Bilan

Protection des données: L’étonnante passivité de la Suisse

Avec Joan Plancade

Opacité sur les procédures de coopération, silence embarrassé des autorités françaises: l’impact du Règlement général sur la protection des données (RGPD) sur les entreprises suisses reste méconnu. La non-implication du préposé fédéral pose question.

Le RGPD entend redonner aux citoyens de l’Union européenne le contrôle sur leurs données.

Crédits: Getty images

C’est un véritable tour de vis visant à responsabiliser les entreprises dans le traitement des données informatiques. Depuis son entrée en vigueur en 2018, le Règlement européen pour la protection des données (RGPD, lire ci-bas) a entraîné une pluie d’amendes dans toute l’Europe. Publiés de façon transparente, les cas remontés par les autorités de protection des données montrent, pour la seule année 2020, un total de 306 millions d’euros pour près de 700 amendes.

Pourtant, la Suisse est remarquablement absente de tout monitoring lié au RGPD, ce qui a de quoi surprendre. En effet, si le citoyen suisse ne bénéficie pas de la protection de ce règlement, les entreprises suisses travaillant avec des clients européens y sont en revanches soumises.

Cette absence signifie-t-elle que les entreprises suisses sont exemplaires en termes de protection des données? On peut en douter. Bilan a joint différentes autorités de protection des données dans l’UE. Elles nous confirment contacter directement les entreprises helvétiques concernées par des plaintes. Et les cas sont fréquents. La Commission nationale d’informatique et de transparence (CNIL), soit l’autorité compétente en matière des données en France, relève une vingtaine de plaintes impliquant des entreprises suisses pour la seule année 2020. Leurs confrères allemands font état d’une trentaine de cas sur la même période, et encore il ne s’agirait que d’«erreurs» de routage, puisque ce sont normalement les régions qui reçoivent les plaintes. On imagine donc que le nombre réel est beaucoup plus élevé, sachant qu’on ne parle ici que de deux pays sur vingt-sept, pour une seule année.

Sébastien Fanti, préposé cantonal valaisan à la protection des données
Sébastien Fanti, préposé cantonal valaisan à la protection des données (PHOTOS: Chantal Dervey)

«Selon mes informations, au moins neuf dénonciations auraient été reçues de l’étranger auprès du PFPDT»


Sébastien Fanti, préposé cantonal valaisan à la protection des données

Aucune sanction

Dans certains cas, des informations seraient remontées jusqu’au préposé fédéral à la protection des données et à la transparence (PFPDT), selon Sébastien Fanti, préposé cantonal valaisan. «Je sais de source interne que même les collaborateurs du préposé ne savent pas toujours ce qu’il se passe. En tant que préposé cantonal, je cherche à savoir ce qui concerne mon canton, en particulier les entreprises publiques. Selon mes informations, au moins neuf dénonciations auraient été reçues de l’étranger auprès du PFPDT. Je n’ai aucune information de suites qui y auraient été données. L’inaction du préposé fait parler d’elle au niveau européen.»

De son côté, le service du préposé fédéral se dédouane de toute responsabilité. Contacté au mois de janvier sur la question des chiffres suisses liés au RGPD, ce dernier a répondu à Bilan que «le RGPD n’est pas dans le domaine de compétences du PFPDT. A notre connaissance, il n’y a pas encore eu de sanctions en relation avec le RGPD en Suisse.» Une réponse qualifiée de «sibylline» par une source anonyme proche du dossier: «Ce n’est pas faux dans le sens où le préposé ne peut pas instruire le cas lui-même. Il doit par contre donner suite et aider les autorités européennes dans leurs enquêtes», affirme cette source.

Quelles compétences?

Le préposé est-il tenu de collaborer? Une chose semble sûre, il réfute catégoriquement toute compétence en la matière. «Le PFPDT n’est compétent ni pour l’application ni pour l’interprétation du RGPD. Il n’est pas chargé de la surveillance de la mise en œuvre et du respect du RGPD. Par contre, il ne peut pas être exclu que des traitements de données mis en cause du point de vue du RGPD violent également la Loi fédérale sur la protection des données (LPD) – et donc le droit suisse – et que le PFPDT intervienne alors en application de la LPD», affirmait une porte-parole du PFPDT. Sur son site internet, l’autorité fédérale se dédouane également de toute responsabilité d’information ou de conseil des entreprises suisses: «Dans la mesure où le règlement est un acte juridique européen, nous vous conseillons d’adresser vos questions concernant son application à une autorité de protection des données européenne comme la CNIL, la CPVP belge ou encore la CNPD luxembourgeoise.»

