Votre publicité ici avec IMPACT_medias

La loi sur la protection des données encadrera le profilage à haut risque

Le traitement de données qui permet de dresser un profil précis de la personnalité des citoyens doit être réglementé, a décidé jeudi le National. La révision de la loi sur la protection des données vise également à mettre la Suisse au niveau de l’UE.

24 sept. 2020, 09:58
La loi sur la protection des données vise à mettre la Suisse au niveau de l'UE (photo d'illustration).

Le profilage à haut risque figurera dans la loi sur la protection des données. Le Conseil national a finalement accepté jeudi de soumettre cette pratique à des exigences particulières, suivant la proposition de la conférence de conciliation.

Gain de cause pour la gauche et le PVL

La question du profilage a divisé les Chambres depuis trois ans. La gauche et le PVL ont défendu mordicus que le traitement de données permettant de dresser un profil précis de la personnalité des citoyens grâce à un appariement des données provenant de sources différentes devait être strictement encadré. Ils ont finalement obtenu gain de cause.

On a besoin d’une loi sur la protection des données moderne et adaptée aux exigences européennes.
Matthias Samuel Jauslin (PLR/AG)

La mouture présentée par la conférence de conciliation mentionne ainsi explicitement le profilage à risque élevé. Le National l’a acceptée par 134 voix contre 42, l’UDC étant la seule formation à la rejeter. Le Conseil des Etats a confirmé à l’unanimité.

Cette précision s’appuie sur la définition prévue par le droit actuel pour les profils de personnalité et assure exactement le même niveau de protection que le droit en vigueur. La sécurité juridique est dès lors garantie. En outre, elle n’implique aucune augmentation des procédures pour les entreprises, a rappelé Damien Cottier (PLR/NE).

Adaptée au Big Data

La droite avait fait barrage estimant cette disposition inutile. Elle arguait en outre que cette définition du profilage n’existe pas dans le droit européen.

La loi révisée est ainsi adaptée à la digitalisation et au Big Data. Aujourd’hui, grâce aux données de mouvements, on peut voir qui rencontre qui, à quel moment, à quelle heure et à quel endroit. Ces renseignements méritent une protection particulière, a rappelé à de multiples reprises Balthasar Glättli (Verts/ZH).

Un monstre bureaucratique pour l’UDC

Durant tous les débats, l’UDC et le PLR ont tout fait pour restreindre au strict minimum les nouvelles obligations imposées aux entreprises. La gauche et le PVL ont mis au contraire en avant la nécessité de protéger les utilisateurs et leurs données, parfois sans succès.

La gauche avait menacé de ne pas adopter le projet de loi en votation finale si le profilage n’était pas précisé. L’UDC s’est quant à elle tout du long opposée à cette nouvelle réglementation qu’elle considère comme un monstre bureaucratique. La ministre de la justice Karin Keller-Sutter avait averti qu’un échec de la loi nuirait surtout aux entreprises.

Equivalence avec l’UE

La révision de loi vise à obtenir la reconnaissance par l’Union européenne (UE) de l’équivalence en matière de protection des données. Dans l’UE, le nouveau Règlement général pour la protection des données (RGPD) est entré en vigueur le 25 mai 2018. La Suisse avait jusqu’au 20 mai pour s’aligner.

Sans équivalence, les entreprises seraient contraintes de prouver au cas par cas qu’elles garantissent la protection des données. Pour éviter cette perspective coûteuse, la loi contient plusieurs dispositions pour se conformer aux standards européens.

La révision apporte aux citoyens une meilleure protection de leurs données. Ils devront être informés. La protection des mineurs est garantie. Les personnes dont les données seront traitées devront être majeures. Il y a une liste des données considérées comme sensibles. Les entreprises seront, elles, soumises à certaines nouvelles obligations.

Amendes modestes

La loi renforce aussi les compétences du Préposé fédéral à la protection des données et à la transparence. Côté sanctions, les amendes pourront s’élever à 250’000 francs au maximum. Seules les personnes physiques pourront être punies en cas d’infraction. Les entreprises seulement dans des cas bien définis.

A titre de comparaison, l’UE sanctionne les violations du droit européen d’amendes pouvant atteindre 10 millions d’euros, voire 20 millions pour les entreprises.

Votre publicité ici avec IMPACT_medias