19.068 Message relatif à l'approbation du protocole du 10 octobre 2018 portant amendement à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 6 décembre 2019

Madame la Présidente, Monsieur le Président, Mesdames, Messieurs, Par le présent message, nous vous soumettons le projet d'un arrêté fédéral relatif à l'approbation du protocole du 10 octobre 2018 portant amendement à la convention du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, en vous proposant de l'adopter.

Nous vous prions d'agréer, Madame la Présidente, Monsieur le Président, Mesdames, Messieurs, l'assurance de notre haute considération.

6 décembre 2019

Au nom du Conseil fédéral suisse: Le président de la Confédération, Ueli Maurer Le chancelier de la Confédération, Walter Thurnherr

2019-2836

545

Condensé Le projet vise à permettre à la Suisse de ratifier le protocole du Conseil de l'Europe du 10 octobre 2018 portant amendement à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (ci-après «protocole d'amendement») et à garantir ainsi un niveau élevé de protection de la sphère privée et à faciliter les flux transfrontières de données non seulement dans le secteur public mais aussi entre acteurs économiques.

Contexte En 2011, le Conseil de l'Europe a entamé des travaux de révision de la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel afin de répondre aux défis que représentent les évolutions technologiques et l'augmentation des flux transfrontières des données pour la protection de la sphère privée et des droits fondamentaux des personnes concernées.

Ces travaux ont abouti à l'adoption par le Comité des Ministres du Conseil de l'Europe du protocole d'amendement. L'ouverture à la signature a eu lieu le 10 octobre 2018. A ce jour, le protocole d'amendement a été signé par une trentaine d'Etats. Par décision du 30 octobre 2019, le Conseil fédéral a autorisé le Représentant permanent de la Suisse auprès du Conseil de l'Europe à le signer.

Le présent message fait suite au message du Conseil fédéral du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales. Dans le cadre de ce projet, le Conseil fédéral a décidé d'anticiper les travaux de transposition des nouvelles exigences du protocole d'amendement. Il a en effet considéré qu'il est dans l'intérêt de la Suisse de pouvoir ratifier le protocole d'amendement le plus rapidement possible pour des raisons tenant à la protection de la sphère privée ainsi que pour des motifs économiques (faciliter les flux transfrontières). En effet, la convention et son protocole d'amendement ont vocation à devenir un instrument universel.

Contenu En vertu du protocole d'amendement, les obligations du responsable du traitement sont renforcées. Celui-ci est notamment tenu d'annoncer à l'autorité de contrôle compétente certains cas de violation de la protection des données. Son devoir d'informer la personne concernée est également étendu. Le protocole d'amendement prévoit en outre l'obligation pour le responsable du traitement d'effectuer une analyse d'impact préalablement à certains traitements et d'appliquer les principes de la protection des données dès la conception et par défaut.

Le protocole d'amendement prévoit également un renforcement des droits des personnes concernées, notamment concernant leur droit d'accès et en cas de décision individuelle automatisée.

546

Les Etats parties sont en outre tenus d'établir un régime de sanctions et un système de recours et de conférer aux autorités de contrôle la compétence de rendre des décisions contraignantes susceptibles de recours.

Enfin, le protocole d'amendement prévoit un mécanisme d'évaluation qui permet à l'organe compétent du Conseil de l'Europe d'évaluer l'efficacité des mesures prises par l'Etat partie pour donner effet aux dispositions dudit acte. Les Etats parties n'ont plus la possibilité de formuler des réserves.

547

FF 2020

Table des matières Condensé

546

1

Contexte 1.1 Contexte international 1.2 Contexte national 1.3 Importance de l'accord 1.3.1 Instrument universel 1.3.2 Importance de l'accord pour l'examen des décisions d'adéquation de l'UE 1.4 Autres solutions 1.5 Déroulement et résultat des négociations relatives au protocole d'amendement 1.6 Relation avec le programme de législature et avec les stratégies du Conseil fédéral 1.6.1 Relation avec le programme de la législature 1.6.2 Relation avec les stratégies du Conseil fédéral 1.7 Classement d'interventions parlementaires

550 550 551 551 551

2

Procédure préliminaire, consultation comprise

555

3

Présentation du protocole d'amendement

556

4

Commentaires des dispositions 4.1 Préambule 4.2 Dispositions générales 4.3 Principes de base de protection des données 4.4 Communications de données personnelles à l'étranger 4.5 Autorités de contrôle 4.6 Coopération et entraide 4.7 Comité conventionnel 4.8 Amendements 4.9 Clauses finales 4.10 Annexe au protocole d'amendement: Eléments pour le règlement intérieur du comité conventionnel

557 557 557 558 561 562 563 564 564 565

Présentation de l'acte de mise en oeuvre 5.1 Présentation du projet de révision du Conseil fédéral du 15 septembre 2017 5.1.1 Modification du champ d'application 5.1.2 Modification des définitions 5.1.3 Renforcement des principes généraux de protection des données 5.1.4 Communication de données personnelles à l'étranger

566

5

548

552 553 553 554 554 554 554

566

566 566 567 567 567

FF 2020

5.1.5

5.2

Renforcement des obligations du responsable du traitement 5.1.6 Renforcement des droits des personnes concernées 5.1.7 Renforcement des pouvoirs et des tâches du PFPDT 5.1.8 Renforcement de la coopération entre autorités 5.1.9 Renforcement du régime de sanctions pénales Travaux parlementaires relatifs au P-LPD

568 569 569 570 570 571

6

Conséquences 6.1 Conséquences pour la Confédération 6.2 Conséquences pour les cantons 6.3 Conséquences économiques 6.4 Conséquences sociales 6.5 Autres conséquences

571 571 572 572 572 572

7

Aspects juridiques 7.1 Constitutionnalité 7.2 Compatibilité avec les autres obligations internationales de la Suisse 7.3 Forme de l'acte à adopter

573 573 574 574

Arrêté fédéral portant approbation du protocole du 10 octobre 2018 portant amendement à la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

575

Protocole portant amendement à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

577

549

FF 2020

Message 1

Contexte

1.1

Contexte international

Le 28 janvier 1981, le Conseil de l'Europe a adopté la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (ci-après «convention»)1, qui a été ratifiée par la Suisse le 2 octobre 1997. Cette convention a été complétée par le protocole additionnel 181 du 8 novembre 2001 à la convention concernant les autorités de contrôle et les flux transfrontières de données (ci-après «protocole additionnel»)2 que la Suisse a également ratifié le 20 décembre 2007.

En 2011, le Conseil de l'Europe a entamé des travaux de révision de la convention afin de répondre à l'évolution technologique et aux défis de la numérisation.

Sous présidence suisse, le comité consultatif de la convention (ci-après «comité consultatif») a adopté le 30 novembre 2012 un projet de modernisation et l'a transmis pour approbation au Comité des Ministres du Conseil de l'Europe (ci-après «Comité des Ministres»). Ce dernier a institué un comité d'experts ad hoc pour examiner le projet (ci-après «CAHDATA»). Les travaux du CAHDATA se sont terminés en juin 2016 avec l'adoption du «projet de modernisation de la convention de juin 2016».

Le 18 mai 2018, les travaux de révision ont finalement abouti à l'adoption du protocole d'amendement 223 à la convention (ci-après «protocole d'amendement»)3.

L'ouverture à la signature a eu lieu le 10 octobre 2018. A ce jour, le protocole d'amendement a été signé par 31 Etats membres du Conseil de l'Europe4 ainsi que par trois des huit pays non-membres5 du Conseil de l'Europe à avoir adhéré à la convention. Par décision du 30 octobre 2019, le Conseil fédéral a autorisé le Représentant permanent de la Suisse auprès du Conseil de l'Europe à le signer. Les premières ratifications pourraient intervenir dans un futur assez proche. En effet, le 9 avril 2019, l'Union européenne (UE) a expressément autorisé les Etats membres à ratifier, dans son intérêt, le protocole d'amendement.

1 2 3 4

5

550

RS 0.235.1 RS 0.235.11 www.coe.int > Conseil de l'Europe > Explorer > Bureau des Traités > Liste complète > Traité no 223 Allemagne, Andorre, Arménie, Autriche, Belgique, Bulgarie, Chypre, Croatie, Espagne, Estonie, Fédération de Russie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Lituanie, Luxembourg, Monaco, Norvège, Pays-Bas, Pologne, Portugal, République tchèque, Royaume-Uni, Saint Marin, Slovénie, Suède.

Argentine, Uruguay et Tunisie.

