Protection des données Une loi souple sur la protection des données

La révision totale de la loi sur la protection des données est sur les rails. Le National l’a adoptée mercredi par 98 voix contre 68 et 27 abstentions. Hormis de rares compromis avec la gauche, les députés ont privilégié une version très souple pour l’économie.

Le projet débattu depuis mardi a opposé la droite, favorable à un projet le moins contraignant possible pour les entreprises, aux élus de la gauche et des Vert'Libéraux qui ont défendu les droits des personnes sur leurs données personnelles. Au bilan, le match s'est clairement soldé par une victoire des premiers.

La loi vise à obtenir la reconnaissance par l'UE de l'équivalence en matière de protection des données et à remplir les exigences de la convention 108 du Conseil de l'Europe. L'économie attend avec impatience cette mise à niveau aux standards européens. L'UE a introduit son Règlement général pour la protection des données (RGPD) il y a plus d'un an.

«Sur une dizaine de points décisifs, la droite a réussi à imposer son point de vue», a déploré Balthasar Glättli (Verts/ZH). La majorité veut faire sauter tous les verrous qui protègent les citoyens dans le traitement de leurs données; on sera en-deçà du RGPD, de la convention du Conseil de L'Europe et même du droit en vigueur, a renchéri Cédric Wermuth (PS/AG).

La gauche a d'ores et déjà menacé de rejeter le projet en votation finale s'il n'est pas amélioré. Le rapporteur de commission, Matthias Jauslin (PLR/AG), a admis qu'un certain nombre de points comme le profilage qui permet de cerner la personnalité de quelqu'un à partir de ses données, ou la transmission d'informations à l'étranger devraient être retravaillés par le Conseil des Etats.

Droits limités des citoyens

Pour éviter un naufrage dès le débat d'entrée en matière, le PLR a fait mardi une concession à la gauche concernant l'aide sociale. Il a accepté que les données dans ce domaine soient considérées comme des données sensibles. L'UDC, qui critiquait un «monstre bureaucratique» s'est ainsi retrouvée totalement isolée.

Mais la suite des débats a montré peu de volonté de conciliation de la part de la droite. Les données relatives aux activités syndicales ne bénéficieront pas d'une protection particulière. Le consentement des personnes ne sera pas non plus exigé en cas de profilage, bien que cela affaiblisse le niveau actuel de protection, a averti la conseillère fédérale Karin Keller-Sutter.

Le projet énumère toute une série de règles en matière de devoir d’informer visant à renforcer la transparence. La droite a réussi à limiter cette obligation notamment si des efforts disproportionnés sont nécessaires. Le droit d'accès à ses données ne sera pas complètement gratuit, comme l'aurait voulu Isabelle Moret (PLR/VD).

Contre l'avis du Conseil fédéral, le National s'est encore opposé à une réglementation pour la gestion des données de personnes décédées. La gauche et plusieurs élus du centre auraient souhaité préciser les dispositions concernant la mort numérique. Selon la majorité, le Code civil suffit.

Les entreprises ou leurs sous-traitants devront tenir un registre des activités de traitement des données. Mais il y aura des exceptions pour celles de moins de 250 collaborateurs. Un compromis a été trouvé entre les souhaits de l'UDC qui réclamait 500 collaborateurs et ceux de la gauche qui voulait fixer le seuil à 50.

Droit de portabilité

Le projet prévoit une nouveauté, à savoir le droit pour les citoyens à récupérer leurs données s'ils veulent changer de prestataire. A nouveau, la droite a obtenu contre l'avis des Verts qu'il ne s'agisse que des informations communiquées et non de toutes les données personnelles qui auront été traitées par les algorithmes.

Le préposé à la protection des données devrait être élu par l'Assemblée fédérale. Une élection directe garantit mieux son indépendance, selon la majorité. Le PVL s'est insurgé contre la volonté du Parlement de vouloir nommer à-tout-va des hauts fonctionnaires chargés de l'opérationnel.

Le préposé devra disposer d'indices suffisants pour ouvrir une enquête. La droite a échoué d'un cheveu, par 99 voix contre 95, à durcir les conditions pour lui permettre d'investiguer d'office. En matière de sanctions, les amendes contre les personnes physiques devraient s'élever à 250'000 francs au maximum. La gauche aurait voulu 500'000 francs.

La loi entrera en vigueur lorsque le Conseil fédéral aura fixé la date en tenant compte notamment des besoins de l’économie privée. La droite aurait préféré un délai de deux ans, afin de donner aux entreprises le temps de procéder aux adaptations nécessaires.

A l'entame des débats, Karin Keller-Sutter a répété l'importance de cette révision pour l'économie. Mais elle a aussi souligné qu'il n'était pas question de revenir en arrière sur la protection des citoyens. Le dossier passe au Conseil des Etats.