Dans ces conditions, une autorité d’un autre pays pourrait-elle ordonner des sanctions pécuniaires contre des entreprises suisses? «Si le RGPD est applicable, la CNIL instruit directement avec la société suisse concernée pour régler le problème», affirme le porte-parole de l’autorité française. Un avocat européen affirme de son côté qu’une société suisse serait par contre prévenue via l’Office fédéral de la justice pour toute mise en application. «Nous n’avons jamais eu le cas jusqu’à présent», ajoute-t-il. D’éventuels cas ou statistiques semblent inexistants. Le seul exemple connu concerne un site de tourisme contre lequel un Autrichien a porté plainte. L’entreprise a été sommée de se mettre en conformité, ce qu’elle a fait.

«Un bureau de protection des données ne pourra jamais ordonner
au bureau suisse de faire quelque chose»
Le porte-parole d’un bureau européen

La CNIL, extrêmement disponible et aidante au début de l’enquête, s’est fendue d’un silence embarrassé dès que des questions plus précises concernant l’application de sanctions à des entreprises suisses, ainsi que sur les procédures de collaboration avec les autorités suisses lui ont été posées. Le porte-parole a évoqué la procédure dans les grandes lignes, mais n’a plus répondu lorsqu’il s’agissait de savoir à quel moment les autorités suisses étaient contactées. Peut-elle faire appliquer la sanction? «Il faut une sorte de coopération légale et administrative avec le pays dans lequel le RGPD n’est pas en vigueur. S’il n’y en a pas, la mise en vigueur serait très difficile. Le Conseil européen pour la protection des données investigue ce problème pour plusieurs pays. Les études ne sont pas terminées», précisent les autorités allemandes. Plus tranché, un porte-parole d’un bureau européen lâche: «Un bureau de protection des données ne pourra jamais ordonner au bureau suisse de faire quelque chose.»

Afin d’éclaircir les processus de collaboration entre les autorités européennes et le préposé, Bilan a demandé au service du PFPDT l’accès à toutes les communications échangées dans le cadre du RGPD, en vertu de la loi sur la transparence. Au moment de publier cette enquête, les documents ne nous sont pas encore parvenus. Bilan fera le cas échéant un suivi auprès de ses lecteurs.

La question de l’«adéquation»

L’embarras ressenti au niveau de certains interlocuteurs tant du côté suisse qu’européen s’explique certainement par un agenda politique extrêmement tendu en la matière. Alors que la Cour de justice européenne a invalidé le privacy shield américain (rendant extrêmement compliqués les transferts de données transatlantiques, véritable casse-tête pour les entreprises), la Suisse renégocie actuellement l’«adéquation» avec l’UE. Il s’agit de la reconnaissance par Bruxelles que la législation d’un pays tiers (en l’occurrence la Suisse) garantit un niveau de protection des données comparable au RGPD. Un enjeu de taille pour la Suisse, car si l’adéquation ne devait pas être reconduite, les échanges avec ses principaux partenaires commerciaux – qui sont en Europe – s’en retrouveraient entravés.

Adrian Lobsiger, actuel préposé fédéral à la protection des données  et à la transparence.
Adrian Lobsiger, actuel préposé fédéral à la protection des données et à la transparence. (PHOTO: Peter Schneider/Keystone)

Rien n’est acquis, d’autant plus que la Loi fédérale sur la protection des données, actuellement en vigueur en Suisse, est, au dire même de l’Office fédéral de la justice, «dépassée en raison de l’évolution technologique rapide». Pour faire bonne figure à la table des négociations, une nouvelle mouture a été adoptée en septembre 2020, mais en l’attente d’ordonnance, ne sera pas applicable avant 2022. Certains experts la jugent comparable au RGPD, mais d’autres n’y voient qu’un «strict minimum», qui vise à maintenir l’adéquation avec l’UE. Une experte de la protection des données évoque par exemple des «amendes ridicules», preuve «d’une sorte de laisser-faire libéral». En Europe, le montant peut aller jusqu’à 4% du chiffre d’affaires. Tout manquement à la loi en Suisse est puni jusqu’à 250 000 francs d’amende. Un avocat tempère: «Les personnes en Europe ont ri de ce chiffre, mais il faut se souvenir que ce sont des individus qui doivent payer. En Europe, c’est l’entreprise qui paie.»