FF 2020

1.2

Contexte national

Le 15 septembre 2017, le Conseil fédéral a adopté le message concernant la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales6. Le projet de révision vise à réaliser deux objectifs principaux: renforcer les dispositions légales de protection des données pour faire face au développement fulgurant des nouvelles technologies d'une part, et d'autre part tenir compte des réformes du Conseil de l'Europe et de l'UE en la matière.

Comme il ressort de son message, le Conseil fédéral a décidé d'anticiper les travaux de transposition des nouvelles exigences du protocole d'amendement dans le cadre du projet de révision totale de la loi fédérale du 19 juin 1992 sur la protection des données7 (ci-après «P-LPD»), de sorte que le P-LPD est compatible avec les exigences du protocole d'amendement. Le Conseil fédéral a en effet considéré qu'il est dans l'intérêt de la Suisse de pouvoir ratifier le protocole d'amendement le plus rapidement possible pour des raisons tenant à la protection de la sphère privée, pour des motifs économiques (faciliter les flux transfrontières) et pour le renouvellement de la décision d'adéquation de la Commission européenne du 26 juillet 20008 reconnaissant le niveau adéquat de la législation suisse en matière de protection des données personnelles (voir ch. 1.3.2). Dans son projet de révision, le Conseil fédéral s'est basé sur le projet de modernisation de la convention de juin 2016, partant du principe qu'il ne subirait plus de modifications substantielles9. La version finale du protocole d'amendement n'a effectivement subi que deux changements mineurs qui ne nécessitent pas de modification du P-LPD (voir ch. 1. 5).

1.3

Importance de l'accord

1.3.1

Instrument universel

A l'instar de la convention et de son protocole additionnel, le protocole d'amendement a vocation à devenir un instrument universel. En effet, la convention actuelle est déjà ouverte à la ratification d'Etats non-membres du Conseil de l'Europe. L'intérêt d'Etats extra-européens à ratifier ce nouvel accord devrait s'accroître du fait que la ratification de cet instrument est considérée par l'UE comme un critère pour l'obtention d'une décision d'adéquation comme on le verra ci-dessous. En ratifiant le protocole d'amendement, la Suisse se positionne en faveur de la fixation d'une norme universelle, ce qui, à l'ère numérique, répond à un véritable besoin.

6 7 8

9

FF 2017 6565 RS 235.1 Décision 2000/518/CE de la Commission du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse, JO L 215 du 25.8.2000, p. 1.

FF 2017 6589 s., ch. 1.2.3.

551

FF 2020

Le protocole d'amendement permet d'harmoniser et de renforcer le niveau de protection des données au plan international, ce qui renforcera aussi la protection dont bénéficient les citoyens suisses lorsque leurs données personnelles font l'objet de traitements transfrontières.

Enfin, en ratifiant le protocole d'amendement, la Suisse souligne l'importance qu'elle accorde aux travaux du Conseil de l'Europe dans le domaine des droits fondamentaux et de la protection des données personnelles. Elle a du reste joué un rôle actif dans le travail de modernisation de la convention (voir ch. 1.5). La ratification est donc la suite logique de cette participation.

1.3.2

Importance de l'accord pour l'examen des décisions d'adéquation de l'UE

Le protocole d'amendement contribue également à faciliter les flux transfrontières de données entre les Etats parties. En effet, la LPD, le P-LPD, la convention et son protocole d'amendement ainsi que le règlement (UE) 2016/67910 prévoient en substance que des données personnelles ne peuvent être communiquées à un Etat tiers que si la législation de ce pays assure un niveau de protection des données adéquat.

Si le niveau de protection des données personnelles n'est pas assuré de manière adéquate, un transfert reste possible mais seulement à certaines conditions. La ratification par la Suisse du protocole d'amendement et la transposition de ces nouvelles exigences est primordiale non seulement pour le secteur public, mais tout particulièrement aussi pour le secteur privé car elle permet de maintenir la libre circulation des données personnelles entre une entreprise suisse et un responsable du traitement situé dans un Etat tiers qui aura lui-même adhéré au protocole d'amendement. Elle permet ainsi d'éviter que les participants au transfert ne doivent mettre en place des garanties supplémentaires de protection des données, susceptibles d'engendrer des coûts supplémentaires et compliquant par conséquent la marche des affaires commerciales. Si la Suisse renonce à ratifier le protocole d'amendement, il n'est pas exclu que certains acteurs économiques établis dans un Etat partie à la convention ne se détournent du marché suisse au motif que les flux transfrontières de données ne seraient plus facilités.

De l'avis du Conseil fédéral11, la ratification du protocole d'amendement constitue également un critère central pour l'UE pour décider si elle maintient sa décision d'adéquation en faveur de la Suisse.

En effet, le règlement (UE) 2016/679 prévoit que la Commission européenne peut accorder à un Etat tiers une décision d'adéquation si elle arrive à la conclusion que sa législation assure un niveau de protection adéquat. La Suisse est au bénéfice d'une telle décision depuis le 26 juillet 2000, décision qui a été accordée au regard

10

11

552

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 4.5.2016, p. 1.

FF 2017 6565 6617

FF 2020

des exigences de l'ancienne directive 95/46/CE12 relative à la protection des données personnelles et à la libre circulation de ces données. Cette décision d'adéquation autorise les responsables du traitement établis dans un Etat membre de l'UE à communiquer des données personnelles à un responsable du traitement établi en Suisse sans exiger de la part de ce dernier des garanties supplémentaires de protection des données. En vertu de l'art. 97 du règlement (UE) 2016/679, la Commission européenne doit rendre un rapport sur les décisions d'adéquation accordées à un certain nombre d'Etats tiers, dont la Suisse, d'ici au 25 mai 2020 et entend dès lors réexaminer l'ensemble des décisions d'adéquation existantes d'ici cette date. La Suisse est évaluée en même temps que les autres Etats tiers, à l'exception des USA et du Japon qui ont obtenu récemment une décision d'adéquation de l'UE. La Commission européenne a commencé son examen au printemps 2019, en demandant à la Suisse de lui fournir des informations complémentaires sur la situation légale de la protection des données. Comme il ressort du ch. 105 des considérants du règlement (UE) 2016/679, celle-ci doit notamment prendre en considération l'adhésion du pays tiers à la convention et à son protocole additionnel. Comment mentionné, la ratification du protocole d'amendement constitue également un critère important. Du reste, l'UE a autorisé ses Etats membres à ratifier le protocole d'amendement, montrant ainsi l'importance qu'elle accorde à ce nouvel instrument (voir ch. 1.1).

1.4

Autres solutions

La Suisse est membre du Conseil de l'Europe. Elle a ratifié la convention en 1997, et son protocole additionnel en 2007. Comme on le verra sous ch. 2, les résultats de la consultation externe ont montré que la majorité des participants se sont déclarés favorables à ce que la Suisse ratifie le protocole d'amendement. Si la Suisse devait renoncer à le ratifier et à transposer ses exigences dans son droit interne, elle se priverait à terme de la possibilité d'échanger des données personnelles sans entrave avec bon nombre d'Etats tiers européens et extra-européens, qui auront adhéré au protocole d'amendement.

1.5

Déroulement et résultat des négociations relatives au protocole d'amendement

La proposition de modernisation du comité consultatif a été encouragée et soutenue par décision du Comité des Ministres le 10 mars 2010 et par résolution des Ministres de la Justice du Conseil de l'Europe le 6 novembre 2010. Le processus de modernisation a été lancé officiellement à Bruxelles le 28 janvier 2011.

Dans le cadre de leurs travaux respectifs, tant le comité consultatif que le CAHDATA ont pris en compte le processus législatif de l'UE alors en cours, notamment le règlement (UE) 2016/679, afin de garantir une cohérence et une compatibilité maximale.

12

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281, du 23.11.1995, p. 31.

553

FF 2020

La dernière étape du travail de modernisation a été effectuée par le Groupe de rapporteurs sur la coopération juridique du Comité des Ministres, durant laquelle la délégation suisse s'est particulièrement impliquée.

1.6

Relation avec le programme de législature et avec les stratégies du Conseil fédéral

1.6.1

Relation avec le programme de la législature

Le projet de ratification du protocole d'amendement n'a été annoncé ni dans le message du 27 janvier 2016 sur le programme de la législature 2015 à 2019 13, ni dans l'arrêté fédéral du 14 juin 2016 sur le programme de la législature 2015 à 2019 14.

En revanche, les dispositions du protocole d'amendement sont transposées dans le P-LPD lequel a été annoncé dans le message du 27 janvier 2016 sur le programme de la législature 2015 à 2019.

1.6.2

Relation avec les stratégies du Conseil fédéral

Le Conseil fédéral a régulièrement montré son soutien à la modernisation de la convention et s'est par ailleurs engagé en faveur d'un renforcement de la protection des données dans le cadre de son action en faveur des droits de l'homme. Il a également déclaré appuyer les travaux du Conseil de l'Europe en faveur d'une modernisation de la convention dans ses réponses à différentes interventions parlementaires15.

