1. Introduction
L’avant-projet de révision de la loi fédérale sur la protection des données (AP LPD), actuellement en consultation, a pour but de renforcer les droits de la personne dont les données sont traitées (la personne concernée) et, corolairement, les obligations du responsable du traitement (aujourd’hui appelé «le maître du fichier»). Un niveau de protection similaire à celui nouvellement introduit dans l’UE avec l’entrée en vigueur du Règlement général de protection des données (RGPD) sera assuré, de même que la reprise nécessaire de l’Acquis de Schengen.
De nombreuses obligations, tant nouvelles que préexistantes, viennent ainsi s’imposer au responsable du traitement, dont plusieurs devoirs d’information, de documentation et d’annonce3. Les atteintes à la sphère privée de la personne concernée, tout comme la violation des obligations précitées, s’accompagnent de sanctions. Ces dernières ne s’articulent toutefois pas autour d’un régime uniforme mais, au contraire, s’inscrivent tant en droit pénal que civil et administratif. Les autorités compétentes pour en connaître dépendent également du droit applicable comme nous le verrons ci-après, ce qui n’est guère satisfaisant.
2. Décisions et sanctions prévues par l’AP LPD
Le régime de décisions et de sanctions dans l’AP LPD se répartit entre les domaines administratif, pénal et civil.
En matière administrative tout d’abord, l’AP LPD innove par rapport à la réglementation actuelle en étendant certains des pouvoirs du Préposé fédéral à la protection des données et à la transparence (PFPDT). En particulier, l’art. 41 AP LPD lui confère un réel pouvoir d’enquête dès le moment où des indices font penser qu’un traitement de données pourrait être contraire à la loi4. Cela s’accompagne, là également comme innovation, d’une réelle obligation de collaborer des personnes impliquées et d’un pouvoir d’inspection des locaux sans avis préalable. Ces caractéristiques ne sont pas sans rappeler, toutes proportions gardées, les règles qui existent en droit de la concurrence (obligation de renseigner de l’art. 40 LCart et perquisitions selon l’art. 42 al. 2 LCart) ou, pour l’obligation de collaborer, en droit des marchés financiers (art. 29 LFINMA).
En ligne avec ces nouveaux pouvoirs, le PFPDT dispose également de la compétence de rendre de réelles décisions contraignantes, à la fois provisionnelles (art. 42 AP LPD) et au fond (art. 43 AP LPD)5. Il peut, en particulier, ordonner la suspension, la modification ou la cessation d’un traitement, la destruction de tout ou partie de données ou encore la suspension ou l’interdiction d’une communication de données à l’étranger. Cette nouvelle possibilité est un renforcement (partiel) du statut du PFPDT et un alignement (partiel) sur les pouvoirs dont disposent ses homologues européens6.
A l’inverse, en revanche, le PFPDT ne dispose d’aucun réel pouvoir de sanction. Cela s’inscrit à contre-courant du régime européen7 et pourrait bien ne pas être conforme à la Convention 108 du Conseil de l’Europe. Le PFPDT ne peut en effet pas sanctionner lui-même une violation du droit de la protection des données qu’il constaterait par son enquête, ni même le non-respect de ses propres décisions contraignantes. Confronté à de telles situations, il devra dénoncer l’affaire au Ministère public en vue d’enclencher une procédure pénale sur laquelle il n’aura plus aucune maîtrise8. Le Rapport explicatif justifie ceci essentiellement par les modifications dans l’organisation du PFPDT que cela aurait imposé, sur le modèle de la Comco, afin de «garantir la légitimité et l’acceptance [sic] des décisions ainsi que le respect des droits fondamentaux des personnes concernées»9.
Le deuxième volet de décisions et de sanctions arrêtées dans l’AP LPD s’inscrit donc en droit pénal. De nombreuses hypothèses y sont prévues dans lesquelles le responsable du traitement peut être sanctionné pénalement lorsqu’il enfreint ses obligations. Il s’agit en particulier des obligations d’informer, liées au droit d’accès de la personne concernée, de communications destinées au PFPDT ou encore en lien avec les devoirs de diligence. Ces conséquences pénales joueront également un rôle central lorsque le responsable du traitement ne se conforme pas aux décisions (administratives) du PFPDT ou refuse sa collaboration lors d’une enquête (art. 50 al. 2 let. c et e AP LPD).
