La Commission des institutions politiques du Conseil des Etats (CIP-CE) a achevé l’examen par article du projet de loi sur la protection des données (17.059). Au vote sur l’ensemble, elle a adopté le projet à l’unanimité et transmis celui-ci à son Conseil, qui pourra l’examiner lors de la session d’hiver.

​Après le Conseil national lors de la session d’automne 2019, la CIP-CE s’est à son tour penchée sur le projet de loi sur la protection des données. Après être entrée en matière lors de sa séance des 24 et 25 octobre 2019 (cf. communiqué de presse du 25 octobre 2019), elle a auditionné des représentants des préposés cantonaux à la protection des données, puis a procédé à l’examen par article du projet de loi.

Les décisions prises par la CIP-CE visent principalement un double objectif. D’une part, les citoyens et consommateurs suisses doivent, à l’ère de la digitalisation, continuer de bénéficier d’un niveau de protection élevé de leurs données, ce niveau ne devant pas être abaissé par rapport au droit actuellement en vigueur. D’autre part, le standard de protection offert doit être comparable à celui prévu par les textes de droit européens pertinents (règlement général de l’UE sur la protection des données et Convention 108+ du Conseil de l’Europe), afin de permettre la reconnaissance par l’UE de l’équivalence de la législation suisse en matière de protection des données (décision d’adéquation).

Vers un renforcement du standard de protection en vue de la décision d’équivalence

La CIP-CE propose dès lors à son Conseil de s’écarter des décisions du Conseil national sur plusieurs points, lesquels, dans la version adoptée par la Chambre basse, constitueraient un retour en arrière par rapport au droit actuel ou qui offriraient une protection inférieure à celle en vigueur dans l’UE.

La CIP-CE a ainsi décidé, à l’unanimité, de réintroduire les données sur les opinions et activités syndicales dans la liste des données personnelles sensibles, lesquelles bénéficient d’un niveau de protection particulièrement élevé (art. 4, let. c, ch. 1, P-LPD), évitant ainsi de créer une divergence avec la réglementation UE sur ce point.

La CIP-CE a également décidé, à l’unanimité, de supprimer l’exception au devoir d'informer en cas d'efforts disproportionnés, qui avait été introduite par le Conseil national (art. 18, al. 1, let. e, P-LPD).

Toujours à l’unanimité, la CIP-CE a en outre renoncé à introduire un catalogue exhaustif des informations à fournir en cas d'exercice du droit d'accès, comme le souhaitait le Conseil national (art. 23, al. 2, P-LPD).

En ce qui concerne les sanctions pénales, la CIP-CE propose, par 6 voix contre 0 et 2 abstentions, de sanctionner le non-respect intentionnel des exigences en matière de sécurité des données, comme le proposait le Conseil fédéral.

Compromis concernant le profilage

En-dehors de ces décisions, cruciales pour la reconnaissance de l’équivalence du droit suisse au droit de l’UE, la CIP-CE s’est écartée des décisions du Conseil national notamment sur les points ci-après, afin d’élever le niveau de protection.

Le profilage est l’une des questions centrales de la loi. Les discussions au premier Conseil avaient déjà permis de constater que la réglementation de ce type de traitements de données telle que prévue par le Conseil national était lacunaire. La CIP-CE partage cet avis. Après une discussion approfondie, elle a opté par 8 voix contre 2 et 1 abstention, pour une solution de compromis, qui introduit la notion de «profilage à risque élevé» et prévoit une protection renforcée lorsqu’un traitement de données tombe dans cette catégorie. Une minorité est d’avis qu’il faut revenir à la version initiale du Conseil fédéral, qui prévoit une protection renforcée dès qu’un traitement de données correspond à un profilage, sans différencier en fonction du risque.

La CIP-CE considère par ailleurs que les droits des personnes faisant l’objet d’une évaluation de leur solvabilité doivent être renforcés: à l’unanimité, elle a notamment limité dans ce contexte la possibilité de traiter des données datant de plus de 5 ans ainsi que des données concernant des mineurs.

Pour répondre au souci de certains médias qui craignent que la révision de la LPD ne constitue un obstacle à leur activité journalistique, la CIP-CE propose d’apporter une précision selon laquelle la recherche journalistique sera inclue dans les motifs justificatifs. Cela signifie qu’un média pourra justifier un traitement de données portant atteinte à la personnalité lorsque ces données ont été collectées et conservées en vue d’une publication, même si cette publication n’a finalement pas eu lieu.

La CIP-CE s’est notamment ralliée au Conseil national, par 7 voix contre 4, en ce qui concerne les allégements dont peuvent bénéficier les entreprises qui nomment un conseiller à la protection des données. Pour la commission, il s’agit par ce biais de favoriser l’autorégulation et la responsabilisation des entreprises. Une minorité propose de supprimer ces allégements, au motif que les entreprises n’ont pas besoin d’incitation nommer de tels conseillers.

La commission a siégé les 18 et 19 novembre 2019 à Berne, sous la présidence de la conseillère aux Etats Pascale Bruderer Wyss (S, AG).