Enfin, les mesures prévues par le protocole d'amendement convergent avec les objectifs poursuivis par le Conseil fédéral dans le cadre du P-LPD16 et de sa stratégie Suisse numérique17.

1.7

Classement d'interventions parlementaires

Les interventions parlementaires que le Conseil fédéral propose de classer sont mentionnées dans son message du 15 septembre 201718.

13 14 15

16 17 18

554

FF 2016 981 FF 2016 4999 Voir la réponse du Conseil fédéral à l'interpellation Eichenberger 13.4209 («US-Swiss Safe Harbor Framework. Restauration de la confiance dans le cadre de l'échange de renseignements avec les Etats-Unis») et à la question Gross 13.1072 («Pacte de l'ONU relatif aux droits civils et politiques. Intégration de la protection des données»).

Voir le rapport du Conseil fédéral du 9 décembre 2011 sur l'évaluation de la loi fédérale sur la protection des données, FF 2012 255.

www.ofcom.admin.ch > Suisse numérique et internet > Suisse numérique FF 2017 6565 6628

FF 2020

2

Procédure préliminaire, consultation comprise

Le Conseil fédéral a soumis simultanément le P-LPD et le projet de modernisation de la convention de juin 2016 à la procédure de consultation. Celle-ci s'est déroulée du 21 décembre 2016 au 4 avril 2017. Selon le rapport du 10 août 2017 19 de l'Office fédéral de la justice dont le Conseil fédéral a pris acte le 15 septembre 2017, la majorité des participants se sont déclarés favorables à une harmonisation du droit fédéral de la protection des données avec les exigences européennes là où cela est nécessaire, afin que la Suisse puisse continuer à être reconnue par l'UE et les Etats tiers comme un Etat assurant un niveau adéquat de protection des données (ch. 3.2 du rapport). Seuls quelques participants critiquent l'extension du champ d'application de la nouvelle convention. Ils considèrent également qu'une ratification de cet accord est superflue puisque le P-LPD s'aligne sur la réforme de l'UE (ch. 5.2 du rapport). Cette critique ne saurait être retenue. Comme indiqué sous ch. 1.3.2, la ratification du protocole d'amendement et la transposition de ses exigences en droit interne forment un ensemble de critères sur la base desquels l'UE décidera de maintenir la décision d'adéquation en faveur de la Suisse. De plus, si la Suisse devait renoncer à ratifier le protocole d'amendement, elle se priverait à terme de la possibilité d'échanger des données personnelles sans entrave avec bon nombre d'Etats tiers européens et extra-européens, qui auront adhéré au protocole d'amendement.

Deux modifications mineures ont été apportées au projet de modernisation de la convention de juin 2016.

La première modification permet de limiter, dans certains cas, l'obligation pour le responsable du traitement de démontrer à l'autorité de contrôle sa mise en conformité aux exigences de protection des données notamment en cas d'activités de traitement à des fins de sécurité nationale et de défense (art. 12 et 14 du protocole d'amendement; art. 10, par. 1, et 11, par. 3, de la nouvelle convention). Elle ne nécessite pas une adaptation du P-LPD. En effet, il s'agit d'une disposition facultative qui peut, le cas échéant, être transposée dans les lois fédérales sectorielles.

La seconde modification permet de déroger exceptionnellement au principe de la libre circulation des données entre Etats parties à certaines conditions, notamment lorsqu'il existe un risque réel et sérieux que le transfert à un autre Etat partie conduise à contourner les dispositions du protocole d'amendement ou lorsqu'un Etat partie est tenu de respecter des règles de protection harmonisées communes à des Etats appartenant à une organisation internationale régionale, à l'instar des Etats membres de l'UE (art. 17 du protocole d'amendement; art. 14, par. 1, de la nouvelle convention). S'agissant d'une exception, elle doit être interprétée de manière restrictive. Un Etat partie ne peut s'en prévaloir que dans un cas spécifique qui présente un risque réel et sérieux. Cette exception existe en partie dans la convention en vigueur (art. 12, par. 3, let. b). Elle ne nécessite pas une adaptation des art. 13 et 14 P-LPD.

Ces modifications mineures n'ont pas nécessité une nouvelle procédure de consultation. En effet, aucune information nouvelle n'était à attendre du fait que les positions

19

www.admin.ch > Droit fédéral > Procédures de consultation > Procédures de consultation terminées > 2016 > DFJP

555

FF 2020

des milieux intéressés sont connues (art. 3a, al. 1, let. b, de la loi du 18 mars 2005 sur la consultation20).

3

Présentation du protocole d'amendement

Le protocole d'amendement modernise la convention afin de répondre aux nouveaux défis que soulèvent l'utilisation des nouvelles technologies et les flux toujours plus importants des données pour la protection de la sphère privée. Le protocole d'amendement prévoit également d'intégrer les dispositions du protocole additionnel, sous réserve de modifications, dans la nouvelle convention. Le protocole additionnel sera abrogé au moment de l'entrée en vigueur du protocole d'amendement. Ce dernier contient des dispositions qui ne sont pas directement applicables et qui doivent donc le cas échéant être transposées en droit national.

De manière générale, le protocole d'amendement correspond aux principes de protection des données prévus par la réforme de l'UE tout en étant moins détaillé. Il s'applique à l'ensemble des traitements relevant de la juridiction des Etats parties, pour les secteurs public et privé. Seuls les traitements effectués dans le cadre d'activités personnelles sont exclus du champ d'application.

En vertu du protocole d'amendement, les obligations du responsable du traitement sont renforcées. Celui-ci est notamment tenu d'annoncer à l'autorité de contrôle compétente certains cas de violation de la protection des données (art. 9 du protocole d'amendement). Son devoir d'informer la personne concernée est également étendu, notamment par rapport aux informations à fournir (art. 10 du protocole d'amendement). Le protocole d'amendement prévoit en outre une obligation pour le responsable du traitement d'effectuer une analyse d'impact préalablement à certains traitements et d'appliquer les principes de la protection des données dès la conception et par défaut (art. 12 du protocole d'amendement).

Le protocole d'amendement prévoit également un renforcement des droits des personnes concernées, notamment concernant leur droit d'accès et en cas de décision individuelle automatisée (art. 11 du protocole d'amendement).

Les Etats parties sont en outre tenus d'établir un régime de sanctions et un système de recours (art. 15 du protocole d'amendement) et de conférer aux autorités de contrôle la compétence de rendre des décisions contraignantes susceptibles de recours (art. 19 du protocole d'amendement).

Le protocole d'amendement oblige chaque Etat partie à prendre dans son droit interne, les mesures nécessaires pour donner effet aux dispositions de cet acte. Ces mesures doivent entrer en vigueur au moment de la ratification de la nouvelle convention (art. 6 du protocole d'amendement). Les Etats parties ne peuvent plus formuler de réserves. Enfin, un mécanisme d'évaluation qui permet à l'organe compétent du Conseil de l'Europe d'évaluer l'efficacité des mesures prises par l'Etat partie pour donner effet aux dispositions dudit acte est prévu (art. 6 et 29 du protocole d'amendement).

20

556

RS 172.061

FF 2020

Le protocole d'amendement contient des dispositions qui ne sont pas directement applicables. Le droit en vigueur ne remplit pas entièrement certaines exigences. Il est donc nécessaire de les transposer en droit fédéral, ce que réalise le P-LPD.

4

Commentaires des dispositions

Le présent message ne commente pas les dispositions du protocole d'amendement qui modifient la systématique ou le titre des chapitres de la convention (art. 5, 16, 18, 20 et 27 du protocole d'amendement) ou les renvois à certaines dispositions (art. 13, 26 et 35 du protocole d'amendement).

4.1 Art. 1

Préambule (Modification du préambule)

Le préambule relève que l'un des objectifs majeurs de la nouvelle convention est de renforcer la maîtrise des données personnelles et mentionne par conséquent l'autonomie personnelle qui est fondée sur le droit de toute personne de contrôler ses propres données et le traitement qui en est fait.

Le préambule rappelle en outre que le droit à la protection des données est à considérer au regard de son rôle dans la société et qu'il est à concilier avec d'autres droits de l'homme et libertés fondamentales, dont la liberté d'expression. Le droit à la protection des données personnelles ne doit pas non plus constituer en règle générale un obstacle à l'accès des citoyens aux documents officiels.

Il souligne ensuite l'importance des transferts de données pour la société. La nouvelle convention définit un cadre qui permet l'exercice des droits des personnes concernées sans entraver l'innovation, le progrès social et économique ou la protection de la sécurité publique.

