22_LEG_65 - EMPL sur la protection des données personnelles dans le cadre de l'application de l'acquis de Schengen dans le domaine pénal, modifiant la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD), modifiant la loi du 1er décembre 1980 sur les dossiers de police judiciaire (LDPJu) - Protection des données Schengen (1er débat).

Séance du Grand Conseil du mardi 2 mai 2023, point 32 de l'ordre du jour

Documents

Transcriptions

Visionner le débat de ce point à l'ordre du jour
Mme Florence Bettschart-Narbel (PLR) — Rapporteur-trice

La Commission thématique des affaires juridiques s’est réunie le vendredi 30 septembre 2022. Etaient présents : M. Venizelos et M. Vincent Delay, chef de la police administrative à la Police cantonale. Cet exposé des motifs et projet de loi prévoit de mettre en œuvre, dans notre droit cantonal, la directive européenne de 2016 sur la protection des personnes physiques dans le traitement de leurs données personnelles par les autorités compétentes. Cette directive européenne s’applique uniquement aux échanges d’informations dans le cadre de l’application des accords de Schengen. Dans le système prévu, la directive européenne fixe le cadre, la loi fédérale s’y aligne, puis les cantons introduisent le dispositif dans leur législation respective. La législation cantonale ne doit pas reprendre tous les éléments du droit fédéral, dans la mesure où ce dernier a un champ d’application plus étendu, intégrant d’autres directives européennes et régissant tant le secteur public fédéral que le secteur privé. Dans le droit vaudois, sont notamment ajoutés : la notion de profilage, la notion de décision individuelle automatisée ou le registre des activités de traitement.

Sur la forme, plusieurs options ont été analysées, mais du moment où il est envisagé une révision de la Loi sur la protection des données vaudoise d’ici le début de l’année 2024, il était plus judicieux de proposer une loi spécifique pour les questions de l’acquis de Schengen. En effet, il existe une commission d’évaluation Schengen qui va visiter les différents Etats et qui vérifie que les différents cantons sont en conformité avec le droit européen en ce qui concerne l’acquis de Schengen. La visite qui avait été fixée en 2020 a été annulée en raison du Covid et depuis, aucune nouvelle date n'a été agendée, mais nous savons qu’un contrôle risque d’arriver relativement rapidement à ce sujet.

Lors de la discussion générale, de nombreux commissaires se sont demandé s’il fallait prévoir deux lois ou attendre la révision générale de la Loi sur la protection des données vaudoise qui est prochainement agendée. Finalement, le département nous a expliqué qu’il était plus simple de faire une loi spéciale sur tout ce qui concerne les accords de Schengen, qui sont en perpétuelle évolution, puis la Loi sur la protection des données sera révisée par la suite. Il n’est pas envisagé de fusionner les deux lois, à l’échéance ; elles resteront dans les deux cas en vigueur. Il y aura, d’une part, une Loi générale vaudoise sur la protection des données qui va être révisée prochainement et pour laquelle nous attendons un calendrier de révision – une révision attendue depuis longtemps – et, d’autre part, une Loi spéciale sur la protection des données personnelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal.

Il est donc urgent d’adopter cette loi à cause du risque de contrôle par la Commission d’évaluation européenne, selon le chef de la police administrative. Il a aussi été demandé à ce dernier si des sanctions pouvaient être infligées aux cantons, par la commission. Il a répondu qu’en cas de contrôle, un délai de mise en conformité est prévu et que si ce dernier n’est pas respecté, cela pourrait donner lieu à certaines sanctions. Les autres cantons suisses sont aussi en train de réviser leur loi et de les mettre en conformité avec l’intégration des acquis de Schengen. Evidemment, lorsqu’un canton élabore une loi et l’adopte, les autres cantons peuvent prendre le pas sur cette loi. Certains cantons attendent donc que le canton de Vaud adopte sa loi spéciale à ce sujet.

En commission, il n’y a pas eu de discussion particulière sur les autres projets de loi qui nous ont été proposés et l’entrée en matière a été acceptée à l’unanimité.

Mme Séverine Evéquoz (VER) — Président-e

Je vous propose une discussion d’entrée en matière commune pour les trois projets de loi, puis nous voterons les entrées en matière individuellement pour chacun d’entre eux.

La discussion sur l’entrée en matière est ouverte.

M. David Raedler (VER) —

D’emblée, je déclare mes intérêts : mon étude d’avocat a rédigé notamment l’avis de droit mentionné dans le rapport du Conseil d’Etat, sous la plume d’un de mes associés, Sylvain Métille, et d’une collaboratrice, Annelise Ackermann. Par ailleurs, je suis spécialisé en protection des données. A ce titre, j’aimerais apporter deux constats en complément de ce qui a été dit par la rapporteuse de la commission.

