Protection des données: l’avenir s’éclaircit... un peu

Coup de jeune! La Loi sur la protection des données (LPD) est enfin modernisée. Pour le consommateur, cela signifie qu’il reprend un peu la maîtrise sur ses données, qui sont souvent collectées à son insu. Pour la FRC, c’est la fin d’un combat long, parsemé de sueurs froides et de quelques regrets. Notre association doit encore participer à la consultation sur l’ordonnance d’application.

Principe élémentaire

Sites internet, appareils connectés, applications, etc. devront intégrer dès leur conception un processus garantissant par défaut la protection des données de l’utilisateur sans que ce dernier ait à lever le petit doigt. Les sociétés ne collecteront que les informations strictement nécessaires au bon fonctionnement de leur service. Et seul l’utilisateur choisira d’étendre le traitement à des données supplémentaires en cochant les cases correspondantes.

Consentement exprès

Le principe selon lequel le traitement de données n’est soumis au consentement de l’intéressé que si une atteinte le justifie reste inchangé. Certains traitements «à risque» sont toutefois soumis à un consentement explicite. La liste a été élargie aux données génétiques et biométriques, reconnues comme des données «sensibles».

Préposé plus musclé

Il est le grand gagnant de la nouvelle loi: il aura plus de personnel pour agir, pourra, entre autres, ordonner la cessation d’un traitement de données illicite et recourir au juge pour faire respecter une décision. En revanche, il ne pourra toujours pas prononcer de sanctions. Et c’est dommage car elles auraient eu un caractère véritablement dissuasif. Si les entreprises prendront davantage de mesures pour veiller à la protection des données, la consultation du Préposé restera facultative.

Usurpation d’identité

Celui qui usurpe l’identité d’un tiers dans l’intention de lui causer un dommage ou d’obtenir un avantage sera puni. Par exemple: commander au nom d’autrui des marchandises en ligne, se faire passer pour un autre sur les réseaux sociaux. La disposition ne se limite pas au digital; elle pourra aussi être appliquée à la participation à des concours sous toutes leurs formes.

pays étranger

Le Conseil fédéral aura la compétence de déterminer si un Etat dispose d’un niveau de protection adéquat. Les entreprises devront s’y tenir. Tout le monde sera donc désormais logé à la même enseigne. Le consommateur y gagne puisque cette mesure signifie la fin de l’autocontrôle.

Vol de données

Le Préposé devra être notifié sans délai en cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de l’utilisateur. Lui ne sera informé qu’en cas de nécessité ou lorsque le Préposé l’exigera. Quant au responsable du traitement qui n’annoncera pas la faille, il encourra une amende pénale allant jusqu’à 250 000 francs.

Notes de solvabilité

La loi ne réglera pas clairement cette problématique. La situation économique d’un individu pourra toujours faire l’objet d’une note de solvabilité, à l’exception des mineurs. Cela peut notamment desservir le consommateur lors de la souscription d’un abonnement téléphonique ou pour prétendre à un logement.

Bouclier inefficace

En septembre 2019, le Préposé a invalidé l’accord (Privacy Shield) négocié pour garantir un niveau de protection adéquat et permettre ainsi le transfert de données vers les Etats-Unis. Cette recommandation à l’intention des entreprises n’est toutefois pas contraignante. Toute personne qui utilise des services impliquant un envoi de données vers ce pays, à l’exemple de Facebook, Instagram, Skype, etc., doit savoir que les autorités américaines peuvent les consulter sans motif particulier… ou se résoudre à ne pas les utiliser.