Les doutes soulevés sur la passivité de la Suisse face au RGPD font écho à plusieurs cas médiatisés ces derniers mois, où le préposé fédéral à la protection des données a été accusé d’une lenteur de réaction dans le cadre de ses prérogatives (Loi sur la protection des données). Parmi les exemples qui ont fait couler de l’encre, le site mesvaccins.ch. Il a été fermé par le préposé près de deux mois après que le média Republik a dénoncé pour la première fois des failles majeures de sécurité permettant la manipulation des données ainsi qu’un manque de transparence envers les utilisateurs.


RGPD: un coup d’avance sur la loi Suisse

Les données personnelles représentent un juteux marché sur lequel se sont positionnés les GAFAM. C’est précisément pour contrer les abus et redonner aux citoyens de l’Union européenne le contrôle sur leurs données que l’Union européenne a mis en place le RGPD, qui s’applique en Europe depuis 2018. Il prévoit que les données soient récoltées avec le consentement éclairé des personnes, qu’elles puissent les consulter et qu’elles puissent être effacées si le but originel de la donnée disparaît. Votée en 2020, une révision de la Loi suisse sur la protection des données (LPD) vise à se rapprocher du RGPD. Probablement en vigueur en 2022, elle renforce notamment les prérogatives du préposé qui pourra dès lors sanctionner les manquements. Cette future version sera toutefois moins restrictive que le RGPD. «Je dirais que sur une échelle de 1 à 10 pour la dureté de la loi, le RGPD se situe à 9 et la LPD révisée entre 6 et 8», estime François Charlet, juriste suisse spécialiste en protection des données.


Un service en sous-effectif

Alors que la nouvelle mouture de la Loi fédérale sur la protection des données (LPD) s’apprête à étendre les prérogatives du préposé, la capacité de ce dernier à faire face aux enjeux croissants de sécurité interroge. En deux ans, le service d’une trentaine de personnes a enregistré huit démissions, auxquelles s’ajoutent des départs à la retraite et des fins de contrats à durée déterminée. «Les fluctuations se sont produites pendant les périodes Covid et home office. Nous constatons généralement que les jeunes employés en particulier sont recherchés sur le marché du travail en raison de l’expérience qu’ils ont acquise dans le cadre de projets numériques et qu’ils changent donc parfois d’emploi après quelques années», justifie-t-on du côté du préposé. Et ce, alors même qu’une situation de sous-effectif est évoquée, autant par l’actuel PFPDT que par l’ancien préposé fédéral suppléant à la protection des données, Jean-Philippe Walter: «Il faudrait au minimum le double des effectifs pour tout ce qu’il y a à traiter.»

Garciarebecca1
Rebecca Garcia

JOURNALISTE À BILAN

Lui écrire

Rebecca Garcia a tout juste connu la connexion internet coupée à chaque téléphone. Elle a grandi avec la digitalisation, l’innovation et Claire Chazal. Elle fait ses premiers pas en journalisme sportif, avant de bifurquer par hasard vers la radio. Elle commence et termine ensuite son Master en journalisme et communication dans son canton de Neuchâtel, qu’elle représente (plus ou moins) fièrement à l’aide de son accent. Grâce à ses études, elle découvre durant 2 mois le quotidien d’une télévision locale, à travers un stage à Canal 9.

A Bilan depuis 2018, en tant que rédactrice web et vidéo, elle s’intéresse particulièrement aux nouvelles technologies, aux sujets de société, au business du sport et aux jeux vidéo.

Du même auteur:

A chaque série Netflix son arôme de cannabis
Twitch: comment devenir riche et célèbre grâce aux jeux vidéo

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Merci de votre inscription
Ups, l'inscription n'a pas fonctionné
Image Footer

"Tout ce qui compte.
Pour vous."