Ces éléments constituent (sous l’angle pénal) un renforcement significatif par rapport à la situation actuelle, dans laquelle les violations ne demeurent que peu sanctionnées. Une personne individuelle au sein de l’entreprise pourra ainsi être poursuivie pénalement et sera passible d’une amende allant jusqu’à 500 000 fr. (250000 fr. en cas de négligence)10. Conformément aux règles habituelles de droit pénal, cette amende sera inscrite au casier judiciaire de la personne dès qu’elle atteint le montant de 5000 fr. Si l’identification de la personne responsable au sein de l’entreprise implique des mesures disproportionnées, l’entreprise pourrait être elle-même condamnée au paiement d’une amende, dont le montant est toutefois plafonné à 100 000 fr. (art. 53 AP LPD).
Sous l’angle civil enfin, la personne concernée disposera comme aujourd’hui de plusieurs voies d’action permettant d’assurer la mise en œuvre correcte de ses droits. Il s’agit des prétentions fondées sur la protection de sa personnalité, qui lui permettent entre autres d’interdire un certain traitement de données et de requérir la rectification de données erronées (art. 25 AP LPD11) ainsi que des actions en exécution de ses droits lorsque le responsable du traitement n’y donne pas correctement suite, dont son droit d’accès (art. 20 AP LPD). A la différence des prétentions fondées sur les droits de la personnalité toutefois, les actions en exécution de droits ne sont étonnamment pas expressément mentionnées dans l’AP LPD, tout en étant effleurées au contour du Rapport explicatif12.
Indépendamment de la valeur litigieuse de l’action, l’AP LPD prévoit dans tous les cas l’application de la procédure simplifiée (art. 243 ss CPC) et, ce qui est nouveau, la gratuité de la procédure de conciliation et au fond (nouveaux art. 113 al. 2 let. g et 114 let. f CPC). L’action collective n’a en revanche pas été retenue. Sur ce dernier point d’ailleurs, l’AP LPD a raté, à notre sens, une possibilité qui aurait été utile. Le Rapport explicatif mentionne tout de même cette éventualité, qu’il écarte au motif d’un traitement devant se faire plus largement13. Pourtant, une telle éventualité aurait également permis de simplifier la procédure et d’étendre utilement les droits de chacun des lésés.
3. Appréciation critique
L’absence d’un pouvoir de sanction du PFPDT est regrettable. Cela aurait en effet été la preuve de son indépendance et aurait permis d’instaurer un régime de sanctions uniforme à travers la Suisse, sans que des variations de pratique se posent selon les cantons. Justifié par cette absence de sanctions administratives, le «renforcement» des sanctions pénales laisse pour sa part songeur pour au moins cinq raisons.
Premièrement, les amendes maximales sont largement inférieures à celles prévues dans les pays voisins14.
Deuxièmement, ces sanctions visent pour l’essentiel une personne individuelle (bouc émissaire?) alors que c’est, au final, l’entreprise qui devrait être principalement responsable du traitement de données effectué en son sein.
Troisièmement, et en tout cas si les dispositions pénales ainsi prévues sont correctement mises en œuvre, les autorités pénales risquent d’être saisies d’un grand nombre d’affaires. Or, leurs moyens étant limités, ces affaires risquent de ne pas être une priorité. Il est également envisageable que ces affaires ne soient pas traitées avec les compétences nécessaires, les autorités pénales n’étant pas particulièrement spécialisées dans le domaine de la protection des données.
