28.1.2019, AO/MS
La Commission nationale française de l'informatique et des libertés (CNIL) a infligé le 21 janvier dernier une amende de 50 millions à Google, en raison du manque de transparence et d’information lors de la collecte des données et estimant que le consentement des utilisateurs n’était pas valablement recueilli.
Ce montant est critiqué et considéré dérisoire pour ce géant du net, alors que le Règlement européen concernant la protection des données des utilisateurs (RGPD) permet d’infliger une amende allant jusqu’à 4% du chiffre d’affaire. Mais que devrait-on dire ici en Suisse?
Les utilisateurs suisses moins bien lotis que leurs voisins européens
Parmi les modifications proposées dans la révision de la Loi sur la protection des données (LPD), celle de plafonner l’amende en cas de violation à 250’000 francs (contre les 500’000 francs portés par l’avant-projet, qui représentaient déjà une somme ridicule). Autant dire que l’effet dissuasif voulu n’est pas atteint. En effet, une amende de 250’000 francs, voire même de 500’000 francs, représente une goutte d’eau pour des entreprises comme Google ou Facebook, qui génèrent des milliards de dollars de chiffre d’affaire chaque année.
En outre, ce projet de loi entend diriger les sanctions contre les personnes physiques responsables du traitement au lieu de viser les entreprises. Là encore, la révision manque le coche. Sans compter les difficultés pratiques liées à l’identification des personnes responsables du traitement au sein d’une grosse structure, on regrette que l’entreprise ne fasse pas elle-même l’objet de l’amende, afin de l’amener à respecter la loi au lieu de se trouver un bouc-émissaire.
Enfin, alors que la plainte a été portée devant la CNIL par deux associations, totalisant 10’000 membres, une telle action collective n’est malheureusement pas possible en Suisse à l’heure actuelle. En effet, la proposition d’introduire un droit d’action collective dans la nouvelle LPD a été balayée, au motif qu’elle sera examinée dans le cadre de la révision du Code de procédure civile. En attendant, les consommateurs restent démunis face aux grosses structures et sont découragés de faire valoir leurs droits.
Force est de constater qu’en Suisse, les GAFA ont encore des jours paisibles devant eux!
L’amélioration de la protection des données en Suisse ne peut pas se contenter uniquement de l’inscription de nouvelles garanties dans la loi, mais doit également passer par la mise en œuvre de ces garanties. Il est primordial que le projet dissuade véritablement les entreprises de violer le droit à la protection des données, par des sanctions sévères et un accès facilité des consommateurs à la justice.
La FRC a fait parvenir ses recommandations à la Commission des Institutions Politiques du Conseil national, laquelle se penchera ces prochaines semaines sur la révision de la LPD.