Publié le: 5 mai 2017

Eviter la criminalisation des PME

protection des données – En avril, la procédure de consultation a abouti au projet d’une nouvelle loi. Si celle-ci était appliquée tel quel, les PME devraient s’attendre à une gigantesque vague de réglementations sans précédent.

Truffé de règlements «Swiss Finish», ce projet de loi comprend de nombreuses obligations et devoirs d’information pour les entreprises. A tel point qu’il va même au-delà du but fixé par le Règlement général sur la protection des données dans l’Union européenne (RGPD-UE) et par la Convention 108 du Conseil de l’Europe.

Le projet de loi sur la protection des données contient un devoir d’informer et de renseigner considérablement plus étendu. Ainsi, «le responsable du traitement informe la personne concernée de la collecte de données personnelles la concernant, que celle-ci soit effectuée directement auprès d’elle ou auprès d’un tiers. Au plus tard lors de la collecte des données personnelles, il communique à la personne concernée les informations nécessaires à la mise en œuvre des droits de celle-ci et garantissant la transparence du traitement, soit notamment: l’identité et les coordonnées du responsable du traitement, les données ou catégories de données personnelles traitées et les finalités du traitement. Si les données personnelles sont communiquées à des tiers, le responsable du traitement informe la personne concernée des destinataires ou des catégories de destinataires. Si les données personnelles ne sont pas collectées auprès de la personne concernée, celle-ci doit être informée au plus tard lors de leur enregistrement.»

Ce devoir d’information étendu peut aboutir au fait que les personnes concernées soient submergées d’un flot d’informations, ce qui n’est ni dans l’intérêt de la protection des données, ni dans celui de la personne concernée. Une approche plus raisonnable serait qu’une entreprise explique comment et pourquoi ces données sont collectées au lieu de publier un message sur son site web à chaque acquisition d’information. La réglementation envisagée entraînerait un énorme fardeau administratif.

Analyse d’impact relative à la protection des données

Autre obligation pour l’entreprise, c’est de procéder à une analyse d’impact sur la protection des données. Cette analyse effectuée précédemment vise à réduire «les risques pour la personnalité et les droits fondamentaux de la personne concernée». Et son résultat doit être annoncé au Préposé fédéral à la protection des données et à la transparence (PFPDT) qui est alors tenu de formuler toute objection dans un délai de trois mois. Dans la pratique, cette formulation est déstabilisante et, à cause de sanctions draconiennes qui menacent, aboutirait à annoncer trop de messages au PFPDT. Un «risque accru» serait facilement identifié! Pour les entreprises opérant sur le marché, l’attente de trois mois pour obtenir l’approbation du PFPDT est tout simple­ment intenable.

Notification des violations de la protection des données

«Tout traitement non autorisé» ou «toute perte des données personnelles» est à notifier «sans délai» au PFPDT. En outre, le responsable du traitement des données informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige. D’office ou sur dénonciation, le PFPDT peut ouvrir une enquête contre une personne privée s’il détient les indications d’une manipulation des données qui violerait les règlements de la protection des données. Cela peut aller jusqu’à la perquisition du domicile! Cette exigence de notifier toute violation de la protection des données outrepasse les exigences du RGPD-UE. En pratique dans l’entreprise, les sanctions pénales créeraient un climat d’insécurité et une culture de la peur.

Sanctions pénales démesurées

La révision totale de la loi sur la protection des données (LPD) ne doit pas aboutir à une criminalisation de l’entreprise, respectivement des individus responsables. Or, c’est exactement la direction prise par le projet de loi qui prévoit un droit d’action libre pour toutes les personnes touchées. Les sanctions plus strictes sont réclamées par le Conseil fédéral, avec des peines jusqu’à 500 000 francs ou 3 ans d’empri­sonnement pour les contrevenants récidivistes à la LPD. C’est bien au-delà du but recherché et d’un système de sanctions rationnel… Le résultat serait que, dans le but de protéger juridiquement l’entreprise, les employés responsables décident de notifier «trop plutôt que trop peu», avec en conséquence de frais supplémentaires pour la firme et pour la personne touchée. Et du côté du PFPDT, on serait submergé d’informations. Tout cela va-t-il dans le sens visé par le législateur? On en doute…

Intérêts de l’économie ignorés

Le projet de révision du Conseil fédéral s’oriente exclusivement sur les risques potentiels des personnes touchées. Pour lui, les intérêts de l’économie des PME ne jouent ici aucun rôle. Extrêmes et fastidieuses, les dispositions ne trouveront aucune acceptation et, de plus, fragiliseraient une fois encore les entreprises. On ne s’étonne pas de ne trouver, dans le message du Conseil fédéral, aucune évaluation de l’analyse d’impact sur la réglementation comme c’est pourtant requis par la loi. Et à cause de cette lacune dans l’étude commanditée par la Confédération, on ne peut émettre aucune déclaration sérieuse sur cette analyse d’impact. Les résultats présentés dans son rapport explicatif, le Conseil fédéral se contente d’indiquer des coûts de réglementation «insignifiants»… Quelle désinvolture pour une question aux conséquences si importantes! L’usam rejette catégoriquement la révision de la loi sur la protection des données.

Dieter Kläy, responsable du dossier de l'usam

Les plus consultés