Quatrièmement, le PFPDT ne sera pas partie aux procédures pénales qu’il enclencherait, et ne pourra donc en assurer le suivi. Il ne pourra non plus, de ce fait, y défendre l’existence d’une violation de la loi ou d’une de ses décisions. Pourtant, il aura le plus souvent déjà ouvert une procédure administrative, instruit les faits en détail et, potentiellement, inspecté directement les locaux de la personne visée. Malgré la connaissance ainsi acquise du dossier, il en perdra la maîtrise dès le moment où il souhaite qu’une sanction soit prononcée.
Cinquièmement enfin, l’existence de procédures administratives et pénales parallèles, auxquelles pourra venir s’ajouter une procédure civile ouverte par la personne concernée, amènera les personnes impliquées (dont le responsable du traitement) à devoir faire face en même temps à plusieurs procédures et, par-là, à plusieurs autorités différentes.
Le système prévu implique donc une multiplication des procédures et des formalités nécessaires pour assurer le respect du droit de la protection des données.
D’une part, la personne concernée ne pourra pas se contenter de se raccrocher aux éventuels actes d’enquête qui seraient mis en œuvre par le PFPDT et y faire valoir ses droits. L’art. 44 al. 2 AP LPD précise en effet expressément que seule la personne privée contre qui une enquête est ouverte bénéficie de la qualité de partie, à l’exclusion donc de la personne concernée. Cette caractéristique, qui vaut y compris lorsque l’enquête a été ouverte sur sa dénonciation15, l’oblige donc à procéder par la voie civile et éventuellement pénale16.
D’autre part, le responsable du traitement devra aussi faire face à «l’éclatement» des procédures, cette fois entre les trois volets administratif, civil (à l’égard de la personne concernée) et pénal, ce dernier pouvant être enclenché non seulement par une plainte de la personne concernée, mais également suite à la dénonciation du cas par le PFPDT.
Les problèmes posés par cette multiplication des compétences et voies de droit peut être mise en évidence par un exemple simple. L’exploitant d’un fitness met en place, à l’insu de ses clients, un système d’analyse de leurs préférences par le biais d’une carte d’identification qu’ils doivent porter en tout temps et qui enregistre tous les détails des séances d’entraînement (machine utilisée, durée de l’entraînement, effort fourni, etc.). L’exploitant utilise ensuite ces données afin d’envoyer des publicités ciblées à ses clients et les vend à une entreprise américaine de compléments alimentaires de même qu’à une assurance maladie. Enfin, interrogé par trois clients, il conteste tout enregistrement de données et refuse tout droit d’accès.
Dans cet exemple, l’exploitant du fitness enfreint notamment les principes de proportionnalité, finalité et protection des données par défaut. Il viole également les règles sur la communication de données à l’étranger, le devoir d’informer lors de la collecte et en cas de communication à un tiers, et l’exercice du droit d’accès. Il n’a pas non plus effectué d’analyse d’impact, malgré les risques entraînés par le système. Plusieurs atteintes à la personnalité des personnes concernées selon l’art. 23 AP LPD en découlent directement17.
Malgré une situation simple et unique, les voies d’action seront «éclatées»:
• le PFPDT pourra mener une enquête, procéder à l’inspection des locaux et prononcer une interdiction du traitement ainsi que du transfert à l’étranger, dans le cadre d’une procédure administrative;
• le PFPDT devra dénoncer l’affaire au Ministère public, ce qui ouvrira, en parallèle, une procédure pénale pour que l’exploitant du fitness soit sanctionné;
• les clients souhaitant agir à l’encontre du fitness devront, pour leur part, agir par une procédure civile18, chacun séparément.
Ces trois procédures seront pour l’essentiel indépendantes l’une de l’autre, tout comme les autorités appelées à intervenir. Alors même qu’un éventuel rapport du PFPDT pourrait être pris en compte, chaque autorité pourra instruire les faits à sa manière et interpréter différemment les actes commis. Le risque existe donc qu’un même état de fait soit perçu par le PFPDT comme constitutif d’une grave violation de la loi, alors qu’un juge pénal et/ou civil le refuserait.
