HomeNewsNouveautés concernant la loi sur la protection des données (LPD) et leurs conséquences pour les NPO

Nouveautés concernant la loi sur la protection des données (LPD) et leurs conséquences pour les NPO

28.02.2020

Après un démarrage lent, la révision de la loi suisse sur la protection des données s’est poursuivie tout aussi mollement. Mais à la fin de 2019, la procédure de consultation du Parlement s’est enclenchée à un rythme soutenu. Désormais, la balle se trouve de nouveau dans le camp du Conseil national (élimination des divergences durant la session de printemps 03/20) et la pression s’accentue : après l’entrée en vigueur du règlement européen (RGPD), qui fêtera déjà son deuxième anniversaire en mai prochain, l’examen d’équivalence de l’UE doit être réalisé et concluant afin de protéger les intérêts commerciaux suisses. Par ailleurs, certaines questions restent sans réponse, et le processus pourrait faire l’objet d’un nouveau report : à l’heure actuelle, les experts estiment cependant une introduction de la nouvelle LPD d’ici à la fin de 2020 ou à partir de 2021.

La révision de la loi suisse sur la protection des données a enfin pris de la vitesse : le Conseil national et le Conseil des États ont débattu du projet tel qu’il était rédigé en janvier 2020, et lors de la session de printemps à venir (03/20), l’élimination des divergences aura lieu en vue d’une concordance. Quelles différences existent entre les deux versions ? Et quelles conséquences peuvent avoir un impact sur notre travail quotidien avec les données personnelles ?

Déroulement de la procédure de consultation et discours

Une fois que le projet de loi du Conseil fédéral a été débattu au sein du Conseil national et que la discussion s’est partiellement « apaisée », la procédure de consultation a réellement pu être lancée : à la mi-novembre 2019, la Commission des institutions politiques du Conseil des États a élaboré une proposition à l’attention de la session d’hiver (18 décembre 2019). Cette proposition divergeait sur certains points du projet du CN, plus modéré, et tenait à nouveau compte, dans une certaine mesure, du projet original. Ainsi, les clauses punitives et la sanction pénale en cas de non-respect de la sécurité des données ont été remises sur la table, et aucune exception n’est prévue concernant l’obligation d’informer en raison de frais disproportionnés.  De la même manière, l’idée d’un catalogue exhaustif des informations à documenter dans le cadre de l’exercice du droit d’accès doit être abandonnée. Si l’on s’appuie sur la pratique du RGPD, les données relatives aux « opinions ou [aux] activités syndicales » sont assimilées à des « données personnelles sensibles ». Parallèlement, l’examen de solvabilité ainsi que le traitement des données des mineurs doivent être soumis à des conditions spécifiques.

Le timing était pour le moins sportif. Le 24 janvier 2020, la Commission des institutions politiques du Conseil national s’est réunie concernant ce projet du Conseil des États, et a soumis la proposition actuelle à son Conseil – aux fins de la procédure d’élimination des divergences de la session de printemps, en mars 2020.

Situation actuelle et conséquences

Pour les points de discussion les plus intenses et les différences majeures entre les Conseils et leurs commissions, le nouveau « profilage » a été mis en place : par analogie à l’ancienne notion de « profils de personnalité », ce terme désigne en particulier le traitement automatisé des données personnelles qui intervient dans le profilage de schéma des données et l’évaluation des aspects personnels d’une personne physique (« déductions sur la personne »). Dans ce contexte, et par volonté de compromis (« approche basée sur les risques »), on a finalement distingué une catégorie affichant un risque élevé vis-à-vis des droits de la personnalité ou du droit fondamental (p. ex. orientation politique, informations médicales, orientation sexuelle), et exigé un consentement exprès après notification. En l’état actuel de la proposition existante au Conseil national, une faible majorité de la Commission s’est à nouveau exprimée contre une telle distinction – on s’attend cependant à un nouveau débat.

Outre le profilage, les conséquences associées au droit pénal et à l’obligation d’informer concernent notre branche. Concernant la dernière version provisoire des autres aspects, voici ce qui s’applique :

  • Compétence de décision (attendue) pour le Préposé fédéral à la protection des données et à la transparence (PFPDT)
  • Amendes allant jusqu’à CHF 250 000 en cas de violation intentionnelle de l’obligation d’informer, du devoir de communication, de coopération ou de diligence – à la différence de l’UE, sanction pénale sur les personnes physiques
  • Obligation d’informer, entre autres en mentionnant les personnes responsables, le but du traitement des données et les catégories de destinataires pour la transmission des données Probablement une règlementation spéciale pour les entreprises (transmission « interne » simplifiée)
  • Certificat de traitement uniquement pour les entreprises de plus de 250 collaborateurs
  • Pas de conditions élargies pour évaluer la solvabilité, mais une protection élargie des mineurs, précisément dans ce contexte
  • Privacy by design et privacy by default : L’élaboration de formulaires d’inscription (p. ex. newsletters) doit être choisie de manière à ce que le déroulement et la présélection ne soutiennent pas un consentement automatique standard.

Actions requises aujourd’hui

L’introduction de la LPD révisée est donc reportée à la fin de 2020 (délai souple d’introduction pour les processus en cours d’environ 2 ans désormais) et le processus, déjà complexe sur le plan politique en raison des oppositions à venir de la part des associations économiques, ne va pas aller en se simplifiant.  Cependant, en raison d’une pression croissante (examen d’équivalence de l’UE à passer, garantir des intérêts commerciaux suisses), il est certain que le RGPD européen fixe le cadre de référence étroit de la LPD définitive, malgré les différences actuelles. Parallèlement, cette norme européenne s’est désormais imposée de manière parfaitement intuitive dans l’utilisation quotidienne, en particulier dans le domaine des médias numériques, et peut servir de modèle. On peut ainsi déterminer clairement les travaux préparatoires à mener urgemment afin d’être prêts en tant qu’organisation et de satisfaire aux nouvelles exigences (préparation institutionnelle, conformité) – et nous avons encore le temps d’organiser une préparation optimale.

Aides pratiques/documents pour les membres de Swissfundraising

Après le manuel pratique et la session d’information avec l’avocat David Rosenthal (Homburger), le groupe de travail de Swissfundraising met désormais à disposition des outils de travail pratiques : Une « checklist de conformité » a été créée pour aider les organisations à se préparer à réaliser une auto-évaluation et une auto-déclaration, et à travailler sur les principaux aspects sans exiger d’efforts disproportionnés. Par ailleurs, nous proposons un guide composé des questions essentielles sur l’élaboration d’une déclaration de protection des données.

Ces documents (checklist de conformité et guide de déclaration de protection des données) sont à la disposition des membres de Swissfundraising dans la rubrique dédiée aux membres sur swissfundraising.org.

Pour le GT Swissfundraising « protection des données » : Ruth Wagner


GT Protection des données

  • Simon Bienz, Schweizerisches Rotes Kreuz
  • Christine Bill, HELVETAS Swiss Intercooperation
  • Roman Bolliger, Public Eye
  • Léonie Van de Vijfeijken, WWF Schweiz
  • Ruth Wagner, Swissfundraising / one marketing