Le Conseil fédéral exprime son appréhension de l’application du RGPD: la route sera longue!

Suite à une interpellation de la Conseillère nationale Doris Fiala, le Conseil fédéral a dû se prononcer in parte qua sur les conséquences pour la Suisse de la prochaine entrée en vigueur du Règlement général sur la protection des données. Les réponses sont intéressantes, même si elles ne recèlent rien de surprenant. Le constat est par contre amer en ce qu’il concerne le temps qui sera nécessaire pour que la Suisse atteigne à nouveau un niveau adéquat en matière de protection des données. Le manque de vision stratégique et d’anticipation fait courir un risque systémique à l’économie suisse, sans même évoquer les entreprises qui pourraient décider de quitter notre pays en cas de décision constatant notre inadéquation!

1. L’UE continuera-t-elle de reconnaître l’équivalence de la législation suisse en matière de protection des données?
   Le maintien de la décision d’adéquation de l’UE est une des priorités du Conseil fédéral. C’est dans ce but notamment qu’il a décidé de rapprocher le contenu du projet de loi fédérale sur la protection des données des exigences du projet de modernisation de la convention STE 108, et du RGPD. Il n’est à l’heure actuelle pas possible de prévoir quand la Commission européenne procédera à une nouvelle évaluation du droit suisse de la protection des données, ni s’il en découlera un résultat positif. Si la Suisse veut conserver sa décision d’adéquation, elle doit offrir un niveau de protection comparable à l’UE. Le résultat de l’évaluation dépendra en grande partie des décisions du Parlement dans le cadre de la révision de la législation suisse en matière de protection des données. Étant donné que la Commission des institutions politiques du Conseil national a décidé de scinder le projet et de procéder à son examen en deux temps, des retards sont probables. Si, lors de sa prochaine évaluation, la Commission européenne arrive à la conclusion que la législation helvétique n’offre plus un niveau de protection adéquat – parce que la LPD n’a pas encore été révisée – elle pourra révoquer, modifier ou suspendre sa décision. L’économie, et en particulier les PME, s’en trouveraient pénalisées.

   Les données personnelles en provenance de l’UE ne pourraient plus être transférées sans autre en Suisse et des garanties supplémentaires devraient être prévues. Ainsi, les entreprises suisses devraient s’engager contractuellement à l’égard des entreprises de l’UE à respecter le niveau de protection européen.

2. Quel est l’interlocuteur des entreprises suisses (par ex. en matière d’obligation d’informer) en ce qui concerne le RGPD et la nouvelle loi sur la protection des données ? Est-ce le PFPDT, un organe de l’UE, voire les deux? Chaque autorité appliquera son propre droit. Lorsque le responsable du traitement estime être soumis tant à la LPD qu’au RGPD, il s’annoncera au préposé et à l’autorité de contrôle étrangère compétente.
3. Est-ce un organe suisse qui est compétent pour enquêter sur des entreprises suisses et, le cas échéant, leur imposer des sanctions? Selon quelles modalités et quel est cet organe? Une enquête et le prononcé de sanctions contre une entreprise sise en Suisse mais soumise au RGPD seront de la compétence des autorités de contrôle des États membres de l’UE. Sans accord de coopération, ces dernières ne pourront toutefois pas effectuer des actes d’enquêtes par elles-mêmes en Suisse. Lorsque l’entreprise est tenue de désigner un représentant dans l’UE (art. 27 RGPD), les autorités de contrôle européennes pourront notifier leurs décisions à l’entreprise suisse par le biais de ce représentant, sans passer par la voie diplomatique.
4. Une entreprise peut-elle être sanctionnée deux fois pour une même infraction, une fois par la Suisse et une fois par l’UE? Cette hypothèse n’est pas exclue. Le principe ne bis in idem (interdiction de la double incrimination) pourrait cependant entrer en ligne de compte s’agissant d’un concours entre des amendes administratives de l’UE et des sanctions pénales des autorités de poursuite pénale en Suisse.
5. Une entreprise peut-elle être sanctionnée par l’UE ou par un de ses États membres même si elle se conforme au droit suisse? Oui, si elles sont soumises au RGPD et qu’elles y contreviennent.
6. Les certifications et les organismes de certification suisses sont-ils reconnus par l’UE? Le RGPD ne prévoit pas de procédure de reconnaissance de la part de l’UE concernant des certifications et des organismes de certification suisses.
7. La Suisse est-elle associée à l’élaboration des normes? Le RGPD ne contient aucune disposition prévoyant une telle association. Il n’est toutefois pas exclu que des entreprises suisses puissent être impliquées, par exemple dans le cadre de l’élaboration de codes de conduites.
8. Plusieurs dispositions du RGPD renvoient à la législation des États membres. Quel rôle joue le droit suisse à cet égard? La Suisse n’est pas un État membre au sens du RGPD, et ce indépendamment du fait que cet acte puisse s’appliquer à des entreprises suisses en vertu de son article 3 alinéa 2. Les renvois à la législation des États membres ne visent ainsi pas le droit suisse, qui ne joue dès lors aucun rôle.
9. Quelles démarches le Conseil fédéral entend-il prendre pour pallier le manque de coordination aussi rapidement que possible par la voie d’accords internationaux? La conclusion d’un accord de coopération entre la Suisse et l’UE prendra vraisemblablement plusieurs années. Les chances de succès dépendront de la capacité de la Suisse à démontrer que sa législation en matière de protection des données offre un niveau de protection adéquat au sens du RGPD. Pour cette raison, le Conseil fédéral avait estimé opportun d’attendre le début des travaux parlementaires. Il avait envisagé une première prise de contact avec la Commission européenne début 2018. Compte tenu toutefois de la décision de la Commission des institutions politiques du Conseil national du 11 janvier dernier de traiter en priorité les modifications législatives nécessaires à la mise en oeuvre de l’acquis de Schengen, et de traiter les modifications visant à se rapprocher des exigences du RGPD dans un deuxième temps, le Conseil fédéral entend suspendre ses démarches pour l’instant.