Premièrement – et c’est à déplorer – vient le fait que nous devions adopter cette loi sans avoir d’avant-projet, ni une ébauche, un brouillon ou un petit quelque chose d’une nouvelle loi cantonale sur la protection des données. Il faut bien se rendre compte que la loi fédérale a été adoptée le 26 septembre 2020, cela fait déjà deux ans et demi. L’avant-projet de la loi fédérale nous avait été communiqué en 2018 et l’idée d’une révision de la loi fédérale remontait à 2010. Dans ce contexte, il faut bien se rendre compte que le canton de Vaud est le seul canton romand qui n’a même pas un avant-projet de loi cantonale sur la protection des données, alors que le Jura et Neuchâtel ont déjà publié et adopté une nouvelle loi, qui est entrée en vigueur. Le Grand Conseil valaisan en a aussi adopté une, alors que Genève, Fribourg et Berne ont au moins présenté un avant-projet. Dans le rapport du Conseil d’Etat, il est indiqué que la nouvelle Loi sur la protection des données (LPrD), que nous attendons serait présentée à notre Grand Conseil dans le courant de l’année 2023. Malheureusement, j’en doute : je vous rappelle qu’en 2020, j’avais demandé au Conseil d’Etat où nous en étions à ce sujet et on m’avait répondu : « C’est dans les cartons, nous allons tout bientôt la sortir. » C’était aussi il y a deux ans et demi… On sait que le chasselas est délicieux dans notre canton, mais cela ne justifie pas d’avoir d’aussi grands retards dans des lois absolument centrales.

Deuxièmement, la loi qui nous est soumise maintenant – la LPrDS soit la LPRD liée à l’acquis de Schengen – est une loi sur laquelle nous n’avons absolument aucun choix. Cela a très bien été expliqué par Mme la rapporteuse : nous devons l’adopter pour éviter des risques de sanction ou de non-conformité avec le cadre légal international et national applicable. Le problème que nous avons avec ces deux lois – la LPrDS que nous allons adopter maintenant et la LPrD – c’est que la loi Schengen est plus protectrice que la LPrD, alors qu’elle vise des traitements de données qui sont beaucoup plus restrictifs. La loi Schengen, qui est une loi « accessoire » à la LPrD, renvoie à celle-ci dans des manières qui ne sont malheureusement pas exactes. Je vais vous donner un exemple : pour être conforme à l’acquis de Schengen, la LPrDS renvoie à la LPrD pour ce qui est des données génétiques et biométriques, en indiquant que ce sont des données sensibles au sens de la LPrD, alors que c’est faux, car précisément, la LPrD est trop vieille et elle ne prévoit pas les données génétiques et biométriques. Donc le renvoi vers cette loi est faux et c’est une sorte d’ « aguillage ».

Sans vouloir critiquer le projet lui-même et ce qu’a fait le Conseil d’Etat pour Schengen, je constate malheureusement que, ces dernières années, le Conseil d’Etat s’est endormi sur le sujet de la LPrD. Pourtant, ce n’est pas compliqué. Il y a une loi fédérale et on peut plus ou moins faire un copier-coller de celle-ci dans les obligations qu’elle impose aux organes fédéraux pour le placer dans le niveau cantonal. Il est inexcusable avoir un tel retard et cela nous place malheureusement dans une situation délicate. Je vous le dis en tant que professionnel : en pratique, il est délicat de manœuvrer et ce le sera d’autant plus au 1er septembre 2023, sachant que la LPrD – le droit cantonal – régit les traitements de données faits par les cantons, mais également et surtout par les communes. Tous les syndics et les municipaux présents dans cette salle doivent naturellement connaître la LPrD et l’appliquer ; ils seront toujours plus confrontés aux problèmes liés à la vieillesse de notre loi et au fait qu’elle n’est plus compatible avec des exigences actuelles et avec la réalité technique actuelle.

En conclusion, la LPrDS est bénéfique, dans l’absolu, parce qu’elle présuppose ce que nous aurons dans le cadre de la LPrD. C’est un texte que nous devons accepter, parce que nous n’avons pas le choix, mais aussi parce que c’est un texte protecteur qui va dans le sens des exigences et des obligations légales du canton. Pour finir, je souhaite que l’on arrête de retarder encore la LPrD et que l’on ait enfin un calendrier, un avant-projet et un projet sur lequel nous pourrons voter. C’est vraiment urgent et nécessaire !

M. Grégory Bovay (PLR) —

Au nom du groupe PLR, je vous invite à suivre le projet de loi tel que présenté. Je ne vais pas revenir sur les éléments présentés par la rapporteuse de la commission, puisque je les partage. Toutefois, je rejoins également mon collègue Raedler sur la question de la LPrD, mais de là à dire qu’il y a urgence à adopter la LPrDS à cause du risque de contrôle par la commission d’évaluation européenne, comme cela est noté dans le rapport, il faut savoir raison garder. La non-mise en conformité de la loi cantonale aux normes européennes pourrait potentiellement mener l’Etat à se voir infliger des sanctions pouvant aller jusqu’à la sortie de la Suisse des accords de Schengen, mais d’ici là, je pense que nous avons le temps de voir venir. Toujours est-il que je vous invite à soutenir le projet de loi tel que présenté.

