Introduction1
Profondément ancré dans l'imaginaire helvétique grâce à l'emmental, le trou est un motif très prisé des dessinateurs de presse chargés d'illustrer la situation de la Suisse en Europe. A l'image du trou dans la meule, la tache noire qui représente parfois notre pays sur la carte du continent témoigne de la place spéciale qu'il y occupe. Mais comparaison n'est pas raison et, à l'instar du trou du fromage, qui n'existerait pas sans la pâte qui l'entoure, notre pays est étroitement lié à ses voisins, avec qui il entretient des relations très denses, dans une multitude de domaines. Celui de la protection des données ne fait pas exception: le droit suisse épouse assez fidèlement les contours du droit européen, dont il s'inspire largement dans un certain nombre de domaines. Les travaux que mènent actuellement l'UE et le Conseil de l'Europe en vue de réviser les textes concernant la protection des données auront donc des conséquences pour la Suisse. Nous les examinons aux points 4. et 5. du présent article. Auparavant, nous résumons l'état des travaux au sein de l'UE et du Conseil de l'Europe 1. et en Suisse 2. et tirons un bilan intermédiaire 3. Un résumé vient clore l'exposé.
1. L'état des travaux dans l'UE et au Conseil de l'Europe
L'UE est en train de réviser ses normes sur la protection des données, à savoir la directive 95/46/CE2 et la décision cadre 2008/977/JAI3. Elle prévoit de les remplacer par un règlement général sur la protection des données et par une directive sur le traitement des données dans les domaines de la justice et de la police. La Commission européenne a donc soumis, en date du 25 janvier 2012, au Conseil et au Parlement européen la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ainsi que la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (directive sur le traitement des données dans les domaines de la justice et de la police)4.
Quels sont les buts de cette révision? Il s'agit d'adapter aux progrès technologiques les normes en matière de protection des données et de renforcer la confiance des consommateurs dans les services en ligne. Ces mesures devraient entre autres favoriser la croissance économique, la création d'emplois et l'innovation en Europe. Elles contribueront aussi à rapprocher les niveaux de protection des données des Etats membres, qui ont jusqu'ici procédé en ordre dispersé pour transposer les normes communautaires dans leur droit national, d'où un certain nombre d'incertitudes juridiques. Enfin, la révision devrait entraîner une simplification des règles administratives liées à la protection des données et réduire les frais des entreprises dans ce domaine.
Le Conseil de l'Europe planche de son côté sur une révision totale de la convention N° 1085. Nous relèverons deux points à ce sujet: la révision de la convention vise elle aussi à suivre le rythme des innovations technologiques et les travaux s'inspirent étroitement de ceux de l'UE, dans le but d'assurer une compatibilité maximale des normes. Le Comité consultatif, créé en vertu de la convention actuelle6 a élaboré une proposition, qui sera soumise cette année encore au Comité des ministres du Conseil de l'Europe.
2. L'état des travaux en Suisse
Nous limiterons ici nos réflexions aux développements en cours au niveau national, qui devraient toutefois refléter, dans une large mesure, la situation dans les cantons. Le Conseil fédéral a récemment chargé l'Office fédéral de la justice (OFJ) d'analyser l'efficacité de la loi sur la protection des données7, entrée en vigueur il y a près de 20 ans. D'après l'OFJ, la loi s'est révélée efficace contre les risques qui existaient déjà au moment de son entrée en vigueur. L'examen a cependant mis en évidence une nette augmentation des menaces depuis quelques années, due au développement fulgurant des technologies et de la société. Le Conseil fédéral, estimant nécessaire d'adapter la loi sur la protection des données à cette évolution, entend examiner les mesures législatives à prendre pour faire face aux nouvelles menaces8.
3. Bilan provisoire
Si l'on compare les réformes en cours dans l'UE, au Conseil de l'Europe et en Suisse, on constate qu'elles vont toutes dans la même direction. Il n'y a rien d'étonnant à cela, puisqu'elles sont toutes motivées par la volonté d'adapter la législation à l'évolution rapide des technologies et de la société. Les autorités concernées veillent à ce que les travaux de révision s'effectuent de manière coordonnée et harmonisée. Ainsi, comme nous l'avons dit, le comité chargé de réviser la convention N° 108 du Conseil de l'Europe s'attache à en garantir la cohérence avec les normes révisées de l'UE. Le Conseil fédéral, de son côté, entend intégrer tous ces développements dans la révision de la loi sur la protection des données9.
4. Conséquences possibles dans le domaine législatif
4.1. Nature et portée des conséquences pour la Suisse
Même si, généralement, les développements que connaissent la Suisse, l'UE et le Conseil de l'Europe vont dans la même direction, les futures normes élaborées par les instances européennes ont des implications directes sur le contenu de la législation suisse et sur le calendrier.En quoi le contenu des normes suisses est-il touché? La coopération entre la Suisse et l'UE dans le cadre des Accords de Schengen et de Dublin passe par la reprise, par la Suisse, des développements du droit de l'UE et par leur transposition dans le droit national10. Les dispositions concernant la protection des données ne font pas exception.
Une controverse est en cours sur la question de savoir si le règlement général sur la protection des données constituera ou non un développement de l'acquis de Schengen. La Commission européenne estime que c'est le cas11, mais pas le Service juridique du Conseil de l'UE, qui a récemment conclu le contraire12. La question n'est donc pas tranchée. Le présent article se fonde sur le projet de règlement général sur la protection des données proposé par la Commission européenne et assume qu'il sera un développement de l'acquis de Schengen13. Se pose dès lors la question de sa reprise dans le droit suisse, une fois que l'UE aura achevé son projet de révision, qui devrait aboutir avant celui de la Suisse. Nous avons dit que le Conseil fédéral attendait la conclusion des travaux de l'UE, afin d'en tenir compte dans ses propres travaux de révision. Il semble probable que la Suisse devra adapter son droit matériel aux dispositions de l'UE. Si l'avis du Service juridique du Conseil de l'UE devait l'emporter et la directive générale sur la protection des données échapper à l'acquis de Schengen, la Suisse serait probablement considérée comme un pays tiers au sens du chapitre V de la proposition. Il en découlerait diverses questions, qu'il faudrait régler avec l'UE. Cela pourrait affecter l'échange de données entre les Etats membres et la Suisse dans le cadre de la collaboration au titre de Schengen (dans le domaine des visas par exemple), échange qui repose sur des règles identiques de protection des données dans tous les Etats Schengen. Le Service juridique du Conseil propose de régler ces questions dans un accord bilatéral entre l'UE et la Suisse.
En quoi le calendrier de réformes de l'UE influe-t-il sur le processus législatif suisse? Notre pays s'est engagé vis-à-vis de l'UE à transposer rapidement les nouveaux actes européens dans son droit national. Il dispose pour ce faire de deux ans à compter de leur notification par le Conseil14.
La Suisse ne sera pas tenue de reprendre automatiquement les normes de l'UE en matière de protection des données. Suivant les cas, notre pays dispose en effet d'une certaine latitude pour reprendre les développements de l'acquis de Schengen/Dublin15. Les accords d'association prévoient trois options.
• La Suisse ne reprend les normes européennes sur la protection des données que dans les domaines couverts par l'accord d'association. Jusqu'ici, la Suisse a procédé de la manière suivante: elle n'a transposé la directive 95/46/CE dans le droit national que dans les domaines relevant du premier pilier (disparu aujourd'hui) et mis en œuvre les dispositions de la décision cadre 2008/977/JAI uniquement dans les domaines de la coopération policière et judiciaire en matière pénale, et seulement pour autant que la législation nationale ne satisfaisait pas entièrement aux exigences de la décision cadre16.
• Elle peut également reprendre l'ensemble des normes de l'UE en matière de protection des données, notamment celles contenues dans le règlement général. La législation suisse dans ce domaine serait dès lors entièrement «eurocompatible».
• Dans l'hypothèse où la Suisse rejetterait le contenu des nouvelles normes européennes, elle pourrait choisir la troisième option possible, à savoir ne pas les transposer dans son droit national. Dans un tel cas, très improbable, les deux parties seraient obligées de s'entendre sur une solution pragmatique, sans quoi les accords d'association pourraient, dans le pire des cas, cesser de s'appliquer17.
Voilà ce qu'on peut dire de la nature et de la portée des éventuelles conséquences d'une révision des normes européennes sur la protection des données. Mais qu'en est-il de la convention N° 108 du Conseil de l'Europe? Son adoption rendra-t-elle aussi nécessaire une adaptation du droit suisse? En l'état des travaux, il semble que la convention révisée ne contiendra pas de dispositions plus contraignantes que les nouvelles normes européennes et les dispositions suisses révisées. En d'autres termes, il est très peu probable que la modification de la convention N° 108 incite la Suisse à procéder à des adaptations matérielles de son droit. Le facteur temps joue également un rôle: au cas où le Conseil de l'Europe terminerait ses travaux de révision avant la Suisse, il pourrait en résulter une pression supplémentaire sur cette dernière pour qu'elle accélère les siens.
