Loi sur la protection des données (LPD)
Message sur l’ingress
Le Conseil fédéral estime qu’il convient d’insérer l’art. 97, al. 1, Cst. dans le préambule. Celui-ci attribue à la Confédération la compétence de réglementer la protection des consommateurs. En effet, le P‑LPD contient certaines dispositions qui améliorent notamment la transparence du traitement des données, le contrôle par les personnes concernées et le système de surveillance du préposé. Les consommateurs et consommatrices sont ainsi mieux protégés.
La présente loi a pour but de protéger la personnalité et les droits fondamentaux des personnes physiques au sujet desquelles des données personnelles sont traitées.
Bot Art. 1 But (comptage selon projet)
Le but de la future LPD correspond au but du droit en vigueur (art. 1 LPD). La LPD concrétise au niveau de la loi le droit à l’autodétermination en matière d’information en relation avec les données personnelles, inscrit à l’article 13, 2e alinéa, Cst., c’est-à-dire le droit de la personne concernée de déterminer en principe elle-même si des données la concernant peuvent être traitées et à quelles fins. La disposition n’est modifiée que sur le plan rédactionnel, en limitant expressément la protection aux personnes physiques. Cette adaptation est due à la modification du champ d’application (voir les explications relatives à l’art. 2 P‑LPD).
Bot Art. 2 Champ d’application (recensement selon projet)
Le champ d’application de la LPD est partiellement élargi par le P‑LPD, notamment pour répondre aux exigences du P‑SEV 108. Il est ainsi prévu d’adapter les exceptions relatives aux procès civils en cours, aux procédures pénales, aux procédures d’entraide judiciaire internationale ainsi qu’aux procédures de droit public et administratif (art. 2, al. 2, let. c, LPD) et celle concernant les registres publics des relations juridiques privées (art. 2, al. 2, let. d, LPD). En outre, il convient de souligner que le P‑LPD, tout comme le droit actuel, régit le droit de la protection des données en général. Si le traitement de données personnelles relève du champ d’application d’autres lois fédérales, ce sont en principe les normes de protection des données spécifiques au domaine qui s’appliquent en vertu de la règle de la lex specialis (les normes particulières priment la norme générale).
Alinéa 1 Application aux personnes physiques
Selon l’avant-projet, la LPD s’applique au traitement des données de personnes physiques par des personnes privées et des organes fédéraux.
Suppression de la protection des données des personnes morales
Avec la P‑LPD, il est proposé de renoncer à la protection des données des personnes morales. Les dispositions de l’Union européenne et du Conseil de l’Europe en matière de protection des données, ainsi que les réglementations correspondantes de la plupart des législateurs étrangers, ne prévoient pas une telle protection. Cette protection n’a que peu d’importance pratique et le préposé n’a jamais émis de recommandation dans ce domaine. De même, pour les personnes morales, une protection globale reste inchangée, telle qu’elle est assurée au niveau constitutionnel par les articles 28 et suivants du Code civil (atteintes à la personnalité, comme par exemple l’atteinte à la réputation), la LCD, la loi sur le droit d’auteur du 9 octobre 1992 ou par les dispositions relatives à la protection des secrets professionnels, d’affaires et de fabrication, ainsi que par l’article 13 Cst. La modification permet cependant d’améliorer la protection dans les domaines où elle n’est actuellement pas suffisamment mise en œuvre et d’augmenter ainsi la crédibilité de la loi. Cette solution présente également l’avantage que la communication de données de personnes morales à l’étranger ne dépend plus de l’existence d’une protection adéquate dans le pays destinataire (art. 13 P‑LPD). Cela contribuera vraisemblablement à une augmentation de la communication à l’étranger. Il convient également de noter que la plupart des experts interrogés dans le cadre de l’AIR sur la révision de la LPD, ainsi que la majorité des participants à la consultation, étaient favorables à l’abandon de la protection des données des personnes morales. Il en va de même pour le Parlement, qui n’a pas approuvé une motion visant à maintenir la protection des données des personnes morales.
Dans le domaine du traitement des données par les organes fédéraux, la suppression de la protection des données des personnes morales a pour conséquence que les bases légales fédérales autorisant les organes fédéraux à traiter des données personnelles ne sont plus applicables lorsque ceux-ci traitent des données de personnes morales. Or, selon l’article 5 Cst., le fondement de l’action de l’État est le droit. C’est pourquoi le projet de loi introduit dans la LOGA, pour les organes fédéraux, une série de dispositions qui règlent leur traitement des données des personnes morales (cf. ch. 9.2.8). En outre, une disposition transitoire doit permettre d’éviter d’éventuelles lacunes juridiques pendant cinq ans (cf. art. 66 P‑LPD ainsi que les explications sous ch. 9.1.11).
La loi sur la transparence du 17 décembre 2004 (LTrans) accorde à toute personne le droit de consulter les documents officiels des autorités fédérales auxquels s’applique le principe de transparence. Le nouveau champ d’application de la P‑LPD a pour conséquence que l’accès aux documents officiels contenant des données de personnes morales ne peut plus être restreint pour des raisons de protection des données, mais uniquement si cela peut entraîner la divulgation de secrets professionnels, d’affaires ou de fabrication (art. 7, al. 1, let. g, LTrans) ou s’il y a un risque d’atteinte à la sphère privée de la personne morale, par exemple à sa bonne réputation. Afin de garantir les droits des personnes morales en matière d’accès aux documents officiels lorsqu’une demande porte sur des documents dont l’octroi de l’accès pourrait porter atteinte à la sphère privée de la personne morale, le projet de loi adapte certaines dispositions de la LTrans (voir ch. 9.2.7).
La suppression de la protection des données des personnes morales a également pour effet que celles-ci ne peuvent plus faire valoir de droit d’accès sur la base de la LPD. Elles peuvent toutefois faire valoir leurs droits procéduraux et, le cas échéant, demander à consulter des documents publics sur la base de la loi sur la transparence si ceux-ci contiennent des informations qui les concernent.
al. 2 Exclusions du champ d’application
Comme auparavant, la LPD n’est pas applicable aux données personnelles traitées par une personne physique pour son usage personnel uniquement (art. 2, al. 2, let. a, P‑LPD) ; l’adaptation rédactionnelle n’implique pas de modifications matérielles.
Est également exclu du champ d’application le traitement de données personnelles effectué par les Chambres fédérales et les commissions parlementaires dans le cadre de leurs délibérations (art. 2, al. 2, let. b, P‑LPD) ; ceci pour les mêmes raisons que celles déjà invoquées par le Conseil fédéral dans son message du 23 mars 1988.