L’existence d’un pouvoir de sanction du PFPDT aurait pourtant pu simplifier ce processus. Il aurait, en effet, pu directement (i) ouvrir une enquête à l’encontre de l’exploitant du fitness, (ii) rendre une décision lui faisant interdiction de récolter, de traiter et de transmettre les données à l’étranger et (iii) le sanctionner pour les infractions commises19. Cette solution présenterait l’avantage d’exclure un éclatement en deux volets, administratif et pénal, et offrirait potentiellement un traitement plus rapide, plus spécialisé et non contradictoire.
4. La Comco et la Finma comme inspiration?
Le rôle du PFPDT n’est pourtant pas si différent de ce que l’on connaît en droit de la concurrence et en droit des marchés financiers, deux domaines se caractérisant à la fois par l’existence d’une autorité administrative, un fort risque de sanctions ainsi que l’existence en parallèle de volets pénal, administratif et (en partie du moins) civil.
En droit de la concurrence, la Comco dispose d’un fort pouvoir de sanctions sur le plan administratif, prévu aux art. 49a ss LCart. Cette compétence lui permet notamment de condamner une entreprise ayant enfreint la LCart au paiement d’un montant pouvant aller jusqu’à 10% du chiffre d’affaires réalisé en Suisse au cours des trois derniers exercices. Prononcée par la Comco, cette sanction est prise sur la base des faits instruits par le secrétariat, d’entente avec un membre de la présidence (art. 53 LCart). En parallèle, la LCart prévoit également un nombre limité de sanctions pénales, qui visent toutefois uniquement la violation des accords amiables, décisions administratives et autres décisions des autorités de la concurrence. Des prétentions civiles peuvent enfin toujours être soulevées par une personne lésée par la restriction à la concurrence20.
Formellement, la Comco (qui prononce les sanctions administratives) et le secrétariat (qui instruit les faits) constituent deux entités distinctes, composant ensemble les autorités de la concurrence21. Il y a donc bien une séparation institutionnelle entre l’autorité d’enquête et celle de décision. Leurs compétences demeurent toutefois fortement imbriquées. L’ouverture d’une enquête et la réalisation d’actes d’instruction par le secrétariat doit notamment intervenir d’entente avec un membre de la présidence de la Comco22. De plus, bien que la direction du secrétariat soit nommée par le Conseil fédéral, les autres membres du personnel le sont par la Comco (art. 24 al. 1 LCart et art. 10 al. 2 let. c Règlement interne Comco).
En droit des marchés financiers, la situation est en partie différente. De façon plus proche de ce qui est prévu dans l’AP LPD, le système de sanction y est principalement axé sur le droit pénal. Les art. 44 ss LFINMA arrêtent ainsi plusieurs infractions couvrant à la fois les violations des lois sur les marchés financiers et le non-respect des décisions de la Finma, qui s’ajoutent aux suites pénales prévues dans d’autres lois spéciales. Du point de vue civil, toutes prétentions liées aux violations du droit des marchés financiers sont totalement disjointes de la réglementation administrative.
La Finma ne sanctionne donc pas elle-même monétairement des entreprises ou des personnes qui enfreindraient l’une ou l’autre des lois sur les marchés financiers. Elle dispose de très forts pouvoirs d’instruction et d’enquête, notamment par la possibilité de mandater ou d’imposer un expert chargé d’intervenir directement au sein de l’assujetti et d’y contrôler le respect des obligations légales23. Elle peut également prendre des mesures directement contre un assujetti ou une personne physique impliquée dans les faits en vue du rétablissement de l’ordre légal (art. 31 LFINMA), notamment en prononçant une interdiction d’exercer (art. 33 LFINMA), en confisquant le gain acquis (art. 35 LFINMA) ou encore en retirant l’autorisation d’exercer d’un assujetti (art. 37 LFINMA). Ces mesures peuvent être publiées par la FINMA, avec les références personnelles des assujettis (art. 34 al. 1 LFINMA). S’y ajoutent encore d’autres mesures spécifiquement prévues par les autres lois sur les marchés financiers.