4.2. Difficultés éventuelles d'une reprise des développements
La reprise du droit de l'UE pourrait-elle causer des difficultés? Rien ne semble indiquer que ce sera le cas. Il n'est toutefois pas aisé de se prononcer, puisque les propositions de la Commission européenne ne sont pas définitives et que, comme le montre l'expérience, elles devraient subir des modifications conséquentes avant d'être adoptées. En effet, les réserves émises par les Etats membres aboutissent souvent à une certaine dilution des propositions originales. Il pourrait en aller ainsi pour le règlement général et la directive. Car si les Etats membres approuvent l'orientation générale des deux projets, ils n'en émettent pas moins des réserves fondamentales, à commencer par la forme juridique des deux textes et leur champ d'application18.
Nous allons illustrer, sur la base de quelques exemples, les obstacles qui pourraient venir compliquer la reprise du droit en question. Encore une fois, nous nous appuyons sur les textes actuels proposés par la Commission européenne, qui subiront sans doute encore des changements. Les exemples suivants n'ont donc qu'une valeur illustrative:
• Une restriction trop forte de la marge de manœuvre laissée aux Etats pour élaborer leur droit national pourrait être source de difficultés pour la Suisse. Ainsi, le projet de règlement général sur la protection des données prévoit de nombreux cas dans lesquels la Commission européenne serait habilitée à édicter des « actes délégués ». Prenons un exemple: inspiré de l'art. 8 de l'actuelle directive 95/46/CE, l'art. 9 du projet de règlement général sur la protection des données prévoit une interdiction générale du traitement de certaines catégories de données à caractère personnel, et les exceptions à cette règle générale. Le projet prévoit d'attribuer à la Commission européenne la compétence de définir plus avant les modalités du traitement des données appartenant à ces catégories, de même que les garanties nécessaires. Une telle délégation de compétences à la Commission européenne peut réduire considérablement la marge de manœuvre législative des Etats. La Suisse se trouverait davantage liée aux normes européennes que dans le contexte de la directive 95/46/CE. Par ailleurs, en admettant que de tels actes délégués à la Commission européenne constituent un développement de l'acquis de Schengen/Dublin, ils viendraient allonger la liste des éléments que la Suisse est tenue de mettre en œuvre. Cela risque d'être le cas pour nombre de ces actes délégués, qui devront alors être transposés dans le droit national.
• D'autres difficultés pourraient se poser en ce qui concerne la reprise sectorielle du droit de l'UE. Pour l'illustrer, considérons le champ d'application prévu par la directive pour le traitement des données dans les domaines de la justice et de la police: il prévoit que la directive s'applique non seulement à l'échange de données entre Etats, mais aussi - et c'est nouveau - au traitement intra étatique de données. Il pourrait s'avérer particulièrement difficile dans certains cas de déterminer si un traitement de données relève de Schengen ou non. Il s'agira donc d'examiner si une reprise sectorielle du droit européen est non seulement possible, mais également opportune. Une reprise sectorielle apparaît d'emblée irréalisable sur un certain nombre de points. C'est le cas, par exemple, de l'extension prévue des compétences des autorités de surveillance. Limiter une telle extension au seul domaine de la coopération en matière de Schengen/Dublin serait peu adéquat. Une reprise élargie des dispositions du droit de l'UE pourrait donc s'imposer à la Suisse, du moins sur certains points de réglementation.
• Enfin, un certain nombre de difficultés pourraient résulter de la structure fédéraliste de la Suisse. La répartition des tâches entre la Confédération et les cantons dans le domaine des autorités de surveillance en est un bon exemple. Elle pourrait entrer en collision avec les nouvelles dispositions du droit européen. Le projet de règlement général prévoit actuellement que chaque Etat membre désigne une autorité de surveillance comme point de contact unique permettant une participation au Comité européen de la protection des données19.