La let. c prévoit que les bénéficiaires institutionnels visés à l’art. 2, al. 1, de la loi du 22 juin 2007 sur l’État hôte (LEH), qui jouissent de l’immunité de juridiction en Suisse, ne sont pas soumis au P‑LPD. En ce qui concerne le CICR, la situation actuelle est ainsi maintenue et les autres bénéficiaires institutionnels concernés sont expressément mentionnés. Ces autres bénéficiaires institutionnels concernés jouissent également, en vertu du droit international public et de la LEIS elle-même, d’une indépendance et d’une liberté d’action leur permettant de remplir leurs fonctions internationales. On ne peut pas attendre d’un État qu’il se soumette aux règles du droit suisse en ce qui concerne les données traitées par ses représentations diplomatiques ou consulaires. De son côté, la Suisse n’est pas tenue de respecter les règles étrangères en matière de protection des données en ce qui concerne son réseau de représentations à l’étranger. On ne peut pas non plus exiger d’une organisation internationale qui, par définition, mène des activités dans de nombreux États, qu’elle se conforme aux exigences du droit national de chacun des États dans lesquels elle opère, car cela l’empêcherait de remplir les fonctions qui lui sont attribuées en vertu de ses statuts.
al. 3 Traitement de données personnelles dans le cadre de procédures
Selon l’art. 2, al. 3, P‑LPD, le droit de procédure applicable régit le traitement des données personnelles et les droits des personnes concernées dans les procédures judiciaires et dans les procédures régies par des codes de procédure fédéraux. Cette disposition règle le rapport entre la LPD et le droit de procédure et pose comme principe général que seul le droit de procédure applicable détermine la manière dont les données personnelles sont traitées dans le cadre de la procédure et comment les droits des personnes concernées sont aménagés. Le droit de procédure assure également, dans le cadre de ses dispositions, la protection de la personnalité et des droits fondamentaux de toutes les personnes concernées et garantit ainsi une protection équivalente à celle de la LPD. Si la LPD était appliquée dans ce domaine, il y aurait un risque de conflits de normes et de contradictions qui pourraient perturber le système équilibré des règles de procédure applicables. Pour ces raisons, l’article 9, paragraphe 1, point a), du P‑DEV 108 prévoit également une exception correspondante. Sur le plan matériel, la réglementation du P‑LPD correspond au droit en vigueur.
Selon le libellé, l’exception prévue au paragraphe 3 concerne tout d’abord les “procédures judiciaires”. Il s’agit de toutes les procédures devant les tribunaux pénaux, civils et administratifs cantonaux et fédéraux, mais aussi devant les tribunaux arbitraux ayant leur siège en Suisse. En outre, l’exception s’applique à toutes les procédures régies par les codes de procédure fédéraux, quelle que soit l’autorité devant laquelle elles se déroulent. Les codes de procédure fédéraux comprennent notamment la loi sur le Tribunal fédéral du 17 juin 2005 (LTF), la loi sur le Tribunal administratif du 17 juin 2005 (LTAF), la loi sur le Tribunal fédéral des brevets du 20 mars 2009, la PA, dans la mesure où il ne s’agit pas de la procédure administrative de première instance, le Code de procédure civile (CPC), la loi fédérale du 11 avril 1889 sur la poursuite pour dettes et la faillite (LP), le CPP, le DPA, la procédure pénale militaire du 23 mars 1979 et l’EIMP.
Contrairement au droit actuel, le P‑LPD renonce à la notion de procédure pendante, car il n’est question de litispendance que dans le droit de procédure civile et cette notion a donc parfois posé des problèmes de délimitation. Ce qui est désormais déterminant, c’est de savoir si une procédure se déroule devant un tribunal ou si elle est régie par un code de procédure fédéral. Une procédure a lieu devant un tribunal lorsque celui-ci est saisi pour la première fois d’une affaire en ce sens que la procédure a été engagée conformément au règlement de procédure déterminant. Une procédure est régie par des règles de procédure fédérales dès lors qu’une situation donnée est traitée par une autorité conformément aux dispositions de l’une de ces lois. Le règlement de procédure déterminant reste applicable même après la clôture de la procédure. Afin que la situation du dossier ne puisse pas être modifiée ultérieurement par des instruments étrangers à la procédure, le droit de procédure prévoit des procédures autonomes pour la mise à jour du dossier, la consultation du dossier et la conservation du dossier. Le critère essentiel de délimitation pour la non-applicabilité de la LPD est donc en résumé de savoir si, d’un point de vue fonctionnel, il existe ou non un lien direct avec une procédure (judiciaire). Il y a lien lorsque le traitement de données personnelles en question peut avoir des conséquences concrètes sur cette procédure ou sur son issue ou sur les droits procéduraux des parties.
Lorsque la disposition de l’alinéa 3 s’applique, seul le droit de procédure applicable régit le traitement des données personnelles et les droits des personnes concernées. Tant les traitements de données effectués par le tribunal à l’égard des parties à la procédure que les traitements de données effectués par les parties à l’égard d’autres parties à la procédure sont régis par le droit de procédure applicable. Cela vaut en particulier pour les droits des parties de prendre connaissance des données entrant dans la procédure et de rectifier éventuellement certaines données, ainsi que pour le traitement des données dans le cadre des procédures judiciaires en général. Cela signifie notamment que les différentes voies de recours prévues par la LPD ne s’appliquent ni aux traitements de données effectués par le tribunal dans le cadre de la procédure, ni aux traitements de données effectués par les autres parties à la procédure. Ainsi, les parties à la procédure ne peuvent par exemple pas faire valoir un droit d’accès selon la LPD pour consulter le dossier auprès du tribunal ou pour se procurer des moyens de preuve auprès d’autres parties à la procédure (voir à ce sujet le ch. 9.1.5). En d’autres termes, il n’est pas possible, par le biais de la LPD, de procéder à des actes pertinents pour la procédure vis-à-vis du tribunal ou entre les parties à la procédure qui seraient exclus en vertu du droit de procédure en question ou qui, à l’inverse, doivent être effectués dans certaines conditions selon certaines règles et certains principes. Même après la clôture de la procédure, les dossiers ne peuvent être modifiés que conformément aux règles du droit procédural (rectification, explication, révision), car les dossiers doivent correspondre au résultat d’une procédure. Il n’est donc pas exclu que le droit de procédure applicable déclare la LPD applicable après la clôture de la procédure (cf. art. 99 CPP). Dans la mesure où le droit de procédure applicable ne contient pas de dispositions relatives au droit de consultation du dossier par des tiers après la clôture de la procédure, l’application du droit devrait s’orienter sur les dispositions de la LPD.
