Révision de la loi fédérale sur la protection des données, suite

Après le Conseil national en septembre, c’est au tour du Conseil des États de débattre du projet de révision totale de la loi fédérale sur la protection des données. La commission des institutions politiques du Conseil des États a bouclé l’examen du projet qui sera soumis au plenum le 18 décembre prochain. Si le projet issu des discussions au Conseil national était loin de respecter le niveau de la Convention 108+ et se situait bien en deçà du niveau de protection des données de l’Union européenne, mettant ainsi en péril la décision d’adéquation en cours d’évaluation par la commission européenne (voir notre blog du 9 octobre dernier), la CIP-CE a quelque peu corrigé le tir et rendu une copie plus « eurocompatible ». Toutefois plusieurs différences, que nous avions relevées dans notre blog du 9 octobre dernier, demeurent avec le droit européen et ne seront vraisemblablement pas aplanies lors des débats en plenum. Or il serait essentiel de gommer les divergences restantes avec la Convention 108+. Cela concerne notamment la terminologie, le régime des données sensibles et des flux transfrontières, l’étendue du devoir d’information en général et en relation avec les décisions automatisées, l’obligation de mise en conformité et les exceptions à l’analyse d’impact, les restrictions au droit d’accès.

Point positif, la CIP-CE n’a pas suivi le CN et a réintroduit à juste titre les opinions syndicales dans la liste des données sensibles. De même, il a suivi le Conseil fédéral en reprenant la notion de données génétiques telle qu’elle découle de la Convention 108+.

En ce qui concerne le profilage, la CIP-CE tout en retenant la définition de profilage du CN, introduit une définition du profilage présentant un risque élevé. Selon cette définition de nature exemplative, constitue un profilage à risque élevé pour la personnalité et les droits fondamentaux de la personne concernée, le profilage qui nécessite notamment l’appariement systématique de données provenant de différentes origines et qui concernent différents domaines de la vie d’une personne physique, ainsi que le traitement de données systématique et à grande échelle pour tirer des conclusions sur différents domaines de la vie d’une personne physique. En présence d’un tel risque, le consentement de la personne devra être exprès lorsqu’un tel consentement est requis pour légitimer le profilage. L’introduction de cette notion de risque élevé est problématique. Tout d’abord la notion de profilage du CN et du CF ne vise que des activités de traitement qui présentent un risque significatif pour les droits humains et les libertés fondamentales. L’activité de profilage dans ce cadre nécessite en règle général l’appariement de données provenant de différentes sources ou le traitement à grande échelle de données et qui touchent différents aspects ou domaine de la vie d’une personne. Les activités de profilage qui ne rentre pas dans cette notion ne nécessitent pas de mesures particulières. La définition ouverte adoptée par la CIP-CE crée par contre une grande insécurité juridique. Il reviendra au responsable de traitement d’évaluer le risque et de décider finalement s’il demande un consentement exprès ou non à la personne concernée. Celle-ci devra le cas échéant contester, si elle est en mesure de considérer qu’il y a risque élevé, la validité de son consentement lorsqu’il n’a pas été requis expressément. Cette approche ne facilitera en rien l’application de la loi, bien au contraire. En outre, on ne trouve pas dans le droit positif européen une telle définition. Il s’agit d’un swissfinish qui dessert autant les personnes concernées que les responsables de traitement. Enfin si le législateur souhaite néanmoins introduire une telle distinction, il devrait revoir les éléments de la définition et retenir également par exemple le risque de manipulation et de discrimination des personnes. Indépendamment de la distinction, il devrait soumettre à une certification obligatoire les activités de profilage. De plus pour les activités de profilage des organes fédéraux, ce n’est pas le consentement exprès qui doit être retenu, mais bien une base légale au sens formel.

La CIP-CE introduit une limitation à la notion de tiers qui affaiblit la protection des données. Il s’agit d’un privilège accordé aux personnes morales qui contrôlent plusieurs entreprises. La communication de données entre ces différentes entreprises ne sera plus considérée comme une communication à des tiers. L’impact de cette norme sur les droits des personnes concernées pourraient être énormes. Même si le projet limite cette approche aux restrictions au droit d’accès et d’information des personnes concernées et au motif justificatif de la concurrence économique, le fait de postuler que ces entreprises ne sont plus des tiers, pourrait inciter les entreprises d’une même personne morale à échanger des données sans restriction et à l’insu des personnes concernées, même lorsque ces entreprises ne traitent pas les données pour la même finalité ou pour une finalité compatible. Cela pourrait par exemple permettre à un grand groupe regroupant magasins d’alimentation et autres, pharmacies, cabinets médicaux, fitness, assurances, d’échanger des données et de dresser de beaux profils de consommation et de comportement et de pénaliser les mauvais risques ! Si la proposition passe au CE, il reviendra au CN de corriger et pour le moins de mieux délimiter la portée de ce swissfinish.

On le voit, il reste encore un bout de chemin à faire pour que notre législation soit complètement en ligne avec la réglementation européenne et la Convention 108+.

Publié par J.-Ph. Walter

Expert indépendant en matière de protection des données et d'accès à l'information aux documents officiels Exerce la fonction de Commissaire à la protection des données du Conseil de l'Europe Ancien préposé fédéral suppléant à la protection des données et à la transparence (Suisse)

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :