Passivité de la Suisse en matiere de protection des données

2021-08-16 Off By dporgpd

Opacité sur les procédures de coopération, silence embarrassé des autorités françaises: l’impact du Règlement général sur la protection des données (RGPD) sur les entreprises suisses reste méconnu. La non-implication du préposé fédéral pose question.

C’est un véritable tour de vis visant à responsabiliser les entreprises dans le traitement des données informatiques. Depuis son entrée en vigueur en 2018, le Règlement européen pour la protection des données (RGPD, lire ci-bas) a entraîné une pluie d’amendes dans toute l’Europe. Publiés de façon transparente, les cas remontés par les autorités de protection des données montrent, pour la seule année 2020, un total de 306 millions d’euros pour près de 700 amendes.

Pourtant, la Suisse est remarquablement absente de tout monitoring lié au RGPD, ce qui a de quoi surprendre. En effet, si le citoyen suisse ne bénéficie pas de la protection de ce règlement, les entreprises suisses travaillant avec des clients européens y sont en revanches soumises.

Cette absence signifie-t-elle que les entreprises suisses sont exemplaires en termes de protection des données? On peut en douter. Bilan a joint différentes autorités de protection des données dans l’UE. Elles nous confirment contacter directement les entreprises helvétiques concernées par des plaintes. Et les cas sont fréquents. La Commission nationale d’informatique et de transparence (CNIL), soit l’autorité compétente en matière des données en France, relève une vingtaine de plaintes impliquant des entreprises suisses pour la seule année 2020. Leurs confrères allemands font état d’une trentaine de cas sur la même période, et encore il ne s’agirait que d’«erreurs» de routage, puisque ce sont normalement les régions qui reçoivent les plaintes. On imagine donc que le nombre réel est beaucoup plus élevé, sachant qu’on ne parle ici que de deux pays sur vingt-sept, pour une seule année.

Aucune sanction

Dans certains cas, des informations seraient remontées jusqu’au préposé fédéral à la protection des données et à la transparence (PFPDT), selon Sébastien Fanti, préposé cantonal valaisan. «Je sais de source interne que même les collaborateurs du préposé ne savent pas toujours ce qu’il se passe. En tant que préposé cantonal, je cherche à savoir ce qui concerne mon canton, en particulier les entreprises publiques. Selon mes informations, au moins neuf dénonciations auraient été reçues de l’étranger auprès du PFPDT. Je n’ai aucune information de suites qui y auraient été données. L’inaction du préposé fait parler d’elle au niveau européen.»

De son côté, le service du préposé fédéral se dédouane de toute responsabilité. Contacté au mois de janvier sur la question des chiffres suisses liés au RGPD, ce dernier a répondu à Bilan que «le RGPD n’est pas dans le domaine de compétences du PFPDT. À notre connaissance, il n’y a pas encore eu de sanctions en relation avec le RGPD en Suisse.» Une réponse qualifiée de «sibylline» par une source anonyme proche du dossier: «Ce n’est pas faux dans le sens où le préposé ne peut pas instruire le cas lui-même. Il doit par contre donner suite et aider les autorités européennes dans leurs enquêtes», affirme cette source.

Quelles compétences?

Le préposé est-il tenu de collaborer? Une chose semble sûre, il réfute catégoriquement toute compétence en la matière. «Le PFPDT n’est compétent ni pour l’application ni pour l’interprétation du RGPD. Il n’est pas chargé de la surveillance de la mise en œuvre et du respect du RGPD. Par contre, il ne peut pas être exclu que des traitements de données mis en cause du point de vue du RGPD violent également la loi fédérale sur la protection des données (LPD) – et donc le droit suisse – et que le PFPDT intervienne alors en application de la LPD», affirmait une porte-parole du PFPDT. Sur son site internet, l’autorité fédérale se dédouane également de toute responsabilité d’information ou de conseil des entreprises suisses: «Dans la mesure où le règlement est un acte juridique européen, nous vous conseillons d’adresser vos questions concernant son application à une autorité de protection des données européenne comme la CNIL, la CPVP belge ou encore la CNPD luxembourgeoise.»

Dans ces conditions, une autorité d’un autre pays pourrait-elle ordonner des sanctions pécuniaires contre des entreprises suisses? «Si le RGPD est applicable, la CNIL instruit directement avec la société suisse concernée pour régler le problème», affirme le porte-parole de l’autorité française. Un avocat européen affirme de son côté qu’une société suisse serait par contre prévenue via l’Office fédéral de la justice pour toute mise en application. «Nous n’avons jamais eu le cas jusqu’à présent», ajoute-t-il. D’éventuels cas ou statistiques semblent inexistants. Le seul exemple connu concerne un site de tourisme contre lequel un Autrichien a porté plainte. L’entreprise a été sommée de se mettre en conformité, ce qu’elle a fait.

La CNIL, extrêmement disponible et aidante au début de l’enquête, s’est fendue d’un silence embarrassé dès que des questions plus précises concernant l’application de sanctions à des entreprises suisses, ainsi que sur les procédures de collaboration avec les autorités suisses lui ont été posées. Le porte-parole a évoqué la procédure dans les grandes lignes, mais n’a plus répondu lorsqu’il s’agissait de savoir à quel moment les autorités suisses étaient contactées. Peut-elle faire appliquer la sanction? «Il faut une sorte de coopération légale et administrative avec le pays dans lequel le RGPD n’est pas en vigueur. S’il n’y en a pas, la mise en vigueur serait très difficile. Le Conseil européen pour la protection des données investigue ce problème pour plusieurs pays. Les études ne sont pas terminées», précisent les autorités allemandes. Plus tranché, un porte-parole d’un bureau européen lâche: «Un bureau de protection des données ne pourra jamais ordonner au bureau suisse de faire quelque chose.»

Afin d’éclaircir les processus de collaboration entre les autorités européennes et le préposé, Bilan a demandé au service du PFPDT l’accès à toutes les communications échangées dans le cadre du RGPD, en vertu de la loi sur la transparence. Au moment de publier cette enquête, les documents ne nous sont pas encore parvenus. Bilan fera le cas échéant un suivi auprès de ses lecteurs.

La question de l’«adéquation»

L’embarras ressenti au niveau de certains interlocuteurs tant du côté suisse qu’européen s’explique certainement par un agenda politique extrêmement tendu en la matière. Alors que la Cour de justice européenne a invalidé le privacy shield américain (rendant extrêmement compliqués les transferts de données transatlantiques, véritable casse-tête pour les entreprises), la Suisse renégocie actuellement l’«adéquation» avec l’UE. Il s’agit de la reconnaissance par Bruxelles que la législation d’un pays tiers (en l’occurrence la Suisse) garantit un niveau de protection des données comparable au RGPD. Un enjeu de taille pour la Suisse, car si l’adéquation ne devait pas être reconduite, les échanges avec ses principaux partenaires commerciaux – qui sont en Europe – s’en retrouveraient entravés.

Rien n’est acquis, d’autant plus que la loi fédérale sur la protection des données, actuellement en vigueur en Suisse, est, au dire même de l’Office fédéral de la justice, «dépassée en raison de l’évolution technologique rapide». Pour faire bonne figure à la table des négociations, une nouvelle mouture a été adoptée en septembre 2020, mais en l’attente d’ordonnance, ne sera pas applicable avant 2022. Certains experts la jugent comparable au RGPD, mais d’autres n’y voient qu’un «strict minimum», qui vise à maintenir l’adéquation avec l’UE. Une experte de la protection des données évoque par exemple des «amendes ridicules», preuve «d’une sorte de laisser-faire libéral». En Europe, le montant peut aller jusqu’à 4% du chiffre d’affaires. Tout manquement à la loi en Suisse est puni jusqu’à 250 000 francs d’amende. Un avocat tempère: «Les personnes en Europe ont ri de ce chiffre, mais il faut se souvenir que ce sont des individus qui doivent payer. En Europe, c’est l’entreprise qui paie.»

Les doutes soulevés sur la passivité de la Suisse face au RGPD font écho à plusieurs cas médiatisés ces derniers mois, où le préposé fédéral à la protection des données a été accusé d’une lenteur de réaction dans le cadre de ses prérogatives (loi sur la protection des données). Parmi les exemples qui ont fait couler de l’encre, le site mesvaccins.ch. Il a été fermé par le préposé près de deux mois après que le média Republik a dénoncé pour la première fois des failles majeures de sécurité permettant la manipulation des données ainsi qu’un manque de transparence envers les utilisateurs.

CategoryEurope des données Non classé
Tagsauthorité données protection RGPD Suisse UE