Contrairement au projet mis en consultation, l’al. 3 n’exclut donc plus du champ d’application de la LPD uniquement les traitements de données effectués par certaines institutions, ce qui a été fortement critiqué lors de la consultation. Au contraire, les traitements de données effectués par les partis sont également concernés. En outre, le conflit de normes est résolu d’une autre manière, dans la mesure où la norme détermine le droit applicable. Pour les tribunaux fédéraux en particulier, cela signifie qu’ils sont exclus du champ d’application de la LPD en ce qui concerne les traitements de données effectués dans le cadre de leur activité juridictionnelle, ce qui permet de tenir compte de la séparation des pouvoirs.
Inversement, il découle toutefois aussi de l’article 2, paragraphe 3, que la LPD est applicable aux traitements de données effectués par les services administratifs des tribunaux et des autorités, comme par exemple le traitement de données relatives au personnel. De même, les tribunaux doivent garantir la sécurité des données lors de l’archivage des preuves et des décisions. Il existe toutefois des exceptions à la surveillance exercée par le préposé (cf. art. 3, al. 2, P‑LPD et les explications).
Selon la deuxième phrase, la disposition de l’article 2, paragraphe 3, P‑LPD ne s’applique pas aux procédures administratives de première instance. Cette règle issue du droit en vigueur est maintenue sans modification.
al. 4 Registres publics de droit privé
L’exception prévue à l’article 2, paragraphe 2, point d), LPD, concernant les registres publics de droit privé, n’est pas compatible avec les exigences de l’article 3 du P‑SEV 108. En effet, la future convention ne prévoit pas d’exception pour de tels registres. Il en va de même pour le règlement (UE) 2016/679.
Même s’il est dans l’intérêt des personnes concernées que les registres publics des transactions privées respectent les principes de protection des données, il existe également un intérêt public à la tenue de ces registres et à l’accès à ceux-ci (voir considérant 73 du règlement [UE] 2016/679). Dans un arrêt du 9 mars 2017, la Cour de justice de l’Union européenne a eu l’occasion de se prononcer sur la délimitation entre la protection des données et le caractère public d’un registre du commerce tenu par les autorités italiennes. Dans cette affaire, un ancien administrateur et liquidateur d’une société en faillite demandait la suppression de certaines données le concernant dans ledit registre. Pour régler ce litige, la Cour de cassation italienne a demandé à la Cour de justice d’examiner si le principe de conservation des données, consacré à l’article 6, paragraphe 1, point e), de la directive 95/46/CE, devait prévaloir sur le régime de publicité des registres du commerce, comme le prévoyait la première directive 68/151/CEE. En vertu de ce principe, les données à caractère personnel sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.
Selon la Cour, la publicité du registre du commerce vise à garantir la sécurité juridique entre les entreprises et les tiers et à permettre à ces derniers de prendre connaissance des activités essentielles de l’entreprise concernée et de certaines données relatives aux personnes habilitées à la représenter. La publicité de ces informations se justifie également après la dissolution d’une entreprise. En effet, il peut s’avérer nécessaire, par exemple, de vérifier la légalité des actes d’une entreprise durant son activité en vue d’une éventuelle procédure judiciaire. Or, selon la Cour, les différentes règles de prescription en vigueur dans les États membres empêchent de fixer un délai uniforme à compter de la dissolution de l’entreprise, à l’issue duquel les données inscrites au registre du commerce ne sont plus nécessaires. Dans ce contexte, la Cour constate que l’article 6, paragraphe 1, point e), de la directive 95/46/CE ne permet pas aux États membres de garantir aux personnes concernées, par exemple, un droit à l’effacement de leurs données personnelles après un délai déterminé à compter de la dissolution de l’entreprise. Si la sécurité juridique et la protection des intérêts des tiers prévalent, il n’est néanmoins pas exclu qu’une personne puisse, dans des situations particulières et exceptionnelles, faire valoir un intérêt prépondérant et digne de protection à ce que l’accès à ses données personnelles soit limité. La Cour conclut donc qu’il appartient aux États membres de déterminer si les personnes concernées peuvent exiger de l’autorité chargée de la tenue du registre qu’elle examine, au cas par cas, si un intérêt supérieur digne de protection justifie exceptionnellement de restreindre l’accès à leurs données personnelles à l’expiration d’un délai suffisant après la dissolution de l’entreprise concernée. Bien que l’arrêt de la Cour se fonde sur la directive 95/46/CE, qui ne sera plus applicable à partir de l’entrée en vigueur du règlement (UE) 2016/679, les considérations de cet arrêt conservent leur validité pour la nouvelle législation.
Conformément au principe énoncé à l’article 9 du code civil, les registres publics apportent la preuve complète des faits qu’ils attestent, à moins que l’inexactitude de leur contenu ne soit prouvée. Compte tenu de la finalité de ces registres, le Conseil fédéral est d’avis que des motifs de protection des données ne doivent pas porter atteinte à la publicité des registres des relations juridiques privées. Il en va de même pour les registres dans le domaine du droit de la propriété intellectuelle : le législateur a déjà procédé à une pesée des intérêts et garantit la publicité de ces registres. De l’avis du Conseil fédéral, il n’appartient pas à la LPD de réglementer les droits des personnes concernées dans ce domaine. C’est pourquoi il convient de prévoir à l’al. 4 une restriction en faveur des dispositions spéciales du droit fédéral. La modification concerne exclusivement les registres publics des relations juridiques privées tenus par des autorités fédérales, à savoir le registre électronique de l’état civil, Zefix, le registre des aéronefs de l’Office fédéral de l’aviation civile et les registres de l’Institut fédéral de la propriété intellectuelle (notamment le registre des marques, le registre des brevets et le registre des designs).
Les registres publics des relations juridiques privées, qui relèvent de la compétence des cantons, sont soumis au droit cantonal de la protection des données. Il en va de même lorsque ces données sont traitées dans le cadre de l’exécution du droit fédéral. Toutefois, le droit cantonal de la protection des données ne doit pas entraver l’application correcte et uniforme du droit privé fédéral et notamment le principe de la publicité des registres. L’abrogation de l’art. 2, al. 2, let. d, LPD n’a donc aucun effet sur les registres cantonaux suivants : le registre foncier, le registre des bateaux, les registres cantonaux du commerce, les registres des poursuites et des faillites et le registre public des pactes de réserve de propriété. L’al. 4 n’a pas non plus d’effet sur les registres de droit public tels que le registre des professions médicales, auxquels s’applique la loi spéciale concernée, subsidiairement la LPD.
