Données » Aujourd’hui, tout le monde ou presque est connecté à internet, que ce soit pour faire ses paiements en ligne ou rencontrer des amis. Le volume et l’intensité du traitement des informations personnelles en sont décuplés, constate le Préposé fédéral à la protection des données dans son 30e rapport d’activités 2022-2023.

Les mésaventures de la plateforme mesvaccins.ch ou du registre des dons d’organes de Swisstransplant montrent que les règles du nouveau droit sont plus nécessaires que jamais. La nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre prochain, doit fournir à l’économie de nouveaux outils afin de répondre aux attentes légitimes de la population de bénéficier d’une protection solide de la sphère privée.

Elle instaurera des nouveautés non seulement pour les personnes traitant des données, mais aussi pour le préposé fédéral. Dorénavant, lorsque le traitement de données envisagé sera susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement devra procéder à une analyse d’impact.

Le préposé fédéral examinera l’analyse et communiquera son avis dans un délai de deux mois. Les associations professionnelles, sectorielles ou économiques pourront élaborer leur propre code de conduite et le soumettre au préposé. Ce dernier publiera ses prises de position.

Les responsables du traitement devront à l’avenir annoncer les cas de violation de la sécurité des données. Si le préposé constate des infractions, il pourra rendre une décision qui pourra être contestée devant le Tribunal administratif fédéral. Contrairement aux autorités de surveillance de l’UE, il restera toutefois privé de tout pouvoir de sanction.

Amendes

Seront à l’avenir punissables la violation intentionnelle des obligations d’informer, de renseigner et de collaborer et la violation intentionnelle des devoirs de diligence, notamment lors de la communication de données personnelles à l’étranger, d’une sous-traitance et de la fourniture de la sécurité des données.

Les amendes d’un montant maximal de 250 000 francs pourront être prononcées contre la personne privée responsable du traitement sur plainte. L’amende prévue pour les personnes morales sera quant à elle plafonnée à 50 000 francs. Les procédures en cours seront jugées selon le droit actuel, même si elles n’aboutissent qu’après l’entrée en vigueur de la nouvelle loi, précise le rapport.

Le préposé fédéral sera à l’avenir élu par le parlement. Jusqu’ici, il était nommé par le Conseil fédéral et sa nomination était soumise à l’approbation de l’Assemblée fédérale. Cette nouvelle règle renforcera l’indépendance de l’office. Le préposé engagera lui-même son personnel et disposera de son propre budget. Il restera rattaché à la Chancellerie fédérale.

Même si, dans un traitement de données personnelles, le risque zéro n’existe pas, les nouveaux instruments permettront aux responsables d’identifier les risques et, au final, de protéger la vie privée des internautes. ATS