Enfin, le préambule reconnaît l'importance de la coopération internationale des autorités de contrôle des Etats parties à la nouvelle convention.

4.2 Art. 2

Dispositions générales (Modification de l'art. 1 de la convention; Objet et but)

L'art. 2 du protocole d'amendement met l'accent sur le sujet de la protection: les personnes physiques doivent être protégées lorsque leurs données personnelles font l'objet d'un traitement, qu'il soit manuel ou automatisé.

Art. 3

(Modification de l'art. 2 de la convention; Définitions)

L'art. 3 du protocole d'amendement supprime les notions de «fichier automatisé» et de «traitement automatisé». A la place, il définit la notion de «traitement de don557

FF 2020

nées». La définition de «maître du fichier» est remplacée par celle de «responsable du traitement». Le protocole d'amendement introduit également les notions de «destinataire» et de «sous-traitant».

Art. 4

(Modification de l'art. 3 de la convention; Champ d'application)

L'art. 4 du protocole d'amendement étend le champ d'application de la nouvelle convention aux traitements non automatisés de données personnelles, tandis que celle-ci ne s'appliquera plus aux traitements de données effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques (art. 3, par. 2, de la nouvelle convention). Les par. 3 à 6 de la convention sont supprimés, dès lors que les Etats parties n'ont plus la possibilité de faire des déclarations (voir art. 38 du protocole d'amendement).

4.3 Art. 6

Principes de base de protection des données (Modification de l'art. 4 de la convention; Engagement des parties)

L'art. 6, par. 2, modifie l'art. 4, par. 2, de la convention en ce sens qu'il précise que chaque Etat partie doit non seulement transposer les nouvelles exigences du protocole d'amendement dans son droit national, mais aussi que les mesures législatives doivent avoir été prises et être entrées en vigueur lorsque l'Etat concerné ratifiera le protocole d'amendement. Comme il ressort de l'art. 4, par. 2 et 3, de la nouvelle convention, cette mesure vise à permettre à l'organe compétent du Conseil de l'Europe, à savoir le Comité conventionnel (voir art. 27 ss du protocole d'amendement), de vérifier si toutes les mesures nécessaires ont été prises et de veiller à ce que l'Etat partie respecte les engagements pris et assure dans sa législation nationale un niveau adéquat de la protection des données personnelles. Le comité conventionnel pourra également procéder à une évaluation de la législation de l'Etat partie (art. 4, par. 3, let. a, de la nouvelle convention).

Art. 7

(Modification de l'art. 5 [et de son titre] de la convention; Légitimité du traitement de données et qualité des données)

L'art. 7 du protocole d'amendement apporte un certain nombre de modifications à l'art. 5 de la convention qui règle dorénavant la légitimité du traitement des données et la qualité des données.

Le protocole d'amendement précise le principe de proportionnalité. Selon le nouvel art. 5, par. 1, tout traitement de données doit être proportionné au regard de la finalité légitime poursuivie et limité au strict nécessaire, ceci à toutes les étapes du traitement.

Le principe de légitimité du traitement est concrétisé (art. 5, par. 2, de la nouvelle convention). La légitimité d'un traitement est subordonnée soit au consentement de la personne concernée soit à l'existence d'un fondement légitime prévu par la loi, par exemple lorsque le traitement est nécessaire à la conclusion ou à l'exécution d'un contrat auquel la personne concernée est partie, ou à la protection d'autres 558

FF 2020

intérêts prépondérants. Le protocole d'amendement précise également la notion de consentement. Pour que la personne concernée consente valablement au traitement de ses données, son consentement doit être libre, spécifique, éclairé et non équivoque.

Le protocole d'amendement précise le principe de finalité (art. 5, par. 4, let. b, de la nouvelle convention). Les données personnelles doivent être collectées non seulement pour des finalités explicites et déterminées mais aussi légitimes. L'exigence actuelle selon laquelle la finalité d'un traitement doit rester compatible avec la finalité initiale prévue lors de la collecte reste la même. Selon la précision apportée par le protocole d'amendement, cette exigence est respectée en cas de traitement ultérieur à des fins archivistiques, de recherche scientifique ou historique, ou à des fins de statistiques moyennant des garanties complémentaires en matière de protection des données.

Les autres principes prévus au nouvel art. 5, par. 3 et 4, restent inchangés.

Art. 8

(Modification de l'art. 6 de la convention; Catégories particulières de données)

Le protocole d'amendement étend le catalogue des données sensibles. Selon le nouvel art. 6, par. 1, un traitement de données génétiques ou de données biométriques identifiant un individu de façon unique n'est désormais autorisé que si une base légale prévoit des garanties appropriées. La notion de «données concernant des condamnations pénales» est remplacée par celle de «données concernant des infractions, des procédures et des condamnations pénales, ainsi que des mesures de sûreté connexes». Enfin, l'art. 6 mentionne également les données relatives à l'appartenance syndicale, en sus des données relatives aux opinions politiques.

Art. 9

(Modification de l'art. 7 de la convention; Sécurité des données)

Le principe de sécurité tel qu'il est fixé à l'art. 7, par. 1, de la nouvelle convention reste en substance inchangé. Le protocole d'amendement introduit par contre une nouvelle disposition en cas de violation des données à l'art. 7, par. 2. Cette disposition oblige les Etats parties à prévoir une obligation pour le responsable du traitement de notifier dans les meilleurs délais à l'autorité de contrôle compétente les violations des données susceptibles de porter gravement atteinte aux droits et libertés fondamentales des personnes concernées.

Art. 10

(Introduction d'un nouvel art. 8; Transparence du traitement)

Le protocole d'amendement introduit un nouvel art. 8 qui règle le devoir d'information du responsable du traitement. Cette disposition remplace l'art. 8, let. a, de la convention.

En vertu du nouvel art. 8, le responsable du traitement est tenu d'informer la personne concernée de tout traitement la concernant. Il lui indique son identité, la base légale du traitement et sa finalité, les catégories des données traitées, le cas échéant les destinataires ou les catégories de destinataires, ainsi que les moyens d'exercer les droits prévus à l'art. 9 de la nouvelle convention. Le devoir d'information ne s'ap559

FF 2020

plique pas si la personne concernée dispose déjà de l'information (art. 8, par. 2), lorsque le traitement est expressément prévu par la loi ou lorsque l'information est impossible à fournir ou nécessite des efforts disproportionnés (art. 8, par. 3).

Art. 11

(Remplacement de l'art. 8 de la convention par l'art. 9 et modification; Droits des personnes concernées)

Le protocole d'amendement renforce les droits des personnes concernées. Le nouvel art. 9 prévoit que la personne concernée a le droit de ne pas être soumise à une décision prise uniquement sur le fondement d'un traitement automatisé de ses données sans pouvoir faire valoir son point de vue, sauf si la décision est prévue par la loi (art. 9, par. 1, let. a, et 2). Elle a également le droit d'obtenir, à sa demande, connaissance du raisonnement qui sous-tend le traitement de données la concernant (art. 9, par. 1, let. c) et de s'opposer, à tout moment, à ce que ses données fassent l'objet d'un traitement, à moins que le responsable du traitement ne démontre des motifs légitimes justifiant le traitement (art. 9, par. 1, let. d). Pour l'exercice de ses droits, la personne concernée doit pouvoir bénéficier, quelle que soit sa nationalité ou sa résidence, de l'assistance d'une autorité de contrôle (art. 9, par. 1, let. h).

Le droit d'accès de la personne concernée est renforcé. En vertu de l'art. 9, par. 1, let. b, la personne concernée a le droit d'obtenir non seulement la confirmation d'un traitement de données la concernant et la communication sous une forme intelligible des données traitées mais aussi toute information disponible sur leur origine, sur la durée de leur conservation ainsi que toute autre information que le responsable du traitement est tenu de fournir conformément à l'art. 8, par. 1, de la nouvelle convention.

Art. 12

(Introduction d'un nouvel art. 10; Obligations complémentaires)

Le protocole d'amendement introduit un nouvel art. 10 qui étend les obligations du responsable du traitement. En vertu de l'art. 10, par. 1, les Etats parties doivent prévoir l'obligation pour le responsable du traitement de se conformer aux exigences de la nouvelle convention et d'être en mesure de le démontrer à l'autorité de contrôle compétente. En outre, les Etats parties doivent prévoir l'obligation pour le responsable de traitement d'effectuer une analyse d'impact du traitement envisagé sur les droits et libertés fondamentales des personnes concernées (art. 10, par. 2) et d'appliquer la protection des données dès la conception et par défaut en tenant compte de la nature du traitement et, le cas échéant, de la taille du responsable du traitement (art. 10, par. 3 et 4).