Champ d’application territorial
Contrairement au règlement (UE) 2016/679 (art. 3), le P‑LPD ne contient aucune disposition particulière concernant le champ d’application territorial de la loi. Selon le Conseil fédéral, le droit en vigueur offre déjà la possibilité d’appliquer largement la LPD aux situations à caractère international. En vertu de la théorie de l’impact, cela vaut également pour le droit public. Les difficultés se situent moins au niveau du champ d’application territorial que de la mise en œuvre et de l’exécution des décisions, notamment dans le domaine de l’Internet. Le Conseil fédéral a examiné l’opportunité d’obliger les responsables et les sous-traitants à indiquer un domicile de notification en Suisse afin de faciliter l’exécution des décisions qui les concernent. Il y a finalement renoncé pour les mêmes raisons que celles déjà exposées dans le rapport du 11 décembre 2015 relatif à la responsabilité civile des fournisseurs d’accès. Il serait plutôt préférable de trouver une solution par le biais d’accords d’entraide judiciaire bi- ou multilatéraux qui permettent l’envoi postal direct de documents à l’étranger. De tels accords existent déjà dans le domaine du droit civil avec certains Etats dans lesquels des entreprises Internet connues ont leur siège, comme l’Irlande ou les Etats-Unis. Le Conseil fédéral a confirmé cette position dans le domaine du droit pénal dans son avis sur la motion Levrat 16.4082 “Faciliter l’accès des autorités de poursuite pénale aux données des réseaux sociaux”. Enfin, il rappelle que l’obligation de désigner un domicile de notification est prévue dans la PA et la LTAF.
Le préposé aurait préféré que le projet de loi contienne une disposition comparable à l’article 3 du règlement (UE) 2016/679 et que les responsables du traitement des données soient tenus d’avoir une représentation en Suisse.
Bot art. 3 Préposé fédéral à la protection des données et à la transparence (compte selon projet)
al. 1 Surveillance par le préposé
L’al. 1 désigne l’autorité de surveillance compétente en matière de protection des données. Il énonce le principe selon lequel le préposé est l’autorité chargée de veiller au respect des prescriptions fédérales en matière de protection des données (cf. art. 39 ss P‑LPD).
Dans le texte de loi allemand, seul le terme masculin est utilisé lorsque le préposé est visé en tant qu’institution dans la disposition en question. C’est le cas dans la majorité des dispositions légales. Par contre, dans la première section du chapitre 7 (à l’exception de l’art. 42 P‑DSG), il est question de la personne du ou de la préposé(e). Dans ces dispositions, la forme masculine et la forme féminine sont utilisées.
al. 2 Exceptions à la surveillance
L’alinéa 2 prévoit diverses exceptions à la surveillance du préposé. Ces exceptions sont essentiellement motivées par le fait que la soumission desdites autorités à la surveillance du préposé porterait atteinte à la séparation des pouvoirs et à l’indépendance de la justice.
L’Assemblée fédérale (let. a) et le Conseil fédéral (let. b) ne sont pas soumis à la surveillance du préposé.
Dans la mesure où le traitement de données personnelles par les tribunaux fédéraux relève de la LPD, ils sont exclus de la surveillance exercée par le préposé (let. c). Cette exception doit être considérée dans la perspective du fait que la P‑LPD donne désormais au préposé la compétence d’édicter des décisions à l’égard des organes fédéraux. Cela risquerait de porter atteinte à l’indépendance des tribunaux et à la séparation des pouvoirs vis-à-vis des tribunaux fédéraux. En outre, le Tribunal administratif fédéral et le Tribunal fédéral sont notamment des instances de recours pour les décisions du Préposé fédéral à la protection des données. Ils pourraient donc être appelés à rendre une décision sur recours dans leur propre affaire. Afin de répondre aux exigences de la directive (UE) 2016/680 et du TFUE 108, chaque tribunal fédéral mettra en place sa propre surveillance indépendante de la protection des données. Celle-ci sera, le cas échéant, conçue de manière analogue à celle du préposé. La mise en place se fera par l’adaptation des ordonnances correspondantes des tribunaux fédéraux respectifs, dès que la LPD révisée sera entrée en vigueur.
Selon la let. d, le Ministère public de la Confédération est également exempté de la surveillance du préposé dans la mesure où il traite des données personnelles dans le cadre de procédures pénales. En revanche, les autorités fédérales de police restent soumises à la surveillance du préposé, même si elles agissent sur mandat du Ministère public de la Confédération. Le préposé applique alors les dispositions de protection des données du droit de procédure applicable (cf. art. 2, al. 3, P‑LPD).
Enfin, selon la let. e, les autorités fédérales sont exemptées de la surveillance du préposé dans la mesure où elles traitent des données personnelles dans le cadre d’une activité juridictionnelle ou de procédures d’entraide judiciaire internationale en matière pénale. Cette exception concerne principalement le Ministère public de la Confédération et l’Office fédéral de la justice. Conformément à la déclaration du Conseil fédéral relative à l’article 1er de la Convention européenne d’entraide judiciaire en matière pénale du 20 avril 1959, l’Office fédéral de la justice doit être considéré comme une autorité judiciaire suisse au sens de la Convention. Cette exception a toutefois une portée limitée. En effet, le préposé peut vérifier la légalité d’un traitement de données lorsqu’une personne concernée fait valoir ses droits en vertu de l’article 11c P‑IRSG.
Signifier dans cette loi
Bot Art. 4 Définitions (comptage selon projet)
Lettre a Données personnelles
Il convient de noter que l’E-DSG utilise en principe le terme de données personnelles. Au sein du même paragraphe, le terme de données est également utilisé comme synonyme, en particulier dans le texte allemand, lorsqu’il est clair qu’il s’agit de données personnelles.
La notion de données personnelles est modifiée par rapport au droit actuel dans la mesure où la LPD n’est plus applicable aux personnes morales. Les données personnelles sont donc toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Une personne physique est identifiable lorsqu’elle peut être identifiée, directement ou indirectement, par exemple par référence à des informations qui peuvent être déduites des circonstances ou du contexte (numéro d’identification, données de localisation, aspects spécifiques concernant son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale). L’identification peut être possible à partir d’une seule information (numéro de téléphone, numéro de maison, numéro AVS, empreintes digitales) ou par le recoupement de différentes informations (adresse, date de naissance, état civil). Comme dans le droit actuel, la possibilité purement théorique qu’une personne puisse être identifiée ne suffit pas pour supposer qu’une personne est identifiable. C’est ce qu’affirme le Conseil fédéral dans son message sur la LPD de 1988 :
“Si l’effort à fournir pour déterminer les personnes concernées est tel qu’il ne faut pas s’attendre, selon l’expérience générale de la vie, à ce qu’une personne intéressée s’en charge […], il n’y a pas de déterminabilité”.
Il faut plutôt considérer l’ensemble des moyens qui peuvent raisonnablement être utilisés pour identifier une personne. Le caractère raisonnable de l’utilisation de ces moyens doit être évalué au regard des circonstances, par exemple le temps et l’argent nécessaires à l’identification. Les technologies disponibles au moment du traitement et leur évolution doivent être prises en compte.