Nonobstant l’absence de sanctions administratives monétaires, la Finma dispose donc de très larges pouvoirs, pouvant, en substance, aller jusqu’à un droit de vie ou de mort sur l’assujetti. Afin d’assurer une indépendance nécessaire au processus d’instruction et de décision, la fonction d’«enforcement» est séparée de celle de surveillance au sein de la Finma, chacune étant confiée à des divisions différentes24.
5. Quelles leçons en tirer?
La comparaison entre l’AP LPD et les deux systèmes décrits permet de constater l’absence de réels pouvoirs contraignants du PFPDT. Quand bien même il bénéficie, sur le papier, d’un fort pouvoir d’enquête et de la possibilité de rendre des décisions contraignantes, il se voit priver, dans les faits, de toute possibilité de s’assurer lui-même d’une correcte mise en œuvre de ses décisions ou d’une poursuite complète des infractions au droit de la protection des données. Il en est réduit à «menacer» le responsable du traitement de suites pénales théoriques, afin d’espérer avoir un poids dans l’application de l’AP LPD. Or, rien ne lui garantit que l’autorité pénale donnera correctement suite à sa dénonciation.
Cela constitue clairement une situation plus faible en comparaison à la Comco, dont les forts pouvoirs d’instruction et de sanction administrative confèrent un poids prépondérant dans l’application du droit de la concurrence. Il en est toutefois de même également par rapport à la Finma, cela même en l’absence d’un risque direct de sanctions monétaires pour les assujettis. Ses décisions peuvent en effet avoir une énorme incidence à leur égard et pour les personnes physiques impliquées, notamment en cas d’interdiction d’exercer et de retrait d’une autorisation.
L’argument, posé dans le Rapport explicatif, selon lequel le PFPDT ne pourrait avoir un pouvoir de sanction qu’à la condition que son organisation soit totalement revue, ne constitue, selon nous, pas un obstacle justifiant de l’en priver.
Premièrement, un modèle similaire à la Comco pourrait être suivi et serait, dans un tel contexte, à même d’assurer le respect de la LPD. Il suffirait, en effet et cas échéant, d’opérer structurellement une différence en prévoyant deux «autorités de la protection des données», soit le PFPDT et son secrétariat. S’il devait représenter quelques coûts supplémentaires pour l’Etat, il faut garder en perspective que l’AP LPD va générer une importante charge nouvelle pour les autorités pénales cantonales.
Deuxièmement, et sans même opérer une telle modification structurelle, un pouvoir de sanction pourrait aussi être donné au PFPDT en s’inspirant du régime existant pour la Finma. Plusieurs des mesures prononcées par cette autorité (dont l’interdiction d’exercer et le retrait de l’autorisation) correspondent, dans les faits à de véritables sanctions. Pourtant, c’est bien toujours la Finma elle-même (par ses différentes divisions et la direction) qui instruit et rend le prononcé en question.
Troisièmement enfin, et dans tous les cas, il convient de rappeler que le PFPDT représente bien une autorité indépendante. Il ne s’agit ainsi, par exemple, pas d’un chef de département ou d’une entité soumise aux instructions d’autres parties de l’administration. En ce sens donc, il est parfaitement à même d’assurer l’indépendance du processus et le respect des droits fondamentaux des personnes impliquées.
Au final, l’unification de certains pouvoirs d’instruction et de sanction en main du PFPDT garantirait une uniformité de la procédure et une application correcte du droit de la protection des données. Seule cette solution offrirait à ce domaine l’importance qui devrait lui revenir. On ose espérer que la procédure de consultation en cours permettra de retravailler le projet actuel en ce sens et de soumettre au Parlement une version remodelée. y
1Dr en droit, également chargé de cours l’Université de Lausanne.
2Egalement vice-président du Tribunal de prud’hommes de la Broye et du Nord vaudois.