Art. 14

(Remplacement de l'art. 9 de la convention par l'art. 11 et modification; Exceptions et restrictions)

A l'instar de la convention, le nouvel art. 11 prévoit qu'aucune restriction aux principes de base de protection des données n'est admise, sauf en ce qui concerne certaines dispositions et pour autant que la restriction soit prévue par la loi et constitue une mesure nécessaire et proportionnée à la protection de certains intérêts énumérés à l'art. 11, par. 1. Le protocole d'amendement élargit le catalogue des intérêts à protéger: il mentionne également la défense, les intérêts économiques et financiers im560

FF 2020

portants de l'Etat (et non plus seulement les intérêts monétaires), l'impartialité et l'indépendance de la justice, l'investigation et la répression des infractions pénales ainsi que l'exécution de sanctions pénales (et non plus seulement la répression des infractions pénales), et d'autres objectifs essentiels d'intérêt public. L'art. 11, par. 2, de la nouvelle convention est nouveau et prévoit que des restrictions aux art. 8 et 9 peuvent être prévues à certaines conditions en cas de traitement de données à des fins archivistiques, de recherche scientifique ou historique, ou à des fins statistiques.

Enfin, les Etats parties sont également autorisés à adopter certaines exceptions spécifiques aux traitements de données à des fins de sécurité nationale et de défense (art. 11, par. 3, de la nouvelle convention).

Art. 15

(Remplacement de l'art. 10 de la convention par l'art. 12 et modification; Sanctions et recours)

La portée du nouvel art. 12 est élargie: les Etats parties sont tenus d'établir un régime de sanctions et de recours appropriés, qui peuvent être juridictionnels ou extrajuridictionnels.

4.4 Art. 17

Communications de données personnelles à l'étranger (Remplacement de l'art. 12 de la convention par l'art. 14 et modification; Flux transfrontières de données à caractère personnel)

Conformément à l'art. 17 du protocole d'amendement, l'art. 12 de la convention devient l'art. 14 et intègre l'art. 2 du protocole additionnel avec un certain nombre de modifications.

L'art. 14, par. 1, 1ère phrase, de la nouvelle convention correspond à l'art. 12, par. 2, de la convention actuelle qui garantit la libre circulation des données entre les Etats parties. L'art. 17 du protocole d'amendement limite la portée de ce principe en prévoyant que chaque Etat partie peut, dans certains cas, interdire ou soumettre à une autorisation spéciale le transfert de données à un destinataire relevant de la juridiction d'un autre Etat partie, par exemple lorsqu'un Etat partie est tenu de respecter des règles de protection des données harmonisées communes à des Etats appartenant à une organisation internationale régionale (art. 14, par. 1, 2e et 3e phrases de la nouvelle convention).

Le principe de base selon lequel des données ne peuvent être transférées à un Etat tiers que si un niveau approprié de protection est garanti reste le même que dans la convention actuelle. L'art. 14, par. 3, précise que ce niveau peut être assuré par les règles de droit de cet Etat, y compris les traités ou accords internationaux applicables, ou par des garanties ad hoc ou standardisées agréées et mises en oeuvre par les personnes impliquées dans le transfert des données. Le protocole d'amendement oblige également les Etats parties à prévoir que l'autorité de contrôle peut exiger de la personne qui transfère les données toute information pertinente relative aux transferts de données (art. 14, par. 5, de la nouvelle convention). Elle peut également demander au responsable du traitement de démontrer l'effectivité des garanties pri561

FF 2020

ses et est habilitée, le cas échéant, à interdire ou à suspendre le transfert des données (art. 14, par. 6, de la nouvelle convention).

L'art. 17 du protocole d'amendement intègre les exceptions prévues à l'art. 2, par. 2, du protocole additionnel à l'art. 14, par. 4, de la nouvelle convention. Dorénavant, des données personnelles pourront être transférées à un Etat tiers en dépit de l'absence d'un niveau de protection des données approprié non seulement si des intérêts prépondérants, y compris ceux de la personne concernée, l'exigent mais aussi si la personne concernée a donné son consentement explicite, spécifique et libre, après avoir été informée des risques induits par l'absence de garanties appropriées (art. 14, par. 4, let. a) ou si ce transfert constitue une mesure nécessaire et proportionnée dans une société démocratique pour la liberté d'expression (art. 14, par. 4, let. d).

4.5 Art. 19

Autorités de contrôle (Introduction d'un nouvel art. 15; Autorités de contrôle)

L'art. 19 du protocole d'amendement intègre les dispositions de l'art. 1 du protocole additionnel à l'art. 15 de la nouvelle convention en y apportant un certain nombre de modifications.

Comme c'est le cas aujourd'hui, les autorités de contrôle disposent de pouvoirs d'investigation, d'intervention et d'ester en justice. En vertu du nouvel art. 15, par. 2, let. c, et 9, elles sont dorénavant habilitées à rendre des décisions susceptibles de recours et peuvent, notamment, infliger des sanctions administratives. Seuls les traitements effectués par des organes dans l'exercice de leurs fonctions juridictionnelles sont soustraits de la surveillance de l'autorité de contrôle (art. 15, par. 10, de la nouvelle convention).

L'art. 19 du protocole d'amendement confère de nouvelles attributions aux autorités de contrôle. Celles-ci sont chargées notamment de sensibiliser d'une part le public à la protection des données personnelles (art. 15, par. 2, let. e, ch. I et II, de la nouvelle convention) et d'autre part les responsables du traitement et les sous-traitants à leurs obligations (art. 15, par. 2, let. e, ch. III, de la nouvelle convention).

En vertu de l'art. 15, par. 3, de la nouvelle convention, les autorités de contrôle compétentes sont consultées sur toute proposition législative ou administrative impliquant des traitements de données.

L'art. 19 du protocole d'amendement précise en outre le droit pour la personne concernée de saisir l'autorité de contrôle (art. 1, par. 2, let. b, du protocole additionnel).

L'art. 15, par. 4, de la nouvelle convention prévoit dorénavant que l'autorité de contrôle est tenue de traiter les plaintes déposées par les personnes concernées et de les informer des résultats y relatifs.

Comme c'est le cas aujourd'hui, l'indépendance des autorités de contrôle doit être garantie (art. 15, par. 5, de la nouvelle convention). L'art. 19 du protocole d'amendement oblige dorénavant les Etats parties à s'assurer également que les autorités de contrôle disposent des ressources nécessaires à l'accomplissement effectif de leurs fonctions et à l'exercice de leurs pouvoirs (art. 15, par. 6, de la nouvelle convention).

562

FF 2020

4.6 Art. 21

Coopération et entraide (Remplacement de l'art. 13 de la convention par l'art. 16 et modification; Désignation des autorités de contrôle)

L'art. 16, par. 1, de la nouvelle convention prévoit que les Etats parties sont tenus de coopérer et de s'accorder mutuellement assistance. L'obligation de désigner une ou des autorités de contrôle reste inchangée.

Art. 22

(Introduction d'un nouvel art. 17; Formes de coopération)

L'art. 22 du protocole d'amendement introduit un nouvel art. 17, qui règle de manière non exhaustive les différentes formes de coopération. Ainsi, il est notamment prévu que les autorités de contrôle s'accordent mutuellement assistance en s'échangeant les informations nécessaires, qu'elles coordonnent leurs enquêtes ou mènent des actions conjointes. Elles se constituent également en réseau pour organiser leur coopération.

Art. 23

(Remplacement de l'art. 14 de la convention par l'art. 18 et modification; Assistance aux personnes concernées)

L'art. 23 du protocole d'amendement garantit l'assistance aux personnes concernées, indépendamment de leur lieu de résidence ou de leur nationalité. Comme c'est le cas aujourd'hui, la personne concernée qui réside dans un autre Etat partie a la faculté d'exercer ses droits directement dans l'Etat où ses données personnelles sont traitées ou indirectement par l'autorité de contrôle désignée par cet Etat.

Art. 24

(Remplacement de l'art. 15 de la convention par l'art. 19 et modification; Garanties)

A l'instar du droit actuel, le nouvel art. 19, par. 1, prévoit qu'en cas d'entraide entre autorités de contrôle, celles-ci doivent respecter le principe de spécialité, à savoir qu'elles ne peuvent faire usage des informations transmises à des fins autres que celles spécifiées dans la demande d'entraide. Il est en outre interdit aux autorités de contrôle de faire une demande au nom d'une personne concernée, de leur propre initiative et sans l'approbation expresse de cette personne (art. 19, par. 2).

L'obligation de confidentialité est dorénavant prévue à l'art. 15, par. 8, de la nouvelle convention.