La loi ne s’applique pas aux données anonymisées lorsqu’une identification par des tiers est impossible (les données ont été rendues anonymes de manière complète et définitive) ou lorsque cela ne serait possible qu’au prix d’efforts importants qu’aucune personne intéressée n’accepterait de consentir. Cela s’applique également aux données pseudonymisées.
Lettre b Personne concernée
Les personnes concernées sont les personnes physiques au sujet desquelles des données sont traitées. La limitation aux personnes physiques découle de la suppression de la protection des données des personnes morales (voir les explications relatives à l’art. 2, al. 1, P‑LPD au ch. 9.1.2).
Lettre c Données personnelles sensibles
Le point 1 n’est pas modifié.
Le chiffre 2 est complété : la notion de données personnelles sensibles est étendue aux données relatives à l’origine ethnique, conformément à la directive (UE) 2016/680 (art. 10) et au règlement (UE) 2016/679. Le P‑DSG maintient la référence à l’appartenance raciale. A l’instar de l’Union européenne, le Conseil fédéral précise que l’utilisation de ce terme ne signifie pas qu’il approuve les théories visant à démontrer l’existence de différentes races humaines. Le projet de loi conserve également
la référence aux données relatives à la santé et à la vie privée. Par données relatives à la vie privée, on entend notamment les données relatives à la vie sexuelle et à l’orientation sexuelle de la personne concernée (voir également la Convention STE 108 [article 6, paragraphe 1], la directive [UE] 2016/680 [article 10] et le règlement [UE] 2016/679 [article 9]). Selon les circonstances, l’identité de genre d’une personne peut également être incluse dans cette notion (ou dans les données relatives à la santé).
La notion de “données personnelles sensibles” est en outre étendue aux données génétiques (ch. 3) et aux données biométriques qui identifient clairement un individu (ch. 4). Cette modification met en œuvre les exigences du P‑SEV 108 (art. 6, al. 1) et de la directive (UE) 2016/680 (art. 10). Le règlement (UE) 2016/679 (art. 9) prévoit une réglementation similaire.
Les données génétiques sont des informations sur le patrimoine génétique d’une personne obtenues par une analyse génétique ; elles comprennent également le profil d’ADN (art. 3, let. l, de la loi fédérale du 8 octobre 2004 sur l’analyse génétique humaine [LAGH]).
Par données biométriques, on entend ici les données personnelles obtenues par un procédé technique spécifique sur les caractéristiques physiques, physiologiques ou comportementales d’un individu et qui permettent ou confirment une identification univoque de la personne concernée. Il s’agit par exemple d’une empreinte digitale numérique, d’images faciales, d’images de l’iris ou d’enregistrements de la voix. Ces données doivent obligatoirement reposer sur un procédé technique spécifique qui permet d’identifier ou d’authentifier une personne de manière univoque. Ce n’est en principe pas le cas, par exemple, des photographies ordinaires.
Lettre d Traiter
La notion de traitement reste inchangée sur le plan du contenu. Le terme de traitement est souvent utilisé comme synonyme. La liste a toutefois été complétée par “enregistrer” et “effacer” dans le but de se rapprocher du libellé du droit européen (art. 2, let. b, P‑SEV 108, art. 4, ch. 2, du règlement [UE] 2016/679 et art. 3, ch. 2, de la directive [UE] 2016/680). Comme dans le droit actuel, la liste des opérations de traitement possibles n’est pas exhaustive, de sorte que de nombreuses opérations peuvent en faire partie (organisation, tri, modification, exploitation de données, etc.) Le terme “détruire” est plus fort que le terme “effacer” et implique que les données sont irrémédiablement détruites. Si les données sont disponibles sur papier, celui-ci doit être brûlé ou déchiqueté. La destruction des données électroniques s’avère plus difficile. Si les données ont été transmises au moyen d’un CD ou d’une clé USB, il faut d’une part rendre le support de données inutilisable et d’autre part traiter toutes les copies de manière à ce que les données ne puissent plus non plus être rendues lisibles. Dans le cas de données personnelles transmises en annexe d’un e‑mail, les éventuelles sauvegardes intermédiaires de cet e‑mail doivent également être détruites. Les ordres de suppression usuels ou un simple reformatage ne constituent pas une destruction, mais un effacement. Contrairement au droit suisse, l’Union européenne utilise le terme de traitement plutôt que celui d’usinage. Pour des raisons de praticabilité, on a renoncé à adapter le droit suisse à cet égard également, d’autant plus qu’il n’y a pas de différence sur le plan du contenu.
Lettre f Profilage
Le Conseil fédéral propose d’abroger la notion de “profil de la personnalité”, définie à l’article 3, lettre d LPD. La notion de “profil de la personnalité” est une particularité de notre législation. Ni le droit européen ni d’autres législations étrangères ne connaissent cette notion. Après l’entrée en vigueur de la LPD en 1992, elle n’a pas revêtu une grande importance ; aujourd’hui, elle semble dépassée par le développement des nouvelles technologies. A sa place, la P‑LPD utilise le terme de “profilage”. Ce terme se trouve à l’article 3, point 4, de la directive (UE) 2016/680 et à l’article 4, point 4, du règlement (UE) 2016/679. Bien que les deux termes présentent des similitudes, ils ne se recoupent pas. Le profil de la personnalité est le résultat d’un processus de traitement et saisit donc quelque chose de statique. En revanche, le profilage décrit une certaine forme de traitement des données, c’est-à-dire un processus dynamique. En outre, le processus de profilage est orienté vers un objectif précis.
Le contenu de la notion de profilage est adapté à la terminologie européenne sur la base des avis exprimés lors de la procédure de consultation et ne couvre notamment plus que le traitement automatisé de données personnelles. Ainsi, le profilage est défini comme l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée, notamment en vue d’analyser ou de prédire le rendement au travail, la situation économique, la santé, le comportement, les intérêts, la localisation ou la mobilité. Cette analyse peut être effectuée, par exemple, pour déterminer si une personne est apte à exercer une activité donnée. En d’autres termes, le profilage se caractérise par le fait que des données personnelles sont analysées de manière automatisée afin d’évaluer, sur la base de cette analyse, également de manière automatisée, les caractéristiques d’une personne. Il n’y a donc profilage que si le processus d’évaluation est entièrement automatisé. Par évaluation automatisée, on entend toute évaluation réalisée à l’aide de techniques d’analyse assistées par ordinateur. Des algorithmes peuvent également être utilisés à cette fin, mais leur utilisation n’est pas constitutive de l’existence d’un profilage. Au contraire, il est simplement exigé qu’un processus d’évaluation automatisé ait lieu ; en revanche, s’il n’y a qu’une accumulation de données sans qu’elles soient évaluées, il n’y a pas encore de profilage. L’évaluation automatisée a lieu notamment pour analyser ou prédire certains comportements de cette personne. La loi cite à titre d’exemple certaines caractéristiques d’une personne telles que son rendement au travail, sa situation économique ou sa santé. Mais d’autres caractéristiques sont également envisageables, comme les intérêts, la fiabilité ou le lieu de résidence. Le fait que le responsable du profilage le fasse pour son propre compte ou pour celui d’un tiers n’a pas d’importance.