Soulignons que la Suisse a la possibilité de contribuer de manière déterminante au développement de l'acquis de Schengen/Dublin. Si elle ne dispose pas d'un droit de vote, elle est habilitée à participer à l'élaboration des nouveaux actes, depuis le niveau des groupes d'experts jusqu'à celui des ministres20. Même si la Suisse n'est qu'un pays parmi d'autres, elle peut influencer les travaux de l'Union et, en négociant avec habileté, faire en sorte que les dispositions européennes sur la protection des données tiennent compte de ses préoccupations et de ses besoins.
5. Conséquences possibles pour l'application du droit
Les futures dispositions de l'UE et du Conseil de l'Europe devraient également avoir des effets en matière d'application du droit, sans qu'il soit toutefois possible de les définir concrètement. Ces effets devraient fortement dépendre de la nature et de l'ampleur des modifications subies par le droit de l'UE, les conventions du Conseil de l'Europe et le droit suisse. Voici ce qu'on peut dire en l'état.
• A notre connaissance, la jurisprudence helvétique ne s'est à ce jour appuyée qu'une seule fois sur la législation européenne sur la protection des données21. Il n'est pas du tout certain que les tribunaux continueront de s'imposer cette retenue à l'avenir. En effet, le lien avec la législation européenne est d'ores et déjà relativement facile à établir, vu les similitudes qui unissent le droit suisse et le droit européen dans de nombreux domaines. En outre, les arrêts suisses prononcés en matière de protection des données sont encore très peu nombreux22. Il semblerait donc logique qu'on se réfère à la jurisprudence européenne, ne serait-ce que pour profiter d'un éventail plus large de considérants.
• En fonction de la conception concrète des normes européennes en matière de protection des données et du modèle que retiendra la Suisse pour les transposer dans son droit national, il se pourrait que les tribunaux suisses soient amenés encore plus souvent à se référer, dans leurs jugements, au droit européen, et plus particulièrement aux arrêts de la Cour de justice de l'Union européenne.
Résumé
La révision des normes sur la protection des données en cours dans l'UE aura des conséquences pour la législation suisse. Dans le cadre des Accords d'association à Schengen/Dublin, notre pays s'est engagé à reprendre les développements de la législation de l'UE et à les transposer dans son droit national. Il y aura certaines décisions à prendre, notamment quant au modèle concret de transposition du droit communautaire dans le droit national: le contenu des deux normes européennes déterminera si une mise en œuvre sectorielle est possible et, le cas échéant, si elle s'avère opportune. En ce qui concerne la révision de la convention N° 108 du Conseil de l'Europe, on peut affirmer, sur la base de l'avancement du projet, qu'elle ne contiendra pas de dispositions plus contraignantes que les nouvelles normes de l'UE sur la protection des données. Lors de son évaluation de la loi sur la protection des données, effectuée l'année dernière, le Conseil fédéral a constaté que le temps était venu d'adapter cette loi aux développements technologiques et sociétaux et décidé de prendre en compte dans sa révision les résultats des travaux menés dans l'UE et au Conseil de l'Europe.
En ce qui concerne l'application du droit, les dispositions européennes sur la protection des données n'ont jusqu'ici pratiquement pas eu de répercussions sur la Suisse. En fonction de la nature et de l'ampleur des modifications qui seront apportées à la protection des données aux niveaux de l'UE, du Conseil de l'Europe et de la Suisse, les tribunaux suisses chargés d'interpréter le droit national pourront être tentés plus que par le passé de porter leur regard au-delà de nos frontières et s'inspirer davantage de la jurisprudence européenne pour étayer leurs considérations.
Si l'on reprend notre image initiale, on constate que le trou dans la meule européenne se comble peu à peu, à mesure que les dispositions sur la protection des données de la Suisse, de l'UE et du Conseil de l'Europe se rapprochent. Les révisions en cours ne devraient pas venir entraver cette évolution, bien au contraire: grâce aux progrès technologiques, les données ne s'arrêtent plus aux frontières, ce qui rend urgent la mise en place de règles communes. Sur la carte de l'Europe, notre pays se confond progressivement avec les territoires alentour. On ne verra bientôt plus un emmental, mais un gruyère... et c'est aussi un bon fromage.
1 Le présent article est un résumé de l'exposé présenté à la 5e Journée suisse du droit de la protection des données, qui s'est tenue le 15 juin 2012 à l'Université de Fribourg. Vous en retrouverez la version intégrale dans: EPINEY, Astrid, FASNACHT, Tobias (Eds), Die Entwicklung der europarechtlichen Vorgaben im Bereich des Datenschutzes und Implikationen für die Schweiz / Le développement du droit européen en matière de protection des données et ses implications pour la Suisse, Zurich (2012). Il a été traduit par M. Manuel Ravasio.
