Révision de la loi fédérale sur la protection des données : Le Conseil national résout un certain nombre de divergences

Au cours de la session du printemps, le Conseil national a été en mesure de résoudre un certain nombre de divergences au Conseil des Etats. Néanmoins, des désaccords subsistent notamment en ce qui concerne le profilage et les données génétiques.

Le 5 mars 2020, le Conseil national a discuté des divergences entre ses premiers amendements au projet de loi du Conseil fédéral et ceux apportés par le Conseil des Etats, pendant la procédure d’élimination des divergences. Dans notre article, nous vous donnons un aperçu des différends qui ont été résolus et de ceux qui subsistent entre les amendements apportés par les deux conseils au projet de loi fédérale.

Disparités résolues

Le Conseil national a adopté les amendements suivants au projet de loi, et de ce fait, a suivi les propositions du Conseil des Etats :

• Définition des données personnelles sensibles : Les données sur les opinions et activités syndicales sont mentionnées explicitement dans la définition des données personnelles sensibles.
• Exceptions à l’obligation de fournir des informations : Conformément au projet initial du Conseil fédéral, l’effort disproportionné ne permets pas de justifier la non-communication des informations.  
• Etendue du droit d’accès : La personne concernée doit toujours être informée si ses données sont utilisées dans le cadre de décisions individuelles automatisées etsur la logique qui a fondé la décision.
• Privilège de groupe : Le partage des données au sein d’un groupe est facilité, notamment en ce qui concerne l’obligation de fournir des informations, le droit d’accès et l’intérêt prépondérant comme justification du traitement des données des concurrents, en ne considérant pas, dans ce contexte, les sociétés contrôlées par la même entité juridique comme des tiers.
• Conditions préalables pour l’intérêt prépondérant dans le contexte des vérifications de solvabilité : La personne concernée dont la solvabilité est vérifiée doit être majeure.
• Sanction des infractions à l’obligation de diligence : Toute infraction intentionnelle aux exigences minimales en matière de sécurité des données sera sanctionnée d’une amende pouvant aller jusqu’à CHF 250’000. 

Divergences subsistantes et suite de la procédure

Le Conseil national n’a pas encore résolu les différends suivants :

• Définition des données personnelles sensibles : Selon le Conseil national, les données génétiques ne sont considérées comme des données personnelles sensibles que si elles servent à identifier une personne de manière spécifique.
• Profilage à haut risque : Conformément au Conseil des États, le Conseil national a proposé une distinction entre « profilage » et « profilage à haut risque ». Toutefois, « le profile à haut risque » – pour lequel des exigences plus strictes doivent être remplies – est défini différemment, ne couvrant que les situations où le profilage aboutit aux données personnelles sensibles.
• Entendue de l’obligation de fournir des informations : Le Conseil national a rejeté la proposition du Conseil des États d’étendre la liste minimum d’informations à fournir à la personne concernée avec une liste des droits des personnes concernées et contenant également l’intention du responsable du traitement quant au traitement des données dans le but de vérifier la solvabilité des personnes concernées et la divulgation de ces données à des tiers.
• Etendue du droit d’accès : Le Conseil national a rejeté la suggestion du Conseil des États d’étendre la liste minimale légale d’informations à fournir à la personne concernée si l’accès est demandé. Par conséquent, la liste des informations, selon le Conseil national, ne doit pas inclure les informations si des données sont traitées pour la vérification de la solvabilité de la personne concernée et sur la logique sur laquelle ce traitement est basé. En outre, le Conseil national a insisté pour que seules les données personnelles traitées « en tant que telles » soient ajoutées à la liste minimale d’informations.
• Conditions préalables pour l’intérêt prépondérant dans le contexte des vérifications de solvabilité : Selon le Conseil national, les données à caractère personnel traitées pour la vérification de solvabilité ne doivent pas avoir plus de dix ans. Le Conseil fédéral et le Conseil des États avait proposé un maximum de cinq ans.

Le Conseil des États devrait débattre des divergences restantes lors d’une session extraordinaire du 4 mai 2020 (sous réserve de modifications en raison de la situation Coronavirus). Par conséquent, la version finale du projet de loi sera vraisemblablement adoptée, au plus tôt, lors de la session d’été de juin 2020.

Nous continuerons de vous tenir informés des avancées de la procédure de révision. Nos spécialistes se feront un plaisir de vous conseiller sur les éventuels impacts que le projet de loi modifié pourrait avoir sur votre entreprise.