Comme la notion de profil de la personnalité n’est plus utilisée, il faut également adapter les bases légales qui permettent aux organes fédéraux de traiter des profils de la personnalité (cf. ch. 9.2.2).
Les données qui résultent d’un profilage sont en principe des données personnelles au sens de l’article 4, lettre a, P‑LPD. Selon l’objet, il peut également s’agir de données personnelles sensibles.
Lettre g Violation de la sécurité des données
Contrairement à l’avant-projet, la P‑LPD contient une définition de la violation de la sécurité des données, car il est apparu lors de la consultation que cette notion n’était pas assez claire. Il y a donc violation de la sécurité des données lorsqu’une opération entraîne la perte, l’effacement ou la destruction de données personnelles, leur modification ou leur divulgation à des personnes non autorisées ou leur mise à disposition. Cela vaut indépendamment du fait que l’opération soit intentionnelle ou non, qu’elle soit illicite ou non. La notion se rattache à l’article 7, selon lequel le responsable du traitement et le sous-traitant doivent prendre des mesures techniques et organisationnelles pour garantir la sécurité des données. Le contenu de cette notion correspond à l’article 7, paragraphe 2, du P‑SEV 108, à l’article 3, point 11, de la directive (UE) 2016/680 et à l’article 4, point 12, du règlement (UE) 2016/679.
Le seul élément déterminant est de savoir si les opérations en question ont eu lieu. Il n’est pas non plus pertinent pour l’existence d’une violation de la sécurité des données de savoir s’il y avait simplement la possibilité que les données personnelles soient divulguées ou rendues accessibles à des personnes non autorisées ou si un tel accès a effectivement eu lieu. Si, par exemple, un support de données est perdu, il est souvent difficile de prouver que les données qui y sont stockées ont effectivement été consultées ou utilisées par des personnes non autorisées. La perte en tant que telle constitue donc déjà une violation de la sécurité des données. L’ampleur et l’importance d’une violation de la sécurité des données sont plutôt pertinentes pour les mesures à prendre, notamment l’évaluation du risque selon l’article 22, paragraphe 1.
let. i Responsable
Le P‑LPD prévoit de remplacer la notion de “maître de fichier” par celle de “responsable”, afin d’utiliser la même terminologie que dans le P‑CE 108 (art. 2, let. d), dans la directive (UE) 2016/680 (art. 3, ch. 8) et dans le règlement (UE) 2016/679 (art. 4, ch. 7). Hormis le fait que la référence au fichier est supprimée, il n’y a pas de changement matériel. Comme le maître du fichier, le responsable est celui qui décide de la finalité et des moyens (traitement matériel ou automatisé, logiciel utilisé) du traitement. Dans le texte de loi allemand, seule la forme masculine est utilisée, car les responsables sont principalement, mais pas exclusivement, des personnes morales.
let. j Sous-traitant
Il s’agit de la personne privée ou de l’organe fédéral qui traite des données pour le compte du responsable du traitement. Cette notion correspond à celle utilisée dans le P‑SEV 108 (art. 2, let. f), dans la directive (UE) 2016/680 (art. 3, ch. 9) et dans le règlement (UE) 2016/679 (art. 4, ch. 8).
Le contrat entre le responsable du traitement et le sous-traitant peut être de différentes natures. Selon les obligations du sous-traitant, il peut s’agir d’un mandat (art. 394 et suivants CO), d’un contrat d’entreprise (art. 363 et suivants CO) ou d’un contrat mixte. Le sous-traitant n’est plus un tiers à partir du moment où il commence son activité contractuelle pour le compte du responsable du traitement.
Dans le texte de loi allemand, seule la forme masculine est utilisée, car les sous-traitants sont principalement, mais pas exclusivement, des personnes morales.
Termes inchangés
Les termes suivants restent inchangés par rapport au droit en vigueur ou ne subissent que des modifications rédactionnelles : Communiquer (let. e) et Organe fédéral (let. h).
Termes abrogés
Outre les notions de profil de la personnalité et de maître du fichier, le projet supprime les notions suivantes :
Fichier de données : l’E-LPD prévoit de renoncer à ce terme. Cela correspond à la solution retenue dans le P‑SEV 108, qui utilise à la place le terme – traitement de données. Grâce aux nouvelles technologies, les données peuvent aujourd’hui être utilisées comme un fichier, même si elles ne sont pas centralisées. Le profilage, qui consiste à accéder à différentes sources qui ne constituent pas des fichiers de données afin d’évaluer certaines caractéristiques d’une personne sur la base des données collectées, en est un exemple frappant. Dans le droit actuel, de telles activités ne tombent pas sous le coup des dispositions légales qui supposent l’existence d’un fichier – comme le droit d’accès (art. 8 LPD) ou le devoir d’information (art. 14 LPD) – alors qu’une plus grande transparence est justement nécessaire dans ce contexte. Par ailleurs, le Conseil fédéral fait remarquer qu’une partie de la doctrine interprète la notion de fichier de manière très large. Dans ce contexte, le critère déterminant est que l’attribution de données à une personne ne doit pas entraîner de charges disproportionnées. Loi au sens formel : l’E-DSG prévoit de renoncer à cette définition de la notion, car elle n’est pas nécessaire.
Loi au sens formel : l’E-DSG prévoit de renoncer à cette définition des termes, car elle n’est pas nécessaire.
Bot Art. 5 Principes (comptage selon projet)
al. 2 Légalité et proportionnalité
La version française du paragraphe 2 subit une modification rédactionnelle.
Conformément au principe de proportionnalité, seules les données appropriées et nécessaires à la finalité du traitement peuvent être traitées. En outre, il doit y avoir un rapport raisonnable entre la finalité et les moyens utilisés, et les droits des personnes concernées doivent être respectés dans la mesure du possible (principe de proportionnalité au sens strict). Les principes de prévention et de minimisation des données en sont tous deux l’expression. Le premier implique que cette option doit être privilégiée si la finalité du traitement peut être atteinte sans que de nouvelles données soient collectées. Le second exige que seules les données absolument nécessaires à la finalité poursuivie soient traitées. Ces deux principes sont liés.
déjà être pris en compte lors de la planification de nouveaux systèmes. Ils se recoupent donc en partie avec les principes de la protection des données par la technique et par des paramètres par défaut favorables à la protection des données (voir les explications relatives à l’art. 6 P‑LPD).