2 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995.
3 Décision cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, JO L 350 du 30.12.2008.
4 Les deux documents peuvent être consultés à l'adresse http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (état le 20 septembre 2012).
5 Convention du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (RS 0.235.1).
6 Voir le chapitre V de la convention N° 108 pour la composition et les fonctions du Comité consultatif.
7 Loi fédérale du 19 juin 1992 sur la protection des données, LPD, RS 235.1.
8 Pour les résultats détaillés de l'évaluation et les buts de la révision de la loi sur la protection des données, voir le rapport du Conseil fédéral du 9 décembre 2011 sur l'évaluation de la loi fédérale sur la protection des données, FF 2012 255 ss.
9 Voir le rapport du Conseil fédéral du 9 décembre 2011 sur l'évaluation de la loi fédérale sur la protection des données, FF 2012 255 268.
10 Voir l'art. 7 de l'Accord d'association à Schengen (RS 0.362.31) et l'art. 4 de l'Accord d'association à Dublin (RS 0.142.392.68).
11 Voir le considérant N° 137 du projet de directive générale sur la protection des données.
12 Voir l'avis de droit du 19 juillet 2012 du Service juridique du Conseil de l'UE, document 12682/12.
13 Voir la note 15 de l'avis de droit du 19 juillet 2012 du Service juridique du Conseil de l'UE, document 12682/12.
14 Voir l'art. 7 de l'Accord d'association à Schengen (RS 0.362.31) et l'art. 4 de l'Accord d'association à Dublin (RS 0.142.392.68).
15 Voir le message du Conseil fédéral du 1er octobre 2004 relatif à l'approbation des accords bilatéraux entre la Suisse et l'Union européenne, y compris les actes législatifs relatifs à la transposition des accords («Accords bilatéraux II»), FF 2004 5801; concernant les modalités de la reprise ou non des développements d'actes normatifs de l'UE, voir l'art. 7 de l'Accord d'association à Schengen (RS 0.362.31) et l'art. 4 de l'Accord d'association à Dublin (RS 0.142.392.68).
16 Voir le message du Conseil fédéral du 1er octobre 2004 relatif à l'approbation des accords bilatéraux entre la Suisse et l'Union européenne, y compris les actes législatifs relatifs à la transposition des accords («Accords bilatéraux II»), FF 2004 5798 ss et 5860 ss, et le message du Conseil fédéral du 11 septembre 2009 relatif à l'arrêté fédéral portant approbation et mise en œuvre de l'échange de notes entre la Suisse et l'UE sur la reprise de la décision cadre 2008/977 JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, FF 2009 6112 ss. A propos de la transposition des normes au niveau cantonal, voir notamment RUDIN, Beat, «Die Datenschutzrechtliche Umsetzung von Schengen in den Kantonen», in: BREITENMOSER, GLESS, LAGODNY, (éd.), «Schengen in der Praxis, Erfahrungen und Ausblicke», Zurich/Saint-Gall/Vienne/Baden-Baden 2009, pp. 213 ss.
17 Voir l'art. 7 de l'Accord d'association à Schengen (RS 0.362.31) et l'art. 4 de l'Accord d'association à Dublin (RS 0.142.392.68).
18 Les prises de position ont été communiquées lors des séances du groupe de travail Echange d'informations et protection des données (DAPIX).
19 Voir l'art. 46 de la proposition de règlement général sur la protection des données. Il est prévu que le Comité européen de la protection des données vienne remplacer l'actuel groupe de travail défini à l'art. 29 de la directive actuelle.
20 Voir le message du Conseil fédéral du 1er octobre 2004 relatif à l'approbation des accords bilatéraux entre la Suisse et l'Union européenne, y compris les actes législatifs relatifs à la transposition des accords («accords bilatéraux II»), FF 2004 5801.
21 Voir l'ATF 136 II 508 517 et l'ATAF A-3144/2008 (Logistep), dans lesquels les tribunaux devaient entre autres déterminer si les adresses IP constituaient des données à caractère personnel. Tant le TF que le TAF ont interprété à cette occasion la loi sur la protection des données en s'appuyant sur la jurisprudence concernant le droit de l'UE en matière de protection des données.
22 Voir le rapport du Conseil fédéral du décembre 2011 sur l'évaluation de la loi fédérale sur la protection des données, FF 2012 255 261 s.