Art. 25

(Remplacement de l'art. 16 de la convention par l'art. 20 et modification; Refus des demandes)

Les modifications apportées par l'art. 25 du protocole d'amendement sont d'ordre rédactionnel.

563

FF 2020

4.7 Art. 28

Comité conventionnel (Remplacement de l'art. 18 de la convention par l'art. 22 et modification; Composition du comité)

L'art. 28 du protocole d'amendement complète le nouvel art. 22 de la convention par une disposition sur la représentation et sur la participation financière des Etats parties qui ne sont pas membres du Conseil de l'Europe.

Art. 29

(Remplacement de l'art. 19 de la convention par l'art. 23 et modification; Fonctions du comité)

Le comité consultatif tel que prévu aux art. 18 ss de la convention est remplacé par un comité conventionnel. L'art. 29 du protocole d'amendement lui confère de nouvelles fonctions. Celui-ci peut dorénavant faire des recommandations, et non plus seulement des propositions, pour faciliter ou améliorer l'application de la nouvelle convention (art. 23, let. a). Il est également chargé de formuler, préalablement à toute nouvelle adhésion à la convention, un avis destiné au Comité des Ministres sur le niveau de protection des données assuré par le candidat à l'adhésion (art. 23, let. e). Enfin, il est chargé d'évaluer la mise en oeuvre de la nouvelle convention par les Etats parties et d'établir, le cas échéant, des recommandations à l'intention de l'Etat partie évalué (art. 23, let. h).

Art. 30

(Remplacement de l'art. 20 de la convention par l'art. 24 et modification; Procédure)

L'art. 30 du protocole d'amendement prévoit que les modalités de vote au sein du comité conventionnel sont fixées dans les éléments pour le règlement intérieur qui sont annexés au protocole d'amendement (voir ch. 4.10).

En vertu du nouveau par. 4 de l'art. 24, le comité conventionnel est également chargé de fixer dans son règlement intérieur les procédures d'évaluation et d'examen prévues aux art. 4, par. 3, et 23, let. e, f et h, de la nouvelle convention, sur la base de critères objectifs.

4.8 Art. 31

Amendements (Remplacement de l'art. 21 de la convention par l'art. 25 et modification; Amendements)

La principale modification apportée à l'art. 25 de la nouvelle convention consiste en l'introduction d'un par. 7. En principe, tout amendement entre en vigueur dans un délai de 30 jours à compter de la date à laquelle tous les Etats parties ont informé le Conseil de l'Europe qu'ils acceptent l'amendement. En vertu du par. 7, le Comité des Ministres pourra néanmoins décider, à certaines conditions, de différer de trois ans l'entrée en vigueur d'amendements mineurs, sauf objection d'un Etat partie.

564

FF 2020

4.9 Art. 32

Clauses finales (Remplacement de l'art. 22 de la convention par l'art. 26 et modification; Entrée en vigueur)

La nouvelle convention peut être signée par l'UE.

Art. 33

(Remplacement de l'art. 23 de la convention par l'art. 27 et modification; Adhésion d'Etats non membres ou d'organisations internationales)

Le protocole d'amendement prescrit que la nouvelle convention peut être signée non seulement par les Etats tiers mais aussi par les organisations internationales. Le cas échéant, le comité conventionnel est chargé d'évaluer le niveau de protection des données garanti par l'Etat candidat à l'adhésion, respectivement par l'organisation.

Art. 34

(Remplacement de l'art. 24 de la convention par l'art. 28 et modification; Clause territoriale)

Comme le protocole d'amendement est ouvert à la signature de l'UE, l'art. 34 modifie la clause territoriale en prévoyant que l'UE ainsi que toute organisation internationale peuvent étendre l'application de la nouvelle convention à tout autre territoire désigné par elles.

Art. 36

Signature, ratification et adhésion

Cette disposition règle l'adhésion au protocole d'amendement. Elle prévoit en particulier que tout Etat contractant à la convention peut adhérer au protocole d'amendement. Quant aux Etats tiers, ils ne peuvent devenir parties à la convention sans adhérer simultanément au protocole d'amendement (art. 36, par. 2, du protocole d'amendement).

Art. 37

Entrée en vigueur

Selon l'art. 37, par. 1, le protocole d'amendement entrera en vigueur une fois que tous les Etats parties à la convention l'auront ratifié ou à l'expiration d'une période de cinq ans après l'ouverture à la signature à l'égard des Etats ayant ratifié le protocole, pourvu que celui-ci compte au moins 38 Etats parties. Dès l'entrée en vigueur du protocole d'amendement, le protocole additionnel est abrogé (art. 37, par. 4).

Art. 38

Déclarations relatives à la convention

Cette disposition prévoit que dès l'entrée en vigueur du protocole d'amendement, les déclarations faites par les Etats parties en vertu de l'art. 3 de la convention deviendront caduques.

Lors de sa ratification de la convention, la Suisse a formulé deux déclarations concernant d'une part l'application de la convention aux traitements de données concernant les personnes morales et aux fichiers de données ne faisant pas l'objet d'un 565

FF 2020

traitement automatisé et d'autre part concernant la non-application de la convention aux données traitées par le Parlement dans le cadre de délibérations et par le Comité international de la Croix-Rouge ainsi qu'aux données qu'une personne physique traite pour un usage exclusivement personnel. La caducité de ces déclarations n'est pas problématique. En effet, le champ d'application du P-LPD est conforme au champ d'application de la nouvelle convention (voir ci-après ch. 5.11).

Art. 39

Réserves

Les Etats parties n'ont plus la faculté de formuler des réserves. Le protocole d'amendement laisse néanmoins une certaine marge de manoeuvre aux Etats parties compte tenu des exceptions ou des restrictions admises pour la transposition de certaines dispositions.

Art. 40

Notifications

Cette disposition prévoit que le Secrétariat du Conseil de l'Europe notifiera aux Etats membres du Conseil de l'Europe et à toute autre partie à la convention toute nouvelle adhésion au protocole d'amendement et la date de son entrée en vigueur.

4.10

Annexe au protocole d'amendement: Eléments pour le règlement intérieur du comité conventionnel

L'annexe au protocole d'amendement définit les éléments à faire figurer dans le règlement intérieur du comité conventionnel, concernant notamment le droit de vote de chaque Etat partie et le quorum nécessaire pour qu'une décision du comité conventionnel soit adoptée.

5

Présentation de l'acte de mise en oeuvre

5.1

Présentation du projet de révision du Conseil fédéral du 15 septembre 201721

5.1.1

Modification du champ d'application

L'art. 1 P-LPD s'aligne sur le texte du nouvel art. 3 de la convention: il ne s'applique plus aux traitements de données concernant des personnes morales.

La future LPD continue à régir les traitements de données effectués par des personnes privées ou par des organes fédéraux (art. 2, al. 1, P-LPD). Les exceptions prévues à l'art. 2, al. 2, concernant notamment le Parlement et certaines procédures sont compatibles avec les exigences de la nouvelle convention.

21

566

FF 2017 6803 6815

FF 2020

5.1.2

Modification des définitions

La terminologie du P-LPD s'aligne en grande partie sur celle de la nouvelle convention. Le P-LPD remplace la notion de «maître du fichier» par celle de «responsable du traitement» (art. 4, let. i, P-LPD) et définit également la notion de «sous-traitant» (art. 4, let. j, P-LPD).

Conformément aux modifications apportées par l'art. 8 du protocole d'amendement à l'art. 6 de la convention, le P-LPD prévoit un élargissement du catalogue des données sensibles (art. 4, let. c, P-LPD). Les «données sur l'origine ethnique» sont expressément mentionnées (art. 4, let. c, ch. 2, P-LPD). Par ailleurs, les «données génétiques» (art. 4, let. c, ch. 3, P-LPD) ainsi que les «données biométriques identifiant une personne de façon unique» (art. 4, let. c, ch. 4, P-LPD) figurent désormais dans le catalogue des données sensibles.

5.1.3

Renforcement des principes généraux de protection des données

Les modifications apportées par l'art. 7 du protocole d'amendement à l'art. 5 de la convention (légitimité du traitement de données et qualité des données) sont mises en oeuvre à l'art. 5 P-LPD. L'art. 5, al. 3, P-LPD précise que les données personnelles doivent être collectées pour des finalités qui doivent être non seulement reconnaissables pour la personne concernée mais aussi déterminées. L'al. 3 prescrit également que tout traitement ultérieur des données personnelles doit être effectué de manière compatible avec les finalités initiales. Quant à l'art. 5, al. 4, P-LPD, il précise que les données doivent être anonymisées dès qu'elles ne sont plus nécessaires au regard des finalités du traitement.

Tout comme le droit actuel, le P-LPD prévoit des règles spécifiques en cas de traitement de données sensibles. Les exigences relatives au consentement sont maintenues (art. 5, al. 6, P-LPD).