Al. 3 Affectation à un but précis et reconnaissabilité
Le paragraphe 3 réunit les principes de finalité et de reconnaissabilité actuellement contenus dans les paragraphes 3 et 4 de la loi. Afin que le droit fédéral soit plus conforme au libellé du P‑CEV 108 (art. 5, al. 4, let. b), la P‑LPD prévoit que les données ne peuvent être collectées que dans un but précis et identifiable par la personne concernée. Cette nouvelle formulation n’entraîne aucun changement matériel par rapport au droit en vigueur. Tant la collecte des données que la finalité de leur traitement doivent être reconnaissables. C’est en principe le cas si la personne concernée est informée, si le traitement est prévu par la loi ou s’il ressort clairement des circonstances. Le caractère déterminé de la finalité implique que des finalités de traitement vagues, non définies ou imprécises ne suffisent pas. Ce caractère s’apprécie en fonction des circonstances, en trouvant un équilibre entre les intérêts des personnes concernées et ceux du responsable du traitement ou du sous-traitant et de la société.
L’alinéa 3 stipule que les données ne peuvent être traitées que d’une manière compatible avec la finalité initiale. Cette nouvelle formulation permet un rapprochement terminologique de la loi avec le P‑SEV 108 (art. 5, al. 4, let. b). Elle n’apporte cependant pas de changements majeurs : comme c’est déjà le cas aujourd’hui, un traitement ultérieur n’est pas autorisé si la personne concernée peut légitimement le considérer comme inattendu, inopportun ou contestable (voir également le point 47 du rapport explicatif du P‑SEV 108 de CAHDATA). Les cas suivants sont envisageables :
la réutilisation à des fins publicitaires d’adresses collectées lors de la collecte de signatures pour une campagne politique ;
la collecte et l’analyse de données sur les habitudes de consommation (à des fins autres que la lutte contre la fraude) sur la base de paiements effectués avec une carte de crédit ou de client, sans le consentement de la personne concernée ;
la collecte et l’utilisation d’adresses électroniques que la personne concernée a communiquées sur Internet dans un but précis, afin d’envoyer ultérieurement des messages de spam ; l’obtention par une entreprise privée d’adresses IP de détenteurs de connexion proposant des copies pirates à télécharger. En revanche, si la personne concernée transmet son adresse en vue d’obtenir une carte de fidélité ou de passer une commande (en ligne ou non), la réutilisation de cette adresse par l’entreprise concernée à des fins de prospection s’inscrit dans le cadre d’une finalité initialement identifiable et peut donc être considérée comme compatible avec la finalité initiale. Si la modification de la finalité initiale est prévue par la loi, si elle est exigée par une modification de la loi ou si elle est légitimée par un autre motif justificatif (par exemple le consentement de la personne concernée), le traitement ultérieur est également considéré comme compatible avec la finalité initiale.
al. 4 Durée de conservation des données personnelles
Selon l’al. 4, les données doivent être détruites ou rendues anonymes dès qu’elles ne sont plus nécessaires au but du traitement. Cela correspond aux exigences du P‑SEV 108 (art. 5, al. 4, let. e, voir également le point 51 du projet de rapport explicatif sur le P‑SEV 108 de la CAHDATA), de la directive (UE) 2016/680 (art. 4, al. 1, let. e) et du règlement (UE) 2016/679 (art. 5, al. 1, let. e). Cette obligation découle également implicitement du principe général de proportionnalité, énoncé à l’alinéa 2 de la disposition. Le Conseil fédéral estime toutefois qu’il est important de mentionner expressément cette obligation compte tenu de l’évolution technologique et des possibilités de stockage presque illimitées. Le respect de cette obligation implique que le responsable fixe des délais de conservation. Les réglementations spéciales qui prévoient des délais de conservation particuliers sont réservées.
al. 5 Exactitude
L’article 5, paragraphe 5, P‑LPD reprend le principe d’exactitude des données qui figure actuellement à l’article 5 LPD. De cette manière, les principes essentiels de la protection des données sont regroupés en une seule disposition, comme c’est le cas à l’article 5 P‑SEV 108, à l’article 4 de la directive (UE) 2016/680 et à l’article 5 du règlement (UE) 2016/679. Dans le texte français, le terme “correctes” est remplacé par “exactes” ; en allemand et en italien, la terminologie utilisée concorde déjà.
L’alinéa stipule que toute personne qui traite des données doit s’assurer de leur exactitude. Elle doit prendre toutes les mesures raisonnables pour que les données qui sont inexactes ou incomplètes au regard des finalités pour lesquelles elles ont été collectées ou traitées soient rectifiées, effacées ou détruites. Les données qui ne peuvent pas être corrigées ou complétées doivent être effacées ou détruites. L’étendue de cette obligation de s’assurer est à déterminer au cas par cas. Elle dépend notamment de la finalité et de l’étendue du traitement ainsi que de la nature des données traitées. Selon les cas, cette obligation peut signifier que les données doivent être tenues à jour.
Certaines obligations légales peuvent s’opposer à la rectification, à l’effacement ou à la mise à jour des données. En outre, le principe d’exactitude et les obligations qui en découlent doivent être considérés de manière différenciée en ce qui concerne les activités des archives, musées, bibliothèques et autres institutions de mémoire. La mission de telles institutions est notamment de collecter, de répertorier, de conserver et de communiquer des documents (y compris numériques) de toute nature (cf. art. 2, al. 1 de la loi sur la Bibliothèque nationale du 18 décembre 1992). Les documents en question ne doivent pas être modifiés en tant que tels, car cela irait à l’encontre du but de l’archivage. En effet, les archives doivent permettre, à l’aide de documents, d’obtenir un instantané du passé, dont l’ ”exactitude” réside uniquement dans le fait que les documents en question sont reproduits fidèlement à l’original. En d’autres termes, les archives restituent ce qui s’est passé dans le passé, indépendamment du fait que cela soit encore considéré comme exact dans la perspective actuelle. Cette activité spécifique présente un intérêt public considérable (voir à ce sujet les art. 28, al. 1, let. b, et 37, al. 5, P‑LPD ainsi que les explications correspondantes aux ch. 9.1.6 et 9.1.7).
al. 6 Consentement
Dans la mesure où le consentement de la personne concernée est requis, il n’est valable, conformément au paragraphe 6, que s’il est donné librement et sans équivoque pour un ou plusieurs traitements déterminés, après avoir été dûment informé. La personne concernée exprime ainsi son consentement à une atteinte à sa personnalité, en l’occurrence par un traitement de données.
