Loi sur la protection des données: Le Conseil des États adopte le projet de loi avec de nouveaux amendements

Le Conseil des États a suivi pour l’essentiel les propositions de sa commission et a une nouvelle fois adapté le projet de la nouvelle loi sur la protection des données par rapport aux projets du Conseil fédéral et du Conseil national.

Le 18 décembre 2019, le Conseil des États, en sa qualité de chambre haute, a débattu du projet de révision totale de la loi sur la protection des données et l’a adopté au scrutin. Ainsi, il a accepté pratiquement toutes les modifications proposées en novembre 2019 par la Commission des institutions politiques du Conseil des États au projet du Conseil fédéral et aux amendements du Conseil national. Seule la proposition très ambitieuse de la Commission visant à exiger le consentement pour chaque transfert de données personnelles a été rejetée par la chambre haute.

Modifications des projets du Conseil fédéral et du Conseil national.

Les modifications suivantes des projets du Conseil fédéral et du Conseil national sont particulièrement importantes s’agissant de la mise en œuvre de la nouvelle loi pour les entreprises :

• Définition des données personnelles particulièrement sensibles : La mention explicite de données sur les positions et les activités des syndicats est laissée dans le projet, telle que demandé par le Conseil fédéral. Par ailleurs, comme mentionné dans le projet du Conseil fédéral, les données génétiques ne doivent pas uniquement être considérés comme sensibles lorsqu’elles servent à identifier une personne de manière distincte. L’amendement du Conseil national à cet égard est supprimé.
• Profilage à haut risque : Une distinction est faite entre le « profilage » et le « profilage à haut risque » et une définition supplémentaire à cet égard est inclue dans la loi. Ces opérations de traitement des données sont soumises à des exigences plus strictes, en particulier la nécessité d’obtenir le consentement explicite de la personne concernée.
• Violation de la sécurité des données : Une violation de la sécurité des données n’est admise que si des données personnelles sont perdues, effacées, détruites ou modifiées involontairement, de manière illicite, ou si elles sont divulguées ou rendues accessibles à des personnes non autorisées.
• Portée et exception à l’obligation d’informer : Le contenu minimal de l’obligation d’informer des droits des personnes concernées est étendu notamment s’agissant de l’indication du but du traitement des données lors de la vérification de la solvabilité de la personne concernée et la communication y relative à des tiers. En outre, l’obligation de fournir des informations ne peut pas être écartée en raison d’efforts disproportionnés.
• Étendue du droit d’accès : La personne concernée doit toujours être informée de l’existence de traitements de données destiné à vérifier sa solvabilité et des prises de décisions automatisées. La personne responsable doit également informer de la logique sur laquelle repose le traitement respectivement la prise de décision.
• Privilège de groupe : Dans les conditions de limitation de l’obligation d’information et du droit d’accès, ainsi que de l’intérêt supérieur reconnu en relation avec le traitement des données des concurrents, les sociétés contrôlées par la même entité juridique ne sont pas considérées comme des tiers s’agissant de la communication des données. Le Conseil des États a chargé le Conseil national d’examiner lors de sa prochaine délibération s’il y a lieu de compléter les articles en question de sorte que l’exception s’applique également aux sociétés coopératives.
• Violations punissables de l’obligations de diligence : En accord avec le projet du Conseil fédéral, le non-respect des exigences minimales en matière de sécurité des données est sanctionné par des amendes pouvant aller jusqu’à CHF 250’000.-.

Prochaines étapes

Par ses amendements, le Conseil des États a éliminé tous les points du Conseil national considérés comme problématiques pour l’obtention de l’équivalence de la Commission européenne. On peut donc supposer que le projet de loi dans la version du Conseil des États réponde aux exigences de l’UE relatives à un niveau équivalent en matière de protection des données.

Le projet de loi sera maintenant examiné en premier lieu par le Conseil national lors de la session de printemps 2020, dans le cadre de la procédure d’élimination des divergences. Suivant le moment où les divergences seront réglées au Conseil des Etats, le projet final de la loi pourrait être disponible déjà après la session de printemps ou alors après la session d’été 2020.

Nous continuerons à vous tenir informés de la procédure de révision. Nos spécialistes se tiennent à votre disposition pour vous conseiller sur les conséquences possibles du projet de révision de loi pour votre entreprise.