ECONOMIE | ETAT | DROIT
5 Le devoir d’informer est étendu : la collecte de toutes les données personnelles – et non plus uniquement de données dites sensibles – doit donner lieu à une information préalable de la personne concernée. 6 La tenue d’un registre des activités de traitement devient obligatoire. L’ordonnance d’appli- cation prévoit toutefois une exemption pour les PME dont le traitement des données pré- sente un risque limité d’atteinte à la personnalité des personnes concernées. 7 Une annonce rapide est requise en cas de violation de la sécurité des données, à adresser au Préposé fédéral à la protection des données et à la transparence. 8 La notion de profilage (soit le traitement automatisé de données personnelles) a fait son entrée dans la loi. 9 Les dispositions relatives à la communication de données personnelles à l’étranger ont été révisées pour tenir de l’augmentation des flux transfrontières de données. Désormais, le Conseil fédéral déterminera quels États offrent un niveau de protection des données adé- quat. La liste, qui sera publiée en annexe de l’ordonnance sur la protection des données, sera contraignante pour les responsables du traitement. Auparavant, c’était le Préposé fédéral qui publiait une liste non contraignante. Par ailleurs, la protection des données a été renforcée de deux autres façons : les pouvoirs du Préposé fédéral à la protection des données et à la transparence en matière de surveillance a été étendu ; en outre, les sanctions en cas de violation de la protection des données sont à présent plus sévères. La LPD, dans ses art. 60 à 63, prévoit diverses sanctions pénales en cas de violation de certaines obligations par celui ou celle qui traite les données. Le récent durcissement du volet répressif a porté sur plusieurs aspects : ➞ Le montant maximal des amendes a été significativement augmenté, passant de 10’000 francs (soit le plafond fixé à l’art. 106 al. 1 CP) à 250’000 francs. ➞ La liste des comportements punissables a été étendue. Désormais, la violation de divers de- voirs de diligence est punissable (comme le fait de communiquer des données personnelles à l’étranger sans qu’un niveau de protection approprié soit garanti) est punissable, de même que l’insoumission à une décision du préposé fédéral à la protection des données. ➞ Autre nouveauté, lorsque l’amende entrant en ligne de compte ne dépasse pas 50’000 francs et que l’enquête rendrait nécessaires des mesures disproportionnées pour identifier les personnes responsables, l’autorité peut renoncer à poursuivre ces personnes et condam- ner l’entreprise au paiement de l’amende à leur place.
Dispositions pénales
Ces sanctions restent cependant très clémentes, par rapport à d’autres législations, et sans doute encore peu dissuasives, malgré leur durcissement, ceci pour diverses raisons :
➞ Les infractions prévues par la LPD sont seulement des contraventions (catégorie la moins grave). À ce titre, elles ne visent que des comportements intentionnels, et non des actes de négligence. ➞ La plupart ne sont pas poursuivies d’office, mais uniquement sur plainte de la victime. ➞ La loi impute la responsabilité pénale aux personnes privées, et non aux entreprises pour le compte desquelles elles travaillent. Or ce sont bien celles-ci qui collectent et traitent les données, en règle générale pour leur propre bénéfice. La possibilité de punir subsidiairement l’entreprise jusqu’à un montant de 50’000 francs peut éventuellement constituer une inci- tation pour les petites entreprises, mais n’a aucun caractère dissuasif pour des entreprises réalisant un chiffre d’affaires annuel de plusieurs millions voire milliards de francs (comme les grandes compagnies actives dans le secteur du numérique). À titre de comparaison, Facebook a été condamné, en avril 2020, à une amende de 5 milliards de dollars par l’agence américaine de protection des consommateurs, suite notamment au scan- dale Cambridge Analytica : il a été établi que le réseau social fondé par Mark Zuckerberg avait enfreint les règles de protection de la vie privée en partageant, sans leur consentement, les données de 87 millions d’utilisateurs avec des tierces parties, dont la firme Cambridge Analyti- ca, liée à la campagne présidentielle de Donald Trump en 2016.
29
Powered by FlippingBook