Protection des donnéesProtection des données: profilage encadré
ATS
24.9.2020 - 09:48
Le profilage à haut risque figurera dans la loi sur la protection des données. Le Conseil national a finalement accepté jeudi de soumettre cette pratique à des exigences particulières, suivant la proposition de la conférence de conciliation.
La question du profilage a divisé les Chambres depuis trois ans. La gauche et le PVL ont défendu mordicus que le traitement de données permettant de dresser un profil précis de la personnalité des citoyens grâce à un appariement des données provenant de sources différentes devait être strictement encadré. Ils ont finalement obtenu gain de cause.
«On a besoin d'une loi sur la protection des données moderne et adaptée aux exigences européennes», a déclaré Matthias Samuel Jauslin (PLR/AG) pour la commission. La mouture présentée par la conférence de conciliation mentionne ainsi explicitement le profilage à risque élevé. Le National l'a acceptée par 134 voix contre 42, l'UDC étant la seule formation à la rejeter. Le Conseil des Etats a confirmé à l'unanimité.
Cette précision s'appuie sur la définition prévue par le droit actuel pour les profils de personnalité et assure exactement le même niveau de protection que le droit en vigueur. La sécurité juridique est dès lors garantie. En outre, elle n'implique aucune augmentation des procédures pour les entreprises, a rappelé Damien Cottier (PLR/NE).
Adaptée au Big Data
La droite avait fait barrage estimant cette disposition inutile. Elle arguait en outre que cette définition du profilage n'existe pas dans le droit européen.
La loi révisée est ainsi adaptée à la digitalisation et au Big Data. Aujourd'hui, grâce aux données de mouvements, on peut voir qui rencontre qui, à quel moment, à quelle heure et à quel endroit. Ces renseignements méritent une protection particulière, a rappelé à de multiples reprises Balthasar Glättli (Verts/ZH).
Durant tous les débats, l’UDC et le PLR ont tout fait pour restreindre au strict minimum les nouvelles obligations imposées aux entreprises. La gauche et le PVL ont mis au contraire en avant la nécessité de protéger les utilisateurs et leurs données, parfois sans succès.
La gauche avait menacé de ne pas adopter le projet de loi en votation finale si le profilage n'était pas précisé. L'UDC s'est quant à elle tout du long opposée à cette nouvelle réglementation qu'elle considère comme un monstre bureaucratique. La ministre de la justice Karin Keller-Sutter avait averti qu'un échec de la loi nuirait surtout aux entreprises.
Equivalence avec l'UE
La révision de loi vise à obtenir la reconnaissance par l'Union européenne (UE) de l'équivalence en matière de protection des données. Dans l'UE, le nouveau Règlement général pour la protection des données (RGPD) est entré en vigueur le 25 mai 2018. La Suisse avait jusqu'au 20 mai pour s'aligner.
Sans équivalence, les entreprises seraient contraintes de prouver au cas par cas qu'elles garantissent la protection des données. Pour éviter cette perspective coûteuse, la loi contient plusieurs dispositions pour se conformer aux standards européens.
La révision apporte aux citoyens une meilleure protection de leurs données. Ils devront être informés. La protection des mineurs est garantie. Les personnes dont les données seront traitées devront être majeures. Il y a une liste des données considérées comme sensibles. Les entreprises seront elles soumises à certaines nouvelles obligations.
Amendes modestes
La loi renforce aussi les compétences du Préposé fédéral à la protection des données et à la transparence. Côté sanctions, les amendes pourront s'élever à 250'000 francs au maximum. Seules les personnes physiques pourront être punies en cas d'infraction. Les entreprises seulement dans des cas bien définis.
A titre de comparaison, l’UE sanctionne les violations du droit européen d’amendes pouvant atteindre 10 millions d’euros, voire 20 millions pour les entreprises.