5.1.4

Communication de données personnelles à l'étranger

Conformément à l'art. 13, al. 1, P-LPD, des données personnelles ne pourront être communiquées à l'étranger que si le Conseil fédéral a constaté que l'Etat concerné dispose d'une législation assurant un niveau de protection adéquat. En l'absence d'une décision du Conseil fédéral, l'art. 13, al. 2, P-LPD autorise la communication de données à l'étranger si un niveau de protection approprié est assuré par un traité international (let. a), ou par d'autres garanties (let. b à e) qui doivent, dans certains cas, être approuvées par le Préposé fédéral à la protection des données et à la transparence (PFPDT) comme le prévoit le nouvel art. 14, par. 3, let. b, de la convention (art. 17 du protocole d'amendement).

L'art. 14 P-LPD prévoit plusieurs dérogations lorsque l'Etat à qui la communication de données est envisagée n'assure pas un niveau de protection adéquat. Pour certaines des dérogations statuées (art. 14, al. 1, let. b, ch. 2, c et d, P-LPD), l'art. 14, 567

FF 2020

al. 2, P-LPD autorise le PFPDT à demander au responsable du traitement ou au sous-traitant des informations sur les communications de données personnelles effectuées, comme l'exige le nouvel art. 14, par. 5 et 6, de la convention (art. 17 du protocole d'amendement).

5.1.5

Renforcement des obligations du responsable du traitement

Devoir d'informer lors de collectes de données personnelles Conformément aux exigences du nouvel art. 8 de la convention (art. 10 du protocole d'amendement), l'art. 17 P-LPD étend le devoir d'informer des responsables du traitement privés à toutes les collectes de données personnelles, y compris celles de données «non sensibles», comme c'est déjà le cas pour les organes fédéraux. Le devoir d'information s'applique, que les données soient collectées auprès des personnes concernées ou auprès de tiers (al. 1).

Conformément à l'art. 17, al. 2, P-LPD, le responsable du traitement devra communiquer à la personne concernée les informations nécessaires pour qu'elle puisse faire valoir ses droits selon la loi et pour que la transparence des traitements soit garantie.

Ces informations comprennent au minimum l'identité et les coordonnées du responsable du traitement (let. a), la finalité du traitement (let. b) et le cas échéant les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises (let. c). Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui communiquera en outre les catégories de données traitées (art. 17, al. 3, P-LPD).

Les exceptions au devoir d'informer et les restrictions sont réglées à l'art. 18 P-LPD et sont conformes aux exigences de l'art. 11 de la nouvelle convention (art. 14 du protocole d'amendement).

Devoir d'informer en cas de décision individuelle automatisée Conformément aux exigences du nouvel art. 9, par. 1, let. a, de la convention (art. 11 du protocole d'amendement), l'art. 19 P-LPD introduit l'obligation pour le responsable du traitement d'informer la personne concernée de toute décision individuelle automatisée la concernant. En vertu de l'art. 19, al. 2, P-LPD, le responsable du traitement doit également donner à la personne concernée la possibilité, si elle le demande, d'exposer son point de vue. Cette dernière doit avoir l'opportunité de s'exprimer sur le résultat de la décision et, si besoin est, de demander comment la décision a été prise. Par ailleurs, elle peut exiger que la décision soit réexaminée par une personne physique (art. 19, al. 2, P-LPD). L'art. 19, al. 3, P-LPD prévoit certaines exceptions.

Analyse d'impact relative à la protection des données personnelles Conformément aux exigences du nouvel art. 10, par. 2, de la convention (art. 12 du protocole d'amendement), l'art. 20 P-LPD instaure l'obligation pour le responsable du traitement de procéder à une analyse d'impact relative à la protection des données

568

FF 2020

lorsqu'il envisage un traitement qui est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Quant à l'art. 10, par. 3, de la nouvelle convention, il est mis en oeuvre à l'art. 6 P-LPD qui introduit les principes de protection des données dès la conception et de protection des données par défaut.

Annonce des violations de la sécurité des données Conformément aux exigences du nouvel art. 7, par. 2, de la convention (art. 9 du protocole d'amendement), l'art. 22 P-LPD prévoit que le responsable du traitement des données annonce dans les meilleurs délais au PFPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (al. 1 et 2). Le responsable du traitement doit également informer la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l'exige, sous réserve d'exceptions (art. 22, al. 4, P-LPD).

5.1.6

Renforcement des droits des personnes concernées

Conformément aux exigences du nouvel art. 9 de la convention (art. 11 du protocole d'amendement), les droits des personnes concernées sont renforcés.

L'art. 23, al. 1, P-LPD dispose que toute personne peut demander gratuitement au responsable du traitement si des données personnelles la concernant sont traitées.

Elle doit recevoir les informations nécessaires pour qu'elle puisse faire valoir ses droits et pour que la transparence du traitement soit garantie et, dans tous les cas, les information suivantes: l'identité du responsable du traitement, les données traitées, la durée de conservation des données, les informations disponibles sur l'origine des données ainsi que, le cas échéant, l'existence d'une décision individuelle automatisée et les destinataires ou catégories de destinataires auxquels les données sont communiquées (art. 23, al. 2, LPD). Les exceptions sont réglées à l'art. 24 P-LPD et sont conformes aux exigences de l'art. 11 de la nouvelle convention.

Le P-LPD conserve en grande partie le système des prétentions actuel vis-à-vis des responsables du traitement privés (voir art. 26 à 28 P-LPD). Les modifications sont essentiellement d'ordre rédactionnel, l'objectif étant de clarifier les dispositions. Le droit à l'effacement des données figure expressément à l'art. 28, al. 2, let. c, P-LPD.

Le droit d'opposition, conçu de la même manière que dans le droit en vigueur, découle de l'art. 26, al. 2, let. b, P-LPD (en relation avec les art. 27 et 28 P-LPD).

Les prétentions vis-à-vis des organes fédéraux sont quant à elles réglées aux art. 33 et 37 P-LPD et ne subissent pas de modifications majeures.

5.1.7

Renforcement des pouvoirs et des tâches du PFPDT

Conformément aux exigences du nouvel art. 15 de la convention (art. 19 du protocole d'amendement), les pouvoirs du PFPDT sont renforcés.

569

FF 2020

En cas de refus de collaborer de la part de la personne privée ou de l'organe fédéral contre lequel une enquête est ouverte, le PFPDT peut notamment ordonner l'accès à tous les renseignements et documents nécessaires ainsi qu'aux locaux et installations, l'audition de témoins de même que des expertises (art. 44, al. 1, P-LPD).

S'il constate que des prescriptions de protection des données ont été violées, le PFPDT peut prendre différentes mesures contraignantes (art. 45 P-LPD). Il peut notamment ordonner la suspension, la modification ou la cessation du traitement, ainsi que la destruction des données personnelles et suspendre ou interdire la communication de données à l'étranger (art. 45, al. 2). Il peut également ordonner au responsable du traitement de respecter certaines obligations prévues par le P-LPD (art. 45, al. 3). Si le PFPDT constate que sa décision n'est pas respectée, il peut le signaler à certaines conditions aux autorités de poursuite pénale, qui devront ouvrir une procédure pour insoumission à une décision (art. 57 P-LPD).

Le PFPDT conserve son droit de recourir devant les tribunaux fédéraux (art. 46, al. 3, P-LPD).

La personne concernée n'a pas la qualité de partie à la procédure d'enquête ouverte par le PFPDT. Par contre, si le PFPDT a ouvert une enquête à la suite d'une dénonciation de la personne concernée, il est tenu de l'informer des suites données à celle-ci.

Le PFPDT reçoit également de nouvelles attributions telles que celles de former et de conseiller les organes fédéraux et les personnes privées et de sensibiliser le public et les personnes vulnérables à la protection des données (art. 52, al. 1, let. a et c, P-LPD).

Pour mettre en oeuvre le nouvel art. 18 de la convention (art. 23 du protocole d'amendement), l'art. 52, al. 1, let. d, P-LPD consacre la pratique du PFPDT en matière de conseil en faveur des personnes concernées, en prévoyant que celui-ci doit leur fournir sur demande les informations nécessaires à l'exercice de leurs droits.

5.1.8

Renforcement de la coopération entre autorités

Conformément aux exigences du nouvel art. 17 de la convention (art. 22 du protocole d'amendement), les règles relatives à l'assistance administrative entre le PFPDT et les autorités suisses et entre le PFPDT et les autorités étrangères de protection des données sont renforcées (art. 48 et 49 P-LPD).

