La future loi sur la protection des données divise les experts
ANOUCH SEYDTAGHIA

TECHNOLOGIE Mercredi, le Conseil fédéral a tranché: la future loi sur la protection des données entrera en vigueur le 1er septembre 2023. Trois experts analysent d'un oeil critique le texte de la législation à venir, moins contraignant que le RGPD européen
page 13

Cette fois, c'est officiel: c'est le 1er septembre 2023 qu'entrera en vigueur la nouvelle loi sur la protection des données. C'est donc dans un an que la Suisse sera dotée d'une législation modernisée. Esquissée par les autorités en mars, la date de septembre 2023 a été définitivement validée par le Conseil fédéral mercredi, qui en a profité pour faire quelques adaptations à la suite d'une procédure de consultation. Des experts, contactés par Le Temps, jugent sévèrement ce texte.

D'abord, le contexte. La loi actuellement en vigueur date de... 1992. Il aura donc fallu attendre trente et un ans pour sa révision. Sa mise en route date de 2011, mais le parlement ne l'a adoptée qu'en septembre 2020. Depuis, le Conseil fédéral n'a eu de cesse de dire qu'il fallait laisser du temps aux entreprises pour s'adapter au nouveau cadre. Il leur reste donc encore un an.

Nouvelles obligations

Les nouveautés sont nombreuses. « La loi prévoit de nouvelles obligations pour la personne responsable du traitement des données, comme une obligation de notification en cas de violation de sécurité, et introduit des principes de protection des données par défaut et dès la conception, concepts qui n'étaient pas présents dans l'ancienne loi », résume Juliette Ancelle, avocate spécialisée dans la propriété intellectuelle et la technologie.

Les entreprises suisses seront concernées de près. « Elles devront allouer davantage de moyens à la protection des données, pour recenser les données qu'elles traitent, comprendre les flux de données, s'assurer qu'elles sont en mesure de respecter les droits des personnes concernées. Elles devront aussi documenter tous les traitements et les transferts des données à l'étranger et assurer la sécurité de leurs systèmes de traitement », poursuit Juliette Ancelle. L'experte prévient: « C'est une activité qui prend beaucoup de temps et qui requiert un certain degré de spécialisation, ce qui peut vite représenter un coût important pour des PME. L'ordonnance semble alléger certaines obligations pour ces dernières (notamment l'obligation de tenir un registre des données), mais cela ne signifie pas qu'elles n'auront aucune mesure à adopter. »

Paul-Olivier Dehaye, directeur de Hestia.ai, la société qui gère le projet HestiaLabs, spécialisée dans les données, estime qu' « une mise à jour complète de la connaissance dans ces domaines et un changement de nombreuses pratiques sont plus que jamais nécessaires et urgents pour les entreprises n'ayant pas encore entamé cette démarche » . Son collègue chez Hestia.ai Yann Heurtaux avertit: avec la nouvelle loi, « le risque lié à la sous-traitance de services numériques pour les entreprises qui souhaitent être exemplaires augmente fortement » . Yann Heurtaux estime qu'il faut par exemple « cartographier tous les outils numériques internes et externes de son entreprise, et tenir cette cartographie à jour », mais aussi renoncer aux services tiers en infraction avec l'esprit et la lettre de la loi, pour préférer des acteurs locaux (suisses ou européens). « Et enfin cesser définitivement la collecte de certaines données sensibles, pour s'en tenir à la frugalité la plus stricte », conclut le spécialiste.

La future loi suisse a souvent été décrite comme une sorte de version allégée du RGPD européen. Que pensent les experts? « Cette nouvelle loi reprend de nombreux concepts du RGPD, jusque dans la terminologie, et l'objectif est d'ailleurs une compatibilité avec ce dernier. La différence principale réside dans le régime de mise en oeuvre et les sanctions en cas de non-conformité, la nouvelle loi suisse ne prévoyant par exemple pas des amendes en pourcentage du chiffre d'affaires global, comme c'est le cas du RGPD », répond Juliette Ancelle. En Suisse, l'amende maximale sera de 250 000 francs contre un individu au sein d'une entreprise, mais pas contre celle-ci.

Davantage de protection

Pour Paul-Olivier Dehaye, « c'est un RGPD avorté. Un simulacre d'obligations essayant de copier le RGPD, mais ne procurant pas le minimum essentiel pour assurer une base de confiance et essayer de construire une nouvelle économie de la donnée. »

De son côté, Juliette Ancelle estime que « par rapport à la loi actuelle, les internautes suisses bénéficieront d'un régime légal plus favorable, avec des nouveaux droits, un régime de droit d'accès à leurs données facilité, une plus grande transparence en cas de cyberattaques, etc. La question se posera toutefois de savoir si cela est suffisant et si une loi nationale, visant uniquement la protection des données personnelles, est un outil adéquat à l'ère du big data et de la globalisation des échanges de données »

« Vu les nouvelles obligations, la loi pourra vite représenter un coût important pour des PME »

JULIETTE ANCELLE, AVOCATE

« C'est un simulacre d'obligations essayant de copier le RGPD mais ne procurant pas le minimum »

PAUL-OLIVIER DEHAYE, DIRECTEUR DE HESTIA.AI