M. Vassilis Venizelos (C-DJES) — Conseiller-ère d’Etat

Je me permets de réagir au cri du cœur du député Raedler, que je comprends. J’étais moi-même député au moment où nous débattions de la loi sur la protection des données. Je peux néanmoins le rassurer : le Conseil d’Etat et l’administration travaillent d’arrache-pied sur ce projet de loi. Vous le savez, plusieurs autorités sont concernées et impactées par le projet de loi, tout comme plusieurs services de l’administration. C’est donc un exercice fortement complexe qui est engagé dans cette nouvelle législature. Néanmoins, monsieur le député, je vous rassure : le dossier n’est pas dans un carton ou dans un tiroir ; il est bel et bien traité par le Conseil d’Etat.

En ce qui concerne le deuxième aspect relevé précédemment – les données biométriques qui ne seraient pas prises en compte par la loi sur la protection des données personnelles – je peux également vous rassurer : il faut considérer que les données biométriques sont incluses dans ce que l’on entend par « données sensibles ». Lorsque l’on parle de données sensibles, on parle aussi de données biométriques. Dès lors, il n’y a pas de manque dans le dispositif légal qui vous est proposé. Evidemment, ces données biométriques vont être considérées et traitées comme des données sensibles au sens de la loi.

Mme Séverine Evéquoz (VER) — Président-e

La discussion est close.

Projet de loi sur la protection des données personnelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal

Premier débat

L’entrée en matière est admise à l’unanimité.

Art. 1 à 6. –

Mme Florence Bettschart-Narbel (PLR) — Rapporteur-trice

Il y a eu quelques discussions sur ces articles 1 à 6. A l’article 1 s’est posée la question de la durée de conservation des données. On nous a dit que, en général, ces données sont conservées dans le même délai que la prescription de l’action pénale. Par exemple, pour un assassinat, le dossier sera archivé pendant trente ans, car il peut encore être utile. Pour les autres infractions, le délai court en général entre 10 et 15 ans.

Concernant l’article 2, on nous a demandé de définir ce qu’était une « décision individuelle automatisée ». L’exemple donné postule qu’à l’avenir, il y aura peut-être des algorithmes qui prendront certaines décisions. Pour l’instant, cela n’existe pas chez nous, mais l’exemple typique du radar a été cité : aujourd’hui, en Suisse, lorsqu’une voiture est flashée, il y a toujours un humain au bout de la chaîne pour envoyer la lettre et l’amende à l’automobiliste, mais au niveau européen, il existe déjà des systèmes entièrement automatisés. Cela pourrait entrer dans le type des décisions automatisées.

Pour l’article 4, il est fait mention d’une protection des données « dès la conception et par défaut ». S’il devait y avoir des données de personnes tierces, il s’agissait de savoir si ces dernières seraient aussi protégées. On nous a dit que ce serait aussi le cas. En conclusion, les articles 1 à 6 ont été adoptés à l’unanimité par les membres de la commission.

Mme Séverine Evéquoz (VER) — Président-e

Les articles 1 à 6 sont acceptés à l’unanimité.

Les articles 7 à 16 et 17, formule d’exécution, sont acceptés à l’unanimité.

Le projet de loi est adopté en premier débat.

Projet de loimodifiant la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD)

Premier débat

L’entrée en matière est admise à l’unanimité.

Le projet de loi est adopté en premier débat à l'unanimité.

Projet de loi modifiant la loi du 1er décembre 1980 sur les dossiers de police judiciaire (LDPJu)

Premier débat

L’entrée en matière est admise à l’unanimité.

Le projet de loi est adopté en premier débat à l'unanimité.

Mme Florence Bettschart-Narbel (PLR) — Rapporteur-trice

Etant donné le débat relativement serein sur ces objets, je demande un deuxième débat immédiat pour ces trois objets. Ainsi, nous éviterons d’être sanctionnés par la Commission européenne.

Mme Séverine Evéquoz (VER) — Président-e

Le deuxième débat immédiat est admis à la majorité des trois quarts (107 voix contre 2 et 6 abstentions).

Projet de loi sur la protection des données personnelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal

Deuxième débat

Le projet de loi est adopté en deuxième débat et définitivement à l’unanimité.

Projet de loimodifiant la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD)

Deuxième débat

Le projet de loi est adopté en deuxième débat et définitivement à l’unanimité.

Projet de loi modifiant la loi du 1er décembre 1980 sur les dossiers de police judiciaire (LDPJu)

Deuxième débat

Le projet de loi est adopté en deuxième débat et définitivement à l’unanimité.

Retour à l'ordre du jour

Partager la page

Partager sur :