Réforme de la loi sur la protection des données: le projet avance... enfin
L'examen du projet de révision de la loi sur la protection des données (LPD), censée se calquer sur le RGPD, est achevé. Le texte a été adopté par la commission parlementaire. La loi n'entrera toutefois pas en vigueur de sitôt...
L'examen du projet de révision de la loi sur la protection des données (LPD) a abouti. Les discussions ont apparemment été âpres, la commission des institutions politiques du Conseil national (CIP-CN) ayant adopté l’ensemble du projet par 9 voix contre 9 et 7 abstentions (la voix prépondérante du président de la CIP-CN a permis l'adoption).
Le texte va enfin pouvoir être soumis au Parlement, après des mois de procrastination. Mais au vu du vote serré de la commission, les débats s’annoncent intenses et la réforme n’entrera vraisemblablement pas en vigueur de sitôt, n’en déplaisent aux nombreuses entreprises suisses menant des activités extraterritoriales et qui espéraient une réforme rapide de la LPD à l'aune du RGPD. La commission a de surcroît décidé que «la nouvelle loi n’entrerait en vigueur qu’à l’échéance d’un délai de deux ans à compter de la fin du délai référendaire ou de la date d’une éventuelle votation populaire», souligne le communiqué du Parlement.
Le texte adopté par la CIP-CN prévoit, entre autres, que le Préposé à la protection des données soit élu par l’Assemblée fédérale, en lieu et place du système actuel de nomination par le Conseil fédéral. La commission a également introduit un droit à la portabilité des données, consistant à permettre de récupérer gratuitement dans un format standard les données personnelles afin de pouvoir les transférer à un autre service. Le texte adopté stipule par ailleurs que les entreprises étrangères qui fournissent des prestations en Suisse seront tenues de respecter le droit suisse de la protection des données, ainsi que de désigner un représentant en Suisse. Le projet de réforme prévoit uniquement des sanctions pénales, à l’exclusion de sanctions administratives. Cela signifie que, contrairement au RGPD, seules les personnes physiques (par exemple dirigeants de l’entreprise) pourront être sanctionnées. En outre, la commission a décidé de ne pas prévoir de réglementation particulière concernant la gestion des données de personnes décédées.