Le 16 août 2019, la Commission des institutions politiques du Conseil national (CIP-N) a terminé l’examen du projet de révision de la loi fédérale sur la protection des données (LPD) qui sera débattu le 24 septembre au Parlement fédéral.
Le projet de révision de la LPD ne confère, à ce stade, aucun droit au Préposé fédéral d’imposer des sanctions administratives contrairement à l’Europe où le Règlement Général sur la Protection des Données (RGPD) permet de sanctionner les organisations privées et publiques à des amendes salées allant jusqu’à EUR 20 mio ou 4% du chiffre d’affaire annuel mondial.
Dans son projet, la Suisse choisit de punir individuellement des personnes privées, uniquement sur plainte, avec des sanctions pénales allant jusqu’à CHF 250’000.- en cas de violation intentionnelle ou omission d’informer et renseigner ou collaborer avec l’autorité.
Ces sanctions pénales visent les personnes physiques au premier chef.
En effet, pour ce qui était de la punissabilité directe des entreprises par le biais de sanctions administratives, le Conseil fédéral y avait renoncé. Il était d’avis que l’introduction de telles sanctions dans la LPD n’était pas souhaitable. De l’avis du conseil fédéral, ces sanctions, qui présentent un caractère pénal, doivent en effet rester exceptionnelles et se limiter à des secteurs dans lesquels le cercle des destinataires est limité (notamment cartels, jeux d’argent). En revanche, le projet renforce la responsabilité des organes dirigeants en rendant d’une part applicable l’art. 6 de loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA) (imputabilité des infractions commises au sein d’une entreprise) et, d’autre part, en permettant de sanctionner directement l’entreprise lorsque le montant de l’amende prévisible ne dépasse pas 50 000 francs et que l’identification de la personne punissable nécessite des actes d’enquête disproportionnés.