Le Conseil d’Etat a mis sous toit le projet de révision totale de la LPrD. Ce projet révise intégralement la loi sur la protection des données et procède à des adaptations connexes dans treize autres lois. Il adapte ainsi la législation cantonale aux nouvelles conditions sociales et technologiques induites par l’explosion de l’usage des technologies de l’information et de la communication à tous les échelons de l’Etat.
Le projet de révision s’articule autour de deux axes principaux :
- D’une part, il vise à renforcer les droits et les libertés des personnes face aux traitements toujours plus nombreux et complexes de leurs données personnelles. En plus du droit d’accéder à leurs données, qui reste inchangé par rapport à la loi actuelle, il leur est possible à certaines conditions de s’opposer préventivement à la communication de certaines données à des tiers. Des obligations de transparence sont aussi ajoutées, en particulier si un organe public fait usage d’algorithmes dans le cadre d’un processus décisionnel ou s’il mène des activités de profilage.
- D’autre part, il fournit de nouveaux outils visant à améliorer la sécurité des infrastructures, des processus et de l’organisation qui soutiennent ces traitements. Conformément aux nouveaux principes de « privacy-by-design » et de « privacy-by-default », les organes qui traitent des données personnelles doivent, de manière proactive, prévoir des mesures techniques et organisationnelles adaptées aux risques encourus dès les premières étapes de la conception d’un nouveau traitement de données. Dans certains cas, une analyse d’impact relative à la protection des données peut être exigée. Des obligations d’annonce sont également introduites en cas d’incident de sécurité. En outre, le projet prévoit la création au sein de l’administration cantonale d’un réseau de personnes de référence en matière de protection des données.
À l’instar des autres autorités de protection des données en Suisse et en Europe, l’Autorité cantonale de la transparence, de la protection des données et de la médiation (ATPrDM) se voit confier de nouvelles prérogatives. Le projet lui accorde la compétence de prononcer des décisions contraignantes à l’égard des organes qui ne respectent pas les prescriptions prévues dans la loi. Répondant à une demande expresse de l’ATPrDM, le projet prévoit encore de réunir définitivement auprès d’une seule et même personne les fonctions de préposé-e à la transparence et de préposé-e à la protection des données.
Comme c’est déjà le cas aujourd’hui, la future LPrD reste toutefois une loi-cadre et transversale. Elle ne fixe pas elle-même les mesures à prendre dans chaque cas mais uniquement un ensemble de règles générales à respecter. Sa concrétisation dépend ainsi largement de la législation spéciale et des efforts apportés par les responsables du traitement eux-mêmes.
Le Grand Conseil traitera ce projet de loi cet automne.