Une entreprise peut-elle empêcher la publication du rapport du garant suisse des données ? La justice décidera

En bref

Le PFPDT a confirmé que deux rapports ne sont pas publiés à ce stade, en raison de procédures judiciaires en cours liées à des contestations d’entreprises.

Le rapport d’activité 2024 2025 du PFPDT a documenté une pratique de publication systématique des décisions qui fait l’objet d’oppositions.

L’enjeu opérationnel porte sur la gestion de la transparence, l’anonymisation et la protection des secrets d’affaires lors de la publication de constats touchant des traitements de données.

Publication des décisions du PFPDT et contentieux sur les rapports

Le 1er juillet, le Préposé fédéral à la protection des données et à la transparence a publié son rapport d’activité 2024 2025 et a indiqué que sa pratique visant à publier systématiquement ses décisions a été contestée par plusieurs entreprises.

Dans ce document, l’autorité a rapporté que deux rapports ne peuvent pas être publiés pour l’instant. Le PFPDT Adrian Lobsiger a confirmé cet état de fait, sans que l’identité des entreprises concernées, la nature exacte des traitements examinés ni le stade procédural aient été documentés dans les éléments disponibles.

Nouvelle LPD et exposition des responsables au risque de publication

Depuis l’entrée en vigueur de la révision de la LPD en septembre 2023, le PFPDT a fait évoluer sa pratique, selon le rapport. La publication d’une décision ou d’un rapport d’enquête peut désormais produire un effet immédiat sur la gouvernance interne, notamment lorsqu’une organisation doit réévaluer sa base de traitement, son information aux personnes concernées ou ses mesures techniques et organisationnelles.

Dans un cas typique de conformité, une société qui externalise une fonction RH à un sous-traitant a dû revoir ses clauses contractuelles et son registre pour limiter l’exposition de données sensibles. La question devient alors pratique, quelle part d’un constat peut être rendue publique sans révéler des éléments confidentiels, tout en respectant la finalité de transparence.

La réponse dépendra de l’issue judiciaire annoncée, qui conditionne la cadence de publication des rapports en attente.

Impact conformité et articulation avec le RGPD pour les groupes actifs en Europe

Les entreprises actives sur le marché européen restent confrontées à un double niveau d’exigences lorsque le RGPD s’applique, notamment sur la sous-traitance et les transferts. Les décisions et rapports publiés en Suisse peuvent aussi être repris dans des questionnaires d’audit de partenaires européens, ce qui renforce l’importance de la cohérence documentaire.

Un groupe disposant d’un centre de services en Suisse et d’entités dans l’UE a, par exemple, aligné ses DPA et ses procédures de gestion de violation de la sécurité pour éviter des divergences entre filiales. La contestation de la publication d’un rapport du PFPDT intervient dans ce contexte, où la réputation et la charge de preuve en matière de conformité se jouent parfois en quelques jours.

Le rapport d’activité n’a pas précisé à quelle date la justice doit trancher ni si une publication partielle, après anonymisation, a été envisagée pour les deux rapports concernés.

La question de savoir si une entreprise peut empêcher la publication d’un rapport du garant suisse des données reste donc suspendue à une décision judiciaire non datée dans les sources disponibles.

Qu’est-ce qui est confirmé sur les rapports non publiés ?

Le PFPDT a indiqué dans son rapport d’activité 2024 2025 que deux rapports ne peuvent pas être publiés pour l’instant et Adrian Lobsiger l’a confirmé, sans autres précisions documentées dans les éléments disponibles.

Pourquoi des entreprises contestent-elles la publication ?

Selon le rapport d’activité, plusieurs entreprises contestent devant la justice l’interprétation de la loi et, dans ce contexte, la pratique de publication systématique des décisions par l’autorité de surveillance.

Quel impact pratique pour un responsable du traitement en Suisse ?

La perspective d’une publication renforce la nécessité de documenter la finalité, la proportionnalité, l’information, le registre et les mesures techniques et organisationnelles, ainsi que les relations avec les sous-traitants, car les constats peuvent devenir visibles au-delà du dossier.

Le RGPD joue-t-il un rôle dans ce type de situation ?

Lorsque le RGPD s’applique à une entreprise suisse, la cohérence des DPA, des transferts et des procédures de sécurité peut être scrutée par des partenaires ou autorités européennes, ce qui peut amplifier les effets d’une publication en Suisse, sans que le rapport d’activité n’entre dans le détail de cas précis.

Source: www.letemps.ch