- Le PFPDT déplore le manque de transparence d’Once, notamment en ce qui concerne l’effacement des données et l’obligation d’informer les personnes concernées.
- Les données Once forment un profil de personnalité ; L’évaluation axée sur les risques et la catégorisation claire des prestataires de services par rapport aux responsables sont essentielles.
- Le PFPDT demande des informations plus détaillées sur les garanties de transfert à l’étranger et pose des exigences strictes en matière de révocation et de possibilités d’effacement.
Le PFPDT a approuvé le projet de loi daté du 17 mai 2023. Publication du rapport final sur les rencontres en ligne avec des recommandations. L’enquête sur les faits a apparemment été déclenchée par des indications d’utilisateurs selon lesquelles les données ne pouvaient pas être effacées chez Once.
L’objet de la clarification était avant tout la transparence, qui, du point de vue compréhensible du PFPDT, n’était pas suffisamment garantie. Les déclarations suivantes du PFPDT, qui dépassent le cadre du cas concret, sont particulièrement remarquables :
- Le seul fait d’indiquer qu’une personne dispose d’un compte chez Onceest le Sphère intime c’est-à-dire une donnée personnelle particulièrement sensible. On peut le voir ainsi, mais ce n’est pas évident. Si l’on part de la théorie des sphères, qui est à la base de la catégorie de la donnée sur la sphère intime, il faut distinguer entre le domaine public, le domaine privé et le domaine intime. La sphère intime
doit être comprise dans le sens de la “sphère intime” française ou de la “sfera intima” italienne ; elle comprend des données qu’une personne ne communique qu’à un petit nombre de personnes choisies et qui revêtent une grande importance émotionnelle pour elle. La sphère intime comprend plus que la vie sexuelle, mais ne s’étend pas, par exemple, à la situation financière (message 1988).
A la lecture du message, un terme plus restrictif s’impose. On peut au moins se demander si une déclaration sur l’adhésion à une application de rencontre – qui n’est certes plus rare – est vraiment plus délicate, par exemple une déclaration sur le salaire. Malheureusement, cette question n’est pas abordée dans le rapport final.
- Les données fournies par Once représentent globalement un Profil de personnalité Once veut en effet évaluer si deux personnes sont compatibles. C’est évident, car selon la jurisprudence, les données ont tendance à constituer un profil de la personnalité lorsqu’elles sont utilisées de manière appropriée – ce n’est donc pas seulement la valeur informative abstraite des données, mais le risque concret de déclarations correspondantes, selon le contexte d’utilisation. Cette position correspond à l’approche basée sur les risques et devrait être maintenue en Suisse – contrairement à une tendance observée dans l’UE – même pour les données personnelles sensibles.
- Certains des Prestataire de services de Once traiter les données également à des fins personnellesOnce a également fourni des données à des entreprises telles que Facebook, Google, Sendgrid, Looker, Vonage et Paypal (Once n’a pas qualifié ces données de secret d’affaires). Selon le PFPDT, le terme de “prestataire de services de Once” n’est pas approprié pour ces catégories de destinataires de données, car les destinataires qui traitent des données personnelles sous leur propre responsabilité sont des tiers et non de “simples prestataires de services ou sous-traitants”.Il faut en conclure que le PFPDT assimile la notion de prestataire de services à celle de sous-traitant et suppose que les personnes concernées sont dans le même cas. Cela ne repose sur aucun fondement. Les banques, les assureurs et les avocats sont incontestablement des prestataires de services, mais ils ne sont pas non plus des sous-traitants. Et il devrait être tout aussi clair que la personne concernée n’assimile rien à un sous-traitant, car elle ne connaît pas du tout le terme, si elle n’est pas par hasard juriste en protection des données. Il est bien entendu correct, autorisé et suffisant de désigner les prestataires de services comme “prestataires de services” dans une déclaration de protection des données. Qu’ils soient qualifiés juridiquement de sous-traitants ou de responsables ne joue aucun rôle : la LPD n’exige ni une terminologie particulière ni une qualification juridique, mais simplement l’indication des catégories de destinataires. Assez souvent, même avec toute la diligence requise, il n’est pas tout à fait clair quand un prestataire de services est un sous-traitant (et le PFPDT ne voudra guère procéder à cette qualification par question lors du contrôle des déclarations de protection des données). Et si un prestataire de services est un responsable, il a de toute façon son propre devoir d’information – la transparence nécessaire doit donc être établie par ce dernier, et non par le client.
- Le devoir d’information selon l’art. 19 nLPD comprend également une Information sur les garanties pour le transfert de données à l’étranger. Une déclaration générale sur l’utilisation de clauses contractuelles types ou d’autres “clauses de sauvegarde appropriées” n’est toutefois pas suffisante, selon le PFPDT.
- Pour quelle raison ? L’art. 19, al. 4, nLPD parle d’une communication sur “le cas échéant, les garanties prévues à l’art. 16, al. 2, ou l’application d’une exception prévue à l’art. 17”. Pourquoi ne suffit-il pas d’indiquer que le responsable travaille généralement avec les clauses contractuelles types ? Cette affirmation de circonstance reste sans fondement, mais cela dans un domaine potentiellement punissable (on peut se demander si une indication fausse ou omise des États destinataires ou des garanties peut vraiment être punissable si l’art. 60, al. 1, let. a, nLPD renvoie à l’art. 19 dans son ensemble, alors que l’art. 60, al. 1, let. b, ne renvoie expressément qu’à l’art. 19, al. 1 et 2, et non pas aussi à l’al. 4). Le fait est en tout cas que l’art. 19 nLPD ne dit rien de plus sur l’information concernant les garanties et, au moins dans le domaine d’une éventuelle punissabilité, l’interprétation du PFPDT n’entre pas en ligne de compte.
