Journée internationale de la protection des données 2021: pas d’érosion de la sphère privée

Berne, 28.01.2021 - Même si son entrée en vigueur est prévue pour 2022, la révision totale de la loi fédérale sur la protection des données (LPD) incite déjà les cantons à moderniser leur législation. Depuis plusieurs années, les autorités de protection des données de la Confédération et des cantons ont mis en place une collaboration étroite et pragmatique. La pandémie ayant donné un coup d’accélérateur à la digitalisation, ces autorités doivent redoubler d’efforts pour limiter autant que possible les atteintes à la sphère privée et à l’autodétermination.

Nos données personnelles sont de plus en plus traitées de manière globale et automatisée. Même si la digitalisation gagnait déjà du terrain dans tous les domaines de la vie, la pandémie, qui a obligé une grande partie de la population à travailler en ligne depuis la maison, a bouleversé la donne. Dans ce contexte mouvant, les préposé-e-s à la protection des données de la Confédération et des cantons s’engagent pour le respect de la sphère privée et de l’autodétermination des citoyens garanti par la constitution fédérale.

Le 25 septembre 2020, après plusieurs années de débats, les Chambres fédérales ont adopté la révision totale de la LPD. Celle-ci porte la protection de la personnalité à un niveau qui tienne compte des risques de la réalité numérique et permette à l’économie d’échanger librement, mais sûrement, des données avec l’étranger. A leur tour, les cantons modernisent leur législation sur la protection des données en tenant compte de ce qui se fait au niveau fédéral, notamment avec l’amendement de la Convention 108 du Conseil de l’Europe, que la Suisse a signé. Seuls quelques cantons ont déjà révisé leur loi.

Points clés de la révision de la LPD - entrée en vigueur mi-2022

La révision totale de la LPD devrait entrer en vigueur au second semestre 2022. Elle vise à renforcer la surveillance du Préposé fédéral à la protection des données et à la transparence (PFPDT) sur les acteurs privés et les autorités fédérales. Le PFPDT disposera d’une palette d’outils axés sur les risques et adaptés aux dangers de la réalité numérique alors que les entreprises auront de nouvelles obligations de notification et de remise d’informations auprès de celui-ci. En outre, le PFPDT pourra rendre des décisions et ainsi mettre fin plus rapidement aux comportements non conformes à la protection des données. Cependant, contrairement aux autorités de protection des données des autres États européens, il n’a toujours pas la compétence de sanctionner et d’infliger de lourdes amendes.

Bien que le PFPDT se soit vu attribuer trois postes supplémentaires pour l’exécution des nouvelles tâches et que le message du Conseil fédéral en prévoit d’autres, il devra continuer de fonctionner de manière pragmatique et fixer ses priorités dans un souci d’opportunité. Comme par le passé, il coopérera étroitement avec les responsables de la protection des données au sein des autorités et des entreprises, auxquels la nouvelle loi confie davantage de responsabilités. L’un des principaux moyens de promouvoir les exigences restera, comme la loi le prévoit, la sensibilisation du public.

Pandémie – Restrictions modérées et limitées dans le temps

Les autorités de protection des données de la Confédération et des cantons doivent aussi faire preuve de pragmatisme si elles veulent avoir un impact dans le contexte actuel de la pandémie qui a amené, dans le monde entier, des changements importants et des restrictions drastiques de la sphère privée et de l’autodétermination. Mais elles doivent aussi penser à demain, car la collecte systématique de données personnelles par des acteurs privés, dans le cadre de la pandémie, est susceptible de modifier à long terme la question de l’autodétermination. Certaines personnes ne souhaitent pas utiliser d’applications, de peur qu’on accède aux données de leur vie numérique qui y sont disponibles. D’autres ne peuvent simplement pas le faire en raison de leur âge, de leur santé ou d’un handicap. Dans ce contexte, le PFPDT a publié sur son site Internet des exigences que les particuliers doivent respecter avant de conditionner l’accès à des biens ou des services à la présentation de données relatives à la santé, telles que des certificats de vaccination ou des résultats de tests (voir lien vers la communication ci-dessous).

La protection des données est prise en étau entre le droit que chacun a de protéger sa sphère privée et de gérer soi-même les informations le concernant, et le devoir qu’ont la Confédération et les cantons de protéger les personnes contre la pandémie. Cela représente aussi des défis pour les autorités cantonales de protection des données (membres de privatim): la publication du nombre d’infections va de soi dans les grandes communes, mais pas dans les petites, puisque les personnes malades pourraient facilement être identifiées. Autre exemple: l’utilisation d’une application lors de l’enseignement à distance, pour maintenir le contact avec les élèves, qui ne serait que partiellement conforme à la protection des données.

Toujours en matière de surveillance, il convient de veiller à ce que les mesures prises par les autorités exécutives, en vertu du droit d’urgence et qui ont une incidence sur la sphère privée et l’autodétermination, restent limitées dans le temps et soient à terme soumises à l’approbation des autorités législatives. Il a donc été possible de soumettre SwissCovid à la procédure pilote ordinaire prévue par la LPD, avant que l’application ne soit pleinement exploitée, sur la base d’une disposition spéciale de la loi sur les épidémies, garantissant ainsi son utilisation volontaire.

Défis pour le PFPDT et les autorités cantonales de protection des données

La pandémie ayant donné un coup d’accélérateur à la digitalisation, les autorités de protection des données doivent redoubler d’efforts pour limiter autant que possible les atteintes à la sphère privée et à l’autodétermination.

En même temps, elles sensibilisent et accompagnent la population et les autorités dans la préparation et la mise en œuvre des nouvelles dispositions fédérales et cantonales en matière de protection des données. Le PFPDT accorde ici une importance particulière à la collaboration avec les responsables de la protection des données dans les entreprises.

En faisant front commun, les autorités de protection des données de la Confédération et des cantons montrent leur volonté de collaborer avec les différents acteurs et d’aborder, de manière pragmatique, les défis que représentent la digitalisation et la pandémie.

Chaque année depuis 2007, la Journée internationale de la protection des données est organisée le 28 janvier dans toute l’Europe, et aussi outre-mer, à l’initiative du Conseil de l’Europe. Son but est de sensibiliser les citoyens à la protection de la sphère privée et au droit à l’autodétermination en matière d’informations et de favoriser un changement de comportement durable face aux nouvelles technologies.

Adresse pour l'envoi de questions

Les préposés à la protection des données de la Confédération et des cantons sont aujourd’hui à la disposition des médias pour toute information complémentaire:

Adrian Lobsiger
Préposé fédéral à la protection des données et à la transparence (PFPDT)
Tél. +41 58 464 94 10, info@edoeb.admin.ch

Ueli Buri
Président de la Conférence des préposé(e)s suisses à la protection des données (privatim)
Préposé à la protection des données du canton de Berne
Tél. +41 31 636 46, ueli.buri@be.ch

Florence Henguely
Membre de la Conférence des préposé(e)s suisses à la protection des données (privatim)
Préposée à la protection des données du canton de Fribourg
Tél. +41 26 305 59 74, Florence.Henguely@fr.ch