Le "Swiss Finish" menace-t-il les PME ?
Non seulement la numérisation intensive, mais aussi la révision de la loi sur la protection des données (LPD) mettent les entreprises suisses à l'épreuve. Le Conseil fédéral veut introduire une loi pour "garantir l'emploi et la prospérité". Les PME, en particulier, voient des tendances négatives dans ce qu'on appelle le "Swiss Finish" en ce qui concerne les nouvelles réglementations. Dans quelle mesure la révision pourrait-elle les mettre sous pression ? Une comparaison.
L'objectif de la révision du PADF est "d'accroître la transparence et de renforcer l'autodétermination des personnes concernées sur leurs données", écrit le Conseil fédéral dans l'avant-projet de loi. Cependant, il existe d'autres raisons évidentes d'introduire une loi plus stricte en ces temps de bouleversement numérique :
Le Conseil de l'Europe est en train de réviser sa convention sur la protection des données, que la Suisse a également ratifiée. Si la Suisse ne prenait pas position à ce sujet, elle pourrait être dépossédée de son statut de "refuge", en tant que pays tiers partenaire. L'UE révise également sa législation correspondante, ce qui affectera également les entreprises suisses qui font des affaires avec des clients de l'UE.
Controverse DSG
La nouvelle loi est critiquée de toutes parts. Pour les petites et moyennes entreprises en particulier, beaucoup de choses devront changer avec la nouvelle législation. Les petites PME telles que les agences de publicité pourraient être rigoureusement obligées d'informer les participants à une circulaire ou à un concours après la collecte de données personnelles - c'est en fait l'élément principal de la loi sur la concurrence déloyale (LCD) jusqu'à présent.
Chaque entreprise, aussi petite soit-elle, devrait être en mesure de fournir des informations sur les données personnelles qu'elle traite et dans quel but, ainsi que sur le responsable final du traitement des données personnelles. On dit qu'avec cette révision, le Conseil fédéral veut augmenter la transparence du traitement des données et promouvoir l'autodétermination des citoyens sur leurs données.
En outre, les obligations des organes responsables du traitement des données doivent être élargies. Par exemple, le projet de loi prévoit une "évaluation d'impact sur la protection des données". Si une personne est exposée à un "risque accru" du fait de la collecte de données, le responsable du traitement des données pourrait être sanctionné, voire condamné à une amende, par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Toutefois, les associations professionnelles critiquent les dispositions plus strictes dans le contexte de "l'évaluation de l'impact des données" et du "risque accru". Les responsables de l'information des entreprises seraient dos au mur s'ils n'étaient pas autorisés à relier les données personnelles des clients avec d'autres préférences des clients - ou pourraient être tenus responsables de toute collecte de données.
Les résultats de l'évaluation de l'impact des données doivent pouvoir être communiqués au délégué à la protection des données ou au PFPDT. Les critiques de la nouvelle loi voient un fardeau supplémentaire immense qui sera imposé aux petites entreprises. L'Association suisse du commerce, qui "remet généralement en question" la révision, est très ferme : "En principe, l'élargissement des obligations de documentation et de rapport prévu dans le projet est disproportionné.
Différenciations
Les partisans de la nouvelle loi sur la protection des données viennent en soi du côté de la protection des données et de la protection des consommateurs. Toutefois, privatim, l'association des commissaires suisses à la protection des données, fait également une distinction explicite entre la révision et la LPD actuelle. privatim souligne que certains points de la disposition sur la protection des données dans la révision sont formulés de manière trop vague :
Par exemple, les nouvelles lois s'appliquent aussi bien aux sous-traitants de données privés ("personnes privées") qu'aux organismes publics ("organismes fédéraux").
Les experts en protection des données mandatés recommandent donc que la protection des données de droit privé et de droit public soit uniformisée dans deux lois. Une telle division devrait respecter le principe de légalité de l'art. 5 al. 1 de la Constitution fédérale (voir Principes de l'État de droit) et le principe de la protection de la vie privée de l'art. 28 du Code civil (voir aussi Droits civils).
Néanmoins, les autorités de protection des données soulignent (voir l'avis du 9 mars 2017) que pour l'accomplissement opérationnel des tâches, par exemple pour l'évaluation de l'impact sur la protection des données, il faudrait "considérablement plus de ressources", avec "un ou deux postes au maximum".
Commentaires
Même les juristes tirent la sonnette d'alarme à propos d'un système de sanctions dans lequel les employés individuels - par exemple dans les industries de la publicité et de l'informatique - pourraient faire face à des sanctions plus sévères. L'association professionnelle Swico, l'association des fournisseurs suisses de TIC, a également formé une sous-commission et pris position :
"Le délai de six mois pour l'approbation des règles d'entreprise contraignantes par le PFPDT est beaucoup trop long, impraticable et conduit à une grande insécurité juridique. Ici, il convient d'utiliser l'ancienne réglementation des 30 jours", explique Christa Hofmann, responsable des affaires juridiques et publiques chez Swico, qui précise également que la loi actuelle sur la protection des données a accompagné de manière optimale la numérisation de la Suisse et a rempli son objectif.
L'avocat estime également que "les obligations nouvellement introduites ou étendues qui vont au-delà du niveau de protection des données européennes harmonisé par la GDPR en tant que "Swiss Finish" doivent être rejetées". Selon l'association suisse des entreprises, le cercle des employés potentiellement passibles de poursuites pénales pourrait être limité dès le départ par des contrats (conformément à l'article 29 du Code pénal suisse). En tout état de cause, ce "Swiss Finish" est trop strict en ce qui concerne la compatibilité économique future des entreprises suisses.
"L'évaluation des risques dans le cadre des nouvelles innovations de l'économie des données devrait toujours être effectuée en tenant compte d'une éventuelle poursuite pénale des employés des entreprises correspondantes, ce qui n'existe pas de cette manière dans d'autres pays européens", souligne l'Association suisse de marketing de dialogue SDV.
Swiss Finish trop strict
Si la GDPR était mise en œuvre telle que proposée, l'économie suisse et surtout les PME nationales seraient désavantagées sur le plan de la localisation. Une telle approche "isolée" pourrait désavantager la force d'innovation et le potentiel d'innovation de l'économie numérique en Suisse, en particulier les PME suisses. C'est pourquoi la "KS/CS Kommunikation Schweiz" rejette également le projet officiel.
La loi sur la protection des données ne devrait être révisée que dans la mesure où les exigences internationales la rendent obligatoire. Les organisations faîtières rejettent strictement tout "Swiss Finish" allant au-delà (particulièrement grave dans le domaine du "profilage" et du "système de sanctions"). Un tel catalogue de sanctions serait inutile dans la pratique.
Jusqu'à la consultation sur la révision, qui doit être décidée par le Parlement fin 2017, de nombreuses données continueront à transiter par les serveurs suisses. Afin de ne pas laisser le contrôle du respect de la protection des données au seul PFPDT ou aux entreprises concernées elles-mêmes, certains politiciens pourraient imaginer que le "Swiss Finish" puisse emprunter cette voie officielle :
Tout traitement intensif des données impliquerait un audit externe des données similaire à un audit financier ou autrement un responsable opérationnel de la protection des données (similaire à un responsable de l'information).