- La question de savoir si le besoin d’informations supplémentaires sur les garanties – s’il existe – relève vraiment de l’obligation d’informer ou plutôt du principe général de transparence reste ouverte ; le PFPDT n’aborde pas non plus ce point.
- Dans ce contexte, le PFPDT renvoie à titre complémentaire à un passage des clauses contractuelles types, considérant 4 :
Dans ce contexte, nous attirons l’attention sur le fait que l’obligation d’information selon l’art. 19 nLPD comprend également l’information sur les garanties utilisées pour le transfert de données à l’étranger et qu’une déclaration générale sur l’utilisation de clauses contractuelles standard ou d’autres “clauses de sauvegarde appropriées” ne suffit pas pour y satisfaire. Selon le considérant 4 des nouvelles clauses contractuelles types européennes, “cette information doit comprendre une référence aux garanties appropriées et aux moyens d’en obtenir une copie ou à l’endroit où elles sont disponibles.
Le PFPDT oublie ici deux choses : premièrement, le considérant 4 des clauses renvoie à l’art. 13, al. 1, let. f RGPD, qui prévoit expressément une telle information – mais l’art. 19, al. 4 nLPD ne le fait pas, raison pour laquelle la référence aux clauses contractuelles standard est également erronée ou non pertinente. Deuxièmement, les clauses contractuelles types abordent explicitement le sujet dans la clause 8.2(c) (dans le cas du module 1) :
Les parties fournissent à la personne concernée sur demande, une copie de ces clausesy compris l’annexe qu’ils ont remplie, à titre gracieux. […]
Or, les clauses contractuelles types ne prévoient justement pas d’informer d’une telle possibilité dans une déclaration de protection des données. En vertu de la nLPD, le responsable du traitement n’est donc clairement pas tenu d’indiquer si les clauses standard peuvent être obtenues ou où elles peuvent l’être (même si de nombreuses déclarations de protection des données contiennent un lien à cet effet).
- Le PFPDT est d’avis qu’une Le traitement des données est illégal, lorsqu’il est fait appel à un sous-traitant auprès duquel la Conditions de l’art. 10a LPD non respectées de l’entreprise. Cette déclaration n’est toutefois qu’un obiter (au fond, un rapport final est de toute façon toujours un obiter, puisqu’il n’a pas force de loi), car l’examen des traitements effectués sur mandat n’a pas fait l’objet des clarifications. Cette déclaration incidente du PFPDT touche toutefois un sujet peu éclairci : lorsqu’un responsable collabore avec un prestataire de services qui est en soi un sous-traitant, mais avec lequel il n’existe pas d’accord correspondant : Le prestataire de services est-il alors un sous-traitant sans contrat ou un responsable ? L’art. 61, let. b, nLPD semble partir d’une situation plus grave, à savoir qu’il peut être punissable de faire appel à un sous-traitant en violation de l’art. 9, al. 1, nLPD, mais ce n’est pas tout à fait clair. Ce serait en soi correct, mais cela soulève une question corollaire : Si le responsable confie un traitement de données à un prestataire de services, qui est en fait un sous-traitant, mais qu’il traite cela de la même manière qu’une communication à un tiers (c’est-à-dire qu’il renonce à un privilège), ne s’agit-il pas d’une communication à un tiers ? Du point de vue de la protection, rien ne s’oppose en tout cas à une telle appréciation.
- Comme pour l’information sur la communication à l’étranger, le PFPDT prend en charge Révocation du consentement ne déclare pas le RGPD :
Compte tenu de la sensibilité des données traitées sur l’application Once et du fait que, conformément à la directive sur la protection des données et aux indications fournies par Once Dating AG dans le cadre de la présente analyse des faits, les données ont été traitées dans le cadre de l’application Once. traitées sur la base du consentement de la personne concernée il est indispensable que les utilisateurs de l’application Once soient clairement informés de leurs possibilités de suppression et puissent exiger à tout moment la suppression immédiate de leurs données personnelles ou de leur profil. En vertu du principe de la bonne foi, chaque utilisateur doit pouvoir le demander de manière simple. Cela signifie qu’il ne doit pas être plus difficile de retirer son consentement et de demander la suppression de ses données que de donner son consentement et de créer un compte chez Once Dating AG.. […]
Ce qui complique les choses ici, c’est le fait qu’Once semble avoir demandé un consentement pour le traitement des données, même si cela n’était guère nécessaire. C’est sans doute pour cette raison que le PFPDT relie la possibilité d’effacement – un thème principal de l’enquête – à la question du consentement et de sa révocation. En soi, l’affirmation selon laquelle le consentement doit pouvoir être retiré aussi facilement qu’il a été donné n’est pas fondée en droit suisse. Le RGPD l’exige à l’article 7, paragraphe 3, mais la nLPD ne connaît pas de disposition correspondante. Le consentement doit être libre, et il ne l’est pas s’il ne peut pas être retiré de manière raisonnable, mais on ne peut pas en déduire que le retrait doit être aussi simple que la remise. Là encore, le PFPDT ne justifie pas son point de vue.
D’autres passages soulèvent des questions, comme les explications sur l’exactitude des données et la proportionnalité en cas d’utilisateurs inactifs. Dans l’ensemble, on peut regretter que le PFPDT – peu avant l’entrée en vigueur de la nLPD, alors que les incertitudes sont grandes – ne justifie même pas les appréciations juridiques. S’il ne veut pas remédier aux incertitudes juridiques, c’est une chose ; une certaine retenue de la part du régulateur – si l’on veut qualifier ainsi le PFPDT – a du bon, mais elle ne devrait pas se traduire uniquement par le fait de ne guère mettre d’outils à la disposition des praticiens, mais aussi dans les rapports finaux.