Le droit de la protection des données a été entièrement révisé afin de s’adapter aux nouvelles conditions technologiques et sociales, ainsi qu’aux exigences du droit international. Il est entré en vigueur le 1er septembre 2023.
1. Etapes préalables
La première loi fédérale sur la protection des données (LPD) date du 19 juin 1992. Avec les évolutions technologiques et sociétales et l’augmentation des menaces pesant sur la protection des données, le Conseil fédéral a jugé nécessaire de renforcer la législation en matière de protection des données.
Un groupe d’accompagnement est constitué afin de préparer un avant-projet de révision de la LPD. Sur cette base, le Conseil fédéral adopte le 15 septembre 2017 le projet de nouvelle loi fédérale sur la protection des données et le message y relatif. Cette révision vise une meilleure protection des droits des citoyennes et des citoyens, mais aussi un renforcement de l’économie, en harmonisant le droit suisse avec les standards de protection de l’Union européenne et du Conseil de l’Europe, notamment en ce qui concerne la communication transfrontière des données personnelles.
-
Projet de loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales (voir spécialement l’annexe, p. 6815)
(FF 2017 6803)
-
Message du Conseil fédéral du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales
(FF 2017 6565)
Le Parlement s’empare du projet et le scinde en deux. Dans un premier temps, il décide de ne reprendre que la directive (UE) 2016/680 (Développement de l’acquis de Schengen). Dans ce cadre, la Parlement a adopté la loi fédérale loi sur la protection des données Schengen (LPDS), qui est entrée en vigueur le 1er mars 2019, mais qui a été abrogée le 1er septembre 2023, lorsque la législation sur la protection des données entièrement révisée est entrée en vigueur. Cette loi spéciale ne concernait pas les responsables du traitement privés. Elle ne trouvait application qu’à l’égard des traitements de données personnelles effectués par les organes fédéraux dans le domaine pénal et judiciaire.
Parlement fédéral : délibérations relatives au projet 1 (Loi fédérale mettant en œuvre la directive (UE) 2016/680) et au projet 2 (Arrêté fédéral portant approbation de l’échange de notes entre la Suisse et l’Union européenne concernant la reprise de la directive (UE) 2016/680)
Dans un second temps, le Parlement attaque la révision de la loi fédérale sur la protection des données. Cette révision a non seulement pour but de répondre aux défis liés aux évolutions technologiques, mais elle vise aussi à tenir compte des développements sur le plan international, notamment des réformes du Conseil de l’Europe (Convention 108+) et de l’UE (Règlement (UE) 2016/679 pour la protection des données (RGPD) entré en vigueur le 25 mai 2018) en la matière, bien que le RGPD ne lie pas formellement la Suisse. La loi fédérale sur la protection des données a été adoptée par le Parlement le 25 septembre 2020, après des débats intenses au sein des Chambres et la tenue d’une conférence de conciliation portant notamment sur la question du profilage à risque élevé. Elle est entrée en vigueur le 1er septembre 2023.
-
Convention modernisée du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 10 octobre 2018
(Convention 108+)
- Délibérations parlementaires (17.059) sur le projet 3 (deuxième étape : révision totale de la LPD)
-
Loi fédérale sur la protection des données (LPD) du 25 septembre 2020
(LPD, RS 235.1)
Le 31 août 2022, le Conseil fédéral a adopté l’ordonnance sur la protection des données, ainsi que l’ordonnance sur les certifications en matière de protection des données. Elles viennent compléter la loi et sont entrées en vigueur le 1er septembre 2023.
-
Ordonnance sur la protection des données du 31 août 2022
(OPDo, RS 235.11)
- Rapport explicatif OPDo (PDF, 1 MB, 22.09.2022)
-
Ordonnance sur les certifications en matière de protection des données du 31 août 2022
(OCPD, RS 235.13)
- Rapport explicatif OCPD (PDF, 196 kB, 26.09.2022)
-
Directives du PFPDT sur la certification de l’organisation et de la procédure du 31 août 2023
(FF 2023 1999)
-
Directives du PFPDT sur les autres critères en matière de protection pour l’évaluation des exigences relatives à la certification des produits, des services et des processus du 31 août 2023
(FF 2023 2000)
Le Conseil fédéral a fixé l’entrée en vigueur de la loi sur la protection des données et des ordonnances y relatives (OPDo et OCPD) au 1er septembre 2023.
-
Nouveau droit de la protection des données à partir du 1er septembre 2023
Communiqué aux médias du Conseil fédéral annonçant l’entrée en vigueur du nouveau droit de la protection des données
2. Cadre international
Comme le droit suisse, le droit international se doit de tenir compte des évolutions technologiques. Au sein du Conseil de l’Europe, une première Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel avait été conclue à Strasbourg le 28 janvier 1981. Le Conseil fédéral l’a ratifiée en 1997 et elle est entrée en vigueur le 1er février 1998 pour la Suisse.
En 2018, un protocole d’amendement a été adopté afin de répondre aux défis liés aux nouvelles technologies de l’information et de la communication et de veiller à une mise en œuvre effective de la Convention. Le protocole d’amendement a été signé le 21 novembre 2019 et ratifié le 7 septembre 2023 par la Suisse.
La Convention 108 modernisée, aussi appelée Convention 108+, pourra entrer en vigueur lorsque 38 Etats parties auront ratifié le protocole d’amendement. A ce jour, la Convention 108+ n’est pas encore en vigueur.
Du côté de l’Union européenne, une première directive avait été adoptée en 1995 en matière de protection des données. La Suisse n'est cependant pas liée par cet instrument.
En 2012, la Commission européenne propose une réforme globale du droit de la protection des données adopté en 1995 dans le but de renforcer le droit à la vie privée des personnes concernées et de tenir compte de l’économie numérique. Le 27 avril 2016, le Règlement général sur la protection des données (RGPD), ainsi que la directive (UE) 2016/680 sont adoptés. Dans la mesure où elle fait partie du développement de l'acquis de Schengen, la directive (UE) 2016/680 lie la Suisse. Le RGPD, en revanche, n'est pas contraignant pour la Suisse.
- Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)
Liens
Communiqués
Javascript est requis pour afficher les communiqués de presse. Si vous ne pouvez ou ne souhaitez pas activer Javascript, veuillez utiliser le lien ci-dessous pour accéder au portail d’information de l’administration fédérale.
Dernière modification 21.09.2023