Un projet de loi déficient
Même la NZZ a rapporté cette mise en garde du préposé fédéral à la protection des données: le projet pour une nouvelle loi sur la protection des données est insuffisant. S’il n’est pas corrigé, l’Union européenne (UE) pourrait même lui refuser l’équivalence européenne.
Que s’est-il passé? Le parlement était chargé de renforcer la protection des données et de l’adapter à la transformation numérique. Mais il a fait à peu près le contraire. On ne peut en aucun cas parler ici d’un renforcement, contrairement à ce qu’a fait l’UE avec sa nouvelle législation sur la protection des données.
Une des choses les plus choquantes pour des salarié-e-s, c’est que la majorité au parlement n’a même pas prévu, dans l’article 4, de protéger le traitement de données ultrasensibles telles les affiliations syndicales. Cette lacune représente une violation ouverte du droit international pourtant ratifié par la Suisse, notamment de la Convention européenne des droits de l’homme (CEDH) ainsi que des conventions de l’OIT sur ce sujet.
L’UE est en train d’examiner le niveau de protection des données des pays tiers, dont celui de la Suisse. L’Office fédéral de la justice a dû répondre à des questions relatives à la situation légale actuelle, à l’état de la révision en cours de la loi ainsi qu’à la nature de la mission et des moyens concrets qui sont à la disposition du préposé fédéral à la protection des données.
Le résultat de cet examen devrait être disponible au printemps 2020. La Commission pourra ainsi prendre une décision au plus tard à la fin mai, comme le prescrit le règlement général de l’UE sur la protection des données. Si rien ne change dans le projet suisse de révision, Bruxelles devra vraisemblablement refuser l’équivalence à la Suisse.
Avec un projet de nouvelle loi sur la protection des données tel qu’il se présente actuellement, il n’y a qu’une chose à faire: le renvoyer à la commission avec le mandat d’élaborer un projet qui réponde au minimum aux exigences suivantes:
• être compatible avec la convention STE 108 (Conseil de l’Europe) ainsi qu’avec le droit de l’OIT;
• garantir la reconnaissance de l’équivalence avec le règlement (UE) 2016/679;
• être compatible avec les accords de Schengen;
• avoir au moins le même degré de protection que ne le garantit la LPD actuellement en vigueur.
L’auteur est secrétaire central de l’Union syndicale suisse (USS).