes :
Mode de nomination du préposé à la protection des données et à la transparence
Par 19 voix contre 5, la commission propose que le préposé soit élu par l’Assemblée fédérale, en lieu et place du système actuel de nomination par le Conseil fédéral avec approbation par l’Assemblée fédérale. Aux yeux de la commission, une élection directe par le Parlement sera mieux à même de garantir l’indépendance du préposé. Une minorité souhaite conserver le système actuel.
Droit à la portabilité des données
La commission a introduit un droit à la portabilité des données. Il s’agit de permettre à une personne de récupérer, dans un format standard, les données traitées à son sujet par un prestataire (par exemple un fournisseur de services en ligne), afin de transmettre ces données à un nouveau prestataire vers lequel elle souhaite se tourner. La solution adoptée par la commission permet à la personne concernée d’obtenir, à certaines conditions, la remise ou le transfert gratuits et sous un format électronique de certaines données personnelles qu’elle a communiquées au responsable du traitement. De l’avis de la commission, une telle réglementation est de nature à favoriser la concurrence et à permettre l’émergence de nouveaux modèles d’affaires. Une minorité souhaite que ce droit ne soit pas limité aux données que la personne a communiquées, mais à toutes ses données personnelles.
Données sensibles
La commission a apporté quelques modifications à la définition des données sensibles, lesquelles font l’objet d’une protection particulière. Elle a notamment retiré de la liste des données sensibles les données sur les mesures d’aide sociale, au motif qu’il peut être dans l’intérêt de partenaires contractuels, de fournisseurs, voire dans l’intérêt public de savoir si une personne perçoit des prestations de l’aide sociale. Une minorité s’oppose à cette suppression. La commission a également retiré de la liste les données sur les activités syndicales. Elle a en revanche confirmé l’introduction dans cette liste des données génétiques.
Entreprises étrangères
La commission a décidé que les entreprises étrangères qui fournissent des prestations en Suisse seront tenues de respecter le droit suisse de la protection des données. Ces entreprises devront en outre désigner un représentant en Suisse.
Données des personnes décédées
Contrairement à ce que propose le Conseil fédéral, la commission a décidé, par 14 voix contre 8 et 1 abstention, de ne pas prévoir de réglementation particulière concernant la gestion des données de personnes décédées. Il existe en effet déjà des possibilités permettant de résoudre les problèmes qui se posent dans ce contexte. Une minorité estime au contraire qu’une réglementation spécifique est nécessaire, notamment concernant la mort numérique.
Durcissement des sanctions pénales
Par 16 voix contre 4 et 2 abstentions, la commission a approuvé le système de sanctions proposé par le Conseil fédéral. Ce système prévoit uniquement des sanctions pénales, à l’exclusion de sanctions administratives, principalement pour des raisons de simplicité dans l’application du droit. Cela signifie qu’en cas d’infraction à la loi sur la protection des données, seules les personnes physiques, en particulier les personnes exerçant une fonction dirigeante au sein de l’entreprise, pourront être sanctionnées. Les personnes morales ne pourront l’être que dans des cas de figure bien déterminés et relativement restreints. La commission propose cependant d’examiner l’introduction en droit suisse d’un régime général de sanctions administratives pécuniaires. Elle a adopté un postulat 18.4100 dans ce sens chargeant le Conseil fédéral d'examiner les solutions envisageables. Concernant le montant des amendes, la commission a décidé d’en rester au montant maximal proposé par le Conseil fédéral, soit 250 000 francs, qu’elle juge proportionné et suffisamment dissuasif. Deux minorités proposent des montants plus élevés.
Les entreprises auront deux ans pour s’adapter
Par 13 voix contre 11, la commission a décidé que la nouvelle loi n’entrerait en vigueur qu’à l’échéance d’un délai de deux ans à compter de la fin du délai référendaire ou de la date d’une éventuelle votation populaire, afin de donner aux entreprises le temps de procéder aux adaptations nécessaires. Une minorité propose que le Conseil fédéral fixe l’entrée en vigueur en tenant compte notamment des besoins de l’économie privée.
Deux propositions de minorité ont été déposées demandant le renvoi du projet, avec diverses propositions d’adaptation.
La commission a en outre déposé plusieurs motions chargeant le Conseil fédéral de compléter les dispositions de protection des données figurant dans d’autres lois fédérales (19.3960, 19.3961, 19.3962, 19.3963, 19.3964, 19.3965).
La commission a siégé les 15 et 16 août 2019 à Berne, sous la présidence du conseiller national Kurt Fluri (PLR/SO).