3On peut, de façon très résumée, distinguer cinq catégories d’obligations nouvelles que sont les devoirs étendus d’information (art. 13 et 15 AP LPD), de documentation (art. 19 AP LPD) et d’annonce des violations intervenues (art. 19 AP LPD), une obligation de mener une analyse d’impact préalable (art. 16 AP LPD) ainsi que les principes de la protection des données dès la conception et par défaut (art. 18 AP LPD). Ces nouvelles obligations viennent s’ajouter à d’autres qui sont reprises de la LPD actuellement en vigueur (et en partie modifiée), notamment en matière de droit d’accès de la personne concernée (art. 20 à 22 AP LPD).
4Ce faisant, l’AP LPD ne restreint donc plus les pouvoirs du PFPDT par rapport aux personnes privées à un simple «établissement des faits» accompagné de recommandations, principalement limités par ailleurs aux cas d’erreur de système.
5Le régime actuel permet uniquement au PFPDT de saisir le Tribunal administratif fédéral afin d’y requérir le prononcé d’une décision contraignante.
6Le Rapport explicatif, ch. 1.4.2.4, les présente lui-même tant comme un renforcement qu’un alignement.
7Ce qualificatif de «contre-courant» étant expressément utilisé dans le Rapport explicatif, ch. 8.1.8.
8En particulier, l’art. 50 al. 2 let. e AP LPD sanctionne de l’amende le non-respect d’une décision signifiée par le PFPDT; pour ce renvoi explicitement, cf. Rapport explicatif, ch. 8.1.7.7 in fine.
9Rapport explicatif, ch. 8.1.8. On peut néanmoins s’étonner de cette réserve relative aux droits fondamentaux des personnes concernées, dans la mesure notamment où l’AP LPD opère un renvoi explicite à la PA pour ce qui a trait à l’enquête du PFPDT (art. 44 al. 1 AP LPD), caractéristique qui devrait en tout cas assurer la protection des droits de procédure des parties.
10Cela reste modeste en comparaison des amendes administratives prévues par l’art. 83 RGPD qui pourront s’élever, selon la catégorie de l’infraction, de 10 ou de 20 millions d’euros ou, dans le cas d’une entreprise, de 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
11Une règle en partie proche, sans référence aux bases légales des art. 28 ss CC, est prévue à l’art. 34 AP LPD dans le cas des traitements de données effectués par un organe fédéral.
12Cf. la référence unique aux actions en exécution du droit de consultation et à l’effacement de l’art. 12 AP LPD ainsi qu’à l’action en exécution du droit d’accès de l’art. 20 AP LPD, séparée expressément des actions selon l’art. 25 AP LPD, au ch. 8.2.9.1 du Rapport explicatif.
13Rapport explicatif, ch. 1.6.3.
14Cf. note 10. Les Etats membres peuvent en outre introduire des sanctions pénales additionnelles (art. 84 RGPD).
15Cette précision est expressément faite dans le Rapport explicatif, ch. 8.1.7.8.
16Idem.
17Ce point est d’autant accentué par le fait que les données récoltées peuvent être qualifiées de sensibles (en tant qu’elles portent sur la santé des clients) et constituer une forme de profilage au sens de l’art. 3 let. f AP LPD.
18Ils pourront également eux-mêmes porter plainte et amener l’affaire par-devant le Ministère public, en quel cas l’affaire devrait en principe être jointe à la procédure dénoncée par le PFPDT pour les mêmes faits.
19La possibilité de participer à la procédure pourrait également être donnée aux personnes concernées, individuellement ou collectivement, afin notamment d’assurer au mieux le caractère complet de l’instruction.
20Le CPC prévoit d’ailleurs, dans ce cas, une instance cantonale unique selon son art. 5 al. 1 let. b.
21Cf. à ce sujet notamment l’art. 1 du Règlement interne COMCO.
22Seule une enquête préalable peut être décidée par le secrétariat lui-même (art. 26 et 27 LCart).
23Cela peut se faire essentiellement par le biais d’une société d’audit, d’un chargé d’audit ou d’un chargé d’enquête (art. 24, 24a et 36 LFINMA).
24Cf. art. 18 du Règlement d’organisation Finma.
