La loi sur la protection des données (LPD) adoptée le 25 septembre 2020 doit être complétée par une ordonnance (ODA). La consultation a montré sur des points essentiels que cette dernière n’avait aucun fondement juridique. Il s’agit par exemple de l’obligation de tenir des registres, des règles de traitement, des obligations liées aux informations à donner, au stockage et à la documentation.

L’ordonnance relative à la loi sur la protection des données doit satisfaire des objectifs qui ne peuvent pas relever de la seule responsabilité de la personne chargée de la protection des données dans l’entreprise. Par exemple, le contrôle des transports peut être mis en danger par de nombreux facteurs externes dont la ou les personnes responsables de cette activité ne peuvent être tenues pour responsables. Les responsabilités sont entièrement transférées à l’entreprise, ce qui est en soi inacceptable.

On peut également se demander où l’obligation de tenir des registres – les registres doivent être conservés pendant deux ans – trouve son fondement dans la loi. La seule chose qui est claire, c’est que cette obligation est disproportionnée par rapport aux avantages qu’elle présente.

Au final, toujours plus de bureaucratie: les entreprises et structures de droit privé qui emploient moins de 250 personnes au début de l’année, ainsi que les personnes physiques, sont en principe exemptées de l’obligation de tenir un registre des activités de traitement.

En revanche, elles le sont si l’une des conditions suivantes est remplie: les données à caractère per-sonnel nécessitant une protection particulière sont traitées de manière extensive, ou un profilage à haut risque est effectué. Il convient de préciser que l’obligation éventuelle d’une PME (dans les deux conditions mentionnées) ne s’étend pas à toutes les activités de traitement, mais uniquement à celles qui sont explicitement mentionnées dans les conditions.

Une démarcation plus claire devrait être introduite ici pour les cas exceptionnels. Car que faut-il entendre exactement par «données personnelles étendues nécessitant une protection spéciale»? Si aucune spécification mesurable n’est faite ici, cela peut – et va probablement – conduire à de grandes incertitudes juridiques.

Frais exorbitants

Et en plus, tout cela coûte cher! Le Préposé fédéral à la protection des données (PFPDT) fait son travail dans l’intérêt de la société et du public. Il n’y a aucune raison compréhensible pour que quelqu’un qui a besoin de ses services pour se comporter d’une manière conforme à la protection des données soit en plus obligé de payer une redevance. Il n’est pas non plus possible que les émoluments soient calculés en fonction du temps passé – le particulier n’a aucune influence sur l’efficacité de la prestation du préposé à la protection des données. Il est également absurde d’appliquer des tarifs qui peuvent atteindre 350 francs. La grille tarifaire devrait être complètement revue.

La révision totale de la loi sur la protection des données apporte des changements profonds et entraîne des obligations nouvelles, supplémentaires et étendues pour les entreprises. Une période de mise en œuvre adéquate est donc nécessaire. Concrètement, une période d’au moins une année est nécessaire pour le travail de mise en œuvre dans les entreprises.

L’usam et un grand nombre de ses membres ont rejeté le projet d’ordonnance sur la loi sur la protection des données sur la base des justifications évoquées ici et de de nombreux autres points. Si le Conseil fédéral devait néanmoins s’en tenir à ce projet en l’état, le Parlement pourrait – et devrait – y voir une raison supplémentaire d’introduire enfin un veto d’ordonnance efficace. Comme le montre ce cas, le moment est plus que propice à cela.

Dieter Kläy, usam