5.1.9

Renforcement du régime de sanctions pénales

Pour mettre en oeuvre l'art. 12 de la convention (art. 15 du protocole d'amendement), le P-LPD renforce le régime des sanctions. Il érige en infractions pénales la violation de certains devoirs prévus par le P-LPD (art. 54 à 56 P-LPD) et introduit une disposition pénale en cas de non-respect d'une décision du PFPDT (art. 57

570

FF 2020

P-LPD). Les infractions peuvent être dénoncées par le PFPDT aux autorités de poursuite pénale (art. 59, al. 2, P-LPD).

5.2

Travaux parlementaires relatifs au P-LPD

Le P-LPD tel qu'adopté par le Conseil national lors de la session d'automne 2019 22 est compatible avec les exigences du protocole d'amendement sous réserve des points suivants.

Le Conseil national a décidé de supprimer du catalogue des données sensibles la notion de «données sur les opinions ou les activités syndicales» (art. 4, let. c, ch. 1, P-LPD). Or, l'art. 8 du protocole d'amendement introduit dans le catalogue des données sensibles les données relatives à l'appartenance syndicale, en sus des données relatives aux opinions politiques (art. 6 de la nouvelle convention).

Le Conseil national a également introduit une nouvelle exception au devoir d'informer la personne concernée (art. 18, al. 1, let. e, P-LPD) qui n'est pas conforme aux exigences des art. 10 et 14 du protocole d'amendement (art. 8 et 11 de la nouvelle convention). Selon cette modification, le responsable du traitement est délié de son obligation lorsque l'information nécessite des efforts disproportionnés, indépendamment de la question de savoir si les données ont été collectées ou non auprès de la personne concernée.

Le Conseil national a en outre modifié l'art. 23, al. 2, P-LPD relatif au droit d'accès, de telle manière que la catalogue des renseignements à fournir à la personne concernée est formulé de manière exhaustive. Or, l'art. 11, par. 2, du protocole d'amendement prévoit un droit plus large pour la personne concernée, puisque le responsable du traitement peut être tenu de lui fournir, au titre de la transparence, d'autres informations (art. 9, par. 1, let. b, de la nouvelle convention).

Enfin, le Conseil national a supprimé l'infraction prévue à l'art. 55, let. c, P-LPD réprimant la violation des exigences applicables en matière de sécurité. Or, le principe de sécurité et l'adoption d'un régime de sanctions appropriées en cas de violation des dispositions de la nouvelle convention sont deux exigences fondamentales des art. 9 et 15 du protocole d'amendement (art. 7 et 12 de la nouvelle convention).

6

Conséquences

6.1

Conséquences pour la Confédération

Le P-LPD a principalement pour objectifs de renforcer le droit de la protection des données pour faire face à l'évolution des nouvelles technologies et de prendre en compte les réformes européennes, notamment le protocole d'amendement. Les conséquences du P-LPD sur les finances et sur l'état du personnel de la Confédération sont exposées dans le message du Conseil fédéral du 15 septembre 2017 (ch. 11.1).

En revanche, il n'est pas possible de procéder à une estimation des conséquences 22

www.parlement.ch > 17.059; projet 3

571

FF 2020

financières qui sont strictement liées à la transposition du protocole d'amendement.

En effet, certaines mesures législatives (par exemple l'octroi de pouvoirs décisionnels au PFPDT) découlent aussi bien du protocole d'amendement que des réformes de l'UE, notamment de la directive (UE) 2016/68023.

6.2

Conséquences pour les cantons

La ratification par la Suisse du protocole d'amendement lie également les cantons.

Les dispositions de cet acte doivent être transposées, si besoin est, conformément à la répartition constitutionnelle des compétences prévues en droit interne.

6.3

Conséquences économiques

La ratification du protocole d'amendement et la mise en oeuvre de ses nouvelles exigences en droit fédéral permettent à la Suisse de continuer à garantir le flux transfrontière des données avec l'étranger, en particulier dans le secteur privé (voir ch. 1.3.2).

Pour le plus, il convient de se référer aux explications du message du Conseil fédéral du 15 septembre 2017 (voir ch. 11.4).

6.4

Conséquences sociales

La ratification du protocole d'amendement par la Suisse et la mise en oeuvre de ses nouvelles exigences en droit fédéral améliorent la protection des consommateurs et des personnes vulnérables notamment par rapport aux défis sociétaux que représentent les nouvelles technologies. En ratifiant ce nouvel instrument, la Suisse garantit à sa population un niveau de protection élevé de la sphère privée, à l'instar de la plupart des Etats européens et d'un certain nombre d'Etats qui ne sont pas membres du Conseil de l'Europe.

Aucune conséquence sanitaire directe n'est à signaler.

6.5

Autres conséquences

Aucune conséquence sur l'égalité entre hommes et femmes ou sur l'environnement n'est à signaler.

23

572

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016, p. 89.

FF 2020

7

Aspects juridiques

7.1

Constitutionnalité

Le projet d'arrêté fédéral portant approbation du protocole d'amendement se fonde sur l'art. 54, al. 1, de la Constitution (Cst.)24, qui dispose que les affaires étrangères relèvent de la compétence de la Confédération. L'art. 184, al. 2, Cst. confère au Conseil fédéral la compétence de signer des traités internationaux et de les ratifier.

Quant à l'art. 166, al. 2, Cst., il confère à l'Assemblée fédérale la compétence de les approuver, sauf si leur conclusion relève de la seule compétence du Conseil fédéral en vertu d'une loi ou d'un traité international (voir aussi les art. 24, al. 2, de la loi du 13 décembre 2002 sur le Parlement [LParl]25, et 7a, al. 1, de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration [LOGA] 26). Dans le cas présent, le Conseil fédéral ne dispose d'aucune compétence conférée par la loi ou un traité. En effet, l'art. 36, al. 5, LPD ne s'applique pas. Certes, cette disposition confère au Conseil fédéral la compétence de conclure des traités internationaux en matière de protection des données dans la mesure où ils sont conformes aux principes de la LPD. Toutefois, selon les travaux préparatoires27, l'art. 36, al. 5, LPD doit être interprété de manière restrictive en sens qu'il ne confère pas au Conseil fédéral une compétence générale de conclure des traités internationaux dans le domaine de la protection des données mais uniquement des traités de portée mineure. L'art. 7a, al. 3, LOGA prévoit une liste non exhaustive de «traités de portée mineure», tandis que l'al. 4 énumère à titre exemplatif des traités qui ne sont pas considérés comme ayant une portée mineure.

Le protocole d'amendement correspond à un traité qui remplit la condition prévue à l'art. 141, al. 1, let. d, ch. 3, Cst. (voir ch. 7.3). En vertu de cette disposition, un traité est sujet au référendum lorsqu'il contient des dispositions importantes fixant des règles de droit ou dont la mise en oeuvre exige l'adoption de lois fédérales. Par dispositions fixant des règles de droit, il faut entendre, selon l'art. 22, al. 4, LParl, les dispositions générales et abstraites d'application directe qui créent des obligations, confèrent des droits ou attribuent des compétences. Sont également importantes, les dispositions, qui, en droit interne, doivent, à la lumière de l'art. 164, al. 1, Cst., être édictées dans une loi au sens formel. La ratification du protocole d'amendement implique plusieurs modifications législatives. Il résulte de ce qui précède que ce traité n'est pas de portée mineure (art. 7a, al. 4, let, a, LOGA). Il appartient donc à l'Assemblée fédérale de se prononcer.

24 25 26 27

RS 101 RS 171.10 RS 172.010 Voir BO 1990 E 161; voir également Jöhri Yvonne, commentaire de l'art. 36, al. 5, LPD, in Rosenthal/Jöhri (éds), Handkommentar zum Datenschutzgesetz, Zürich, Bâle, Genève 2008, no 42 à 44.

573

FF 2020

7.2

Compatibilité avec les autres obligations internationales de la Suisse

Le projet d'arrêté fédéral est compatible avec les obligations internationales de la Suisse, en particulier avec la directive (UE) 2016/680 en tant que développement de l'acquis de Schengen en matière de protection des données personnelles. En effet, le protocole d'amendement correspond aux principes de protection des données prévus par cette directive tout en étant moins détaillé.

7.3

Forme de l'acte à adopter

Conformément à l'art. 141, al. 1, let. d, ch. 3, Cst., les traités internationaux sont sujets au référendum lorsqu'ils contiennent des dispositions importantes fixant des règles de droit ou dont la mise en oeuvre exige l'adoption de lois fédérales (ch. 3).

Le protocole d'amendement contient des dispositions importantes dont la mise en oeuvre exige une modification de la législation fédérale sur la protection des données. Il y a lieu par conséquent d'assujettir l'arrêté fédéral portant approbation du protocole d'amendement au référendum.

574