La formulation légèrement modifiée permet un rapprochement terminologique avec le P‑SEV 108 (art. 5, al. 2) afin de répondre à ses exigences. Il n’en résulte toutefois aucune modification fondamentale de la situation juridique actuelle. Comme dans le droit actuel, pour que le consentement soit valable, le traitement, en particulier son étendue et sa finalité, doit être suffisamment défini. Le consentement peut également être donné pour plusieurs traitements similaires ou différents. De même, il est possible que la finalité du traitement nécessite différents traitements. Par exemple, le traitement médical auprès d’un médecin peut nécessiter un échange avec des spécialistes et des services pré- ou post-traitement, de même que le traitement à des fins de facturation ou de clarification avec des assurances. Le consentement doit couvrir la finalité du traitement pour laquelle il sert de motif justificatif. Si les données sont traitées à d’autres fins pour lesquelles le consentement n’a pas été donné, ce traitement doit être justifié par d’autres motifs. Le consentement doit en outre être univoque. Il doit donc ressortir clairement de la déclaration de la personne concernée. Cela dépend des circonstances concrètes du cas d’espèce. Conformément au principe de proportionnalité, le consentement doit être d’autant plus clair que les données personnelles en question sont sensibles. Comme auparavant, le consentement peut être donné sans forme particulière et n’est donc notamment pas lié à une déclaration écrite. Un consentement univoque au sens du paragraphe 6 peut également être donné par une déclaration de volonté tacite (cf. art. 1 CO). Il y a consentement tacite lorsque l’expression de la volonté ne résulte pas de la déclaration elle-même, mais d’un comportement qui, en raison des circonstances dans lesquelles il intervient, peut être compris comme une expression claire de la volonté. C’est le cas de ce que l’on appelle le comportement implicite, dans lequel la personne qui fait la déclaration exprime sa volonté en la rendant claire par un acte correspondant, par exemple en exécutant son obligation contractuelle. Il doit donc y avoir une manifestation de volonté, de sorte qu’un simple silence ou une inaction ne peuvent en principe pas être considérés comme un consentement valable à une atteinte à la personnalité. L’article 6 CO est réservé si les parties ont convenu que le silence valait consentement.
Selon la deuxième phrase de l’al. 6, le consentement doit être exprès lorsqu’il s’agit du traitement de données personnelles sensibles et du profilage. Le consentement pour le profilage est également soumis à des exigences accrues, comme c’est déjà le cas dans le droit en vigueur pour le traitement de profils de la personnalité. “Explicitement” est une exigence accrue pour le consentement “sans équivoque” selon la première phrase de cette disposition. La portée de cette exigence est déjà partiellement contestée dans le droit actuel. Le Conseil fédéral ne voit cependant aucune raison de s’écarter de la situation juridique actuelle. Afin de clarifier les notions, les termes “explicite” et “esplicito” sont toutefois remplacés par les termes “exprès” et “expresso” dans les versions française et italienne du texte et ainsi adaptés à la terminologie de l’art. 1 CO. Le texte allemand ne subit aucune modification. Une déclaration de volonté est “expresse” lorsqu’elle est faite par des mots écrits ou parlés ou par un signe et que la volonté exprimée ressort directement des mots ou du signe utilisés. L’expression de la volonté en tant que telle doit déjà clarifier la volonté par la manière dont elle est faite. Cela est notamment possible en cochant une case, en sélectionnant activement certains paramètres techniques pour les services d’une entreprise de traitement de l’information ou en faisant d’autres déclarations. Il en va de même pour l’expression non verbale au moyen d’un signe clair dans le contexte concret ou d’un mouvement correspondant, ce qui peut notamment être fréquemment le cas dans le cadre d’une relation de traitement médical. On peut citer comme exemple le fait de hocher la tête en signe d’approbation ou d’ouvrir la bouche pour prélever la muqueuse des joues à la suite d’une information claire. Lorsqu’un consentement explicite est requis, il ne peut pas être donné tacitement.
Bot Art. 6 Protection des données par la technologie et les paramètres par défaut respectueux de la protection des données (comptage selon le projet)
L’article 6 de la P‑LPD introduit l’obligation de protection des données par la technique ainsi que par des paramètres par défaut favorables à la protection des données. Comme ces obligations sont étroitement liées aux principes de protection des données, elles ont été transférées dans les dispositions générales de protection des données. La norme met en œuvre les exigences de l’article 8, paragraphe 3, du P‑SEV 108 et de l’article 20, paragraphe 1, de la directive (UE) 2016/680. L’article 25 du règlement (UE) 2016/679 contient une disposition similaire.
al. 1 Protection des données par la technique
L’alinéa 1 exige du responsable du traitement qu’il organise le traitement des données dès le moment de la planification de manière à ce que les dispositions prises permettent de mettre en œuvre les prescriptions en matière de protection des données. L’obligation de “protection des données par la technique” (Privacy by Design) est ainsi introduite. L’idée de base de la protection des données basée sur la technique est que la technique et le droit se complètent mutuellement. Ainsi, la technologie respectueuse de la protection des données peut réduire le besoin de règles juridiques (ou de codes de conduite), dans la mesure où les mesures techniques rendent impossible la violation des dispositions relatives à la protection des données ou, du moins, réduisent considérablement le risque. Parallèlement, les technologies respectueuses de la protection des données sont indispensables à la mise en œuvre pratique des règles de protection des données. En effet, le traitement des données est déjà omniprésent à bien des égards et tend à se développer (ubiquitous computing). Il en résulte des quantités de données à peine visibles qui doivent être traitées conformément aux règles de protection des données et pour lesquelles les mesures techniques sont essentielles. Globalement, la protection des données basée sur la technologie ne vise pas une technologie particulière. Il s’agit plutôt de concevoir des systèmes de traitement des données sur le plan technique et organisationnel de manière à ce qu’ils respectent notamment les principes énoncés à l’article 5 de la P‑LPD. En d’autres termes, les exigences légales pour un traitement conforme à la protection des données sont déjà mises en œuvre dans le système de manière à ce que celui-ci réduise ou exclue le risque de violation des prescriptions en matière de protection des données. Il est par exemple possible de veiller à ce que les données soient effacées à intervalles réguliers ou anonymisées de manière standard. Particulièrement important pour
La minimisation des données, qui découle déjà des principes généraux énoncés à l’article 5 de la P‑LPD, est un élément essentiel de la protection des données basée sur la technologie. Conformément au concept de minimisation des données, un traitement de données est conçu dès le départ de manière à ce que le nombre de données produites et traitées soit le plus faible possible ou que les données soient au moins conservées le moins longtemps possible.
Aujourd’hui déjà, les organes fédéraux doivent annoncer sans délai aux responsables de la protection des données qu’ils ont désignés ou, à défaut, au préposé, tous les projets de traitement automatisé de données personnelles, afin que les exigences de la protection des données soient prises en compte dès la planification (art. 20 OLPD).
al. 2 Adéquation des mesures
L’al. 2 précise les exigences auxquelles doivent répondre les mesures visées à l’al. 1. Celles-ci doivent notamment être appropriées au regard de l’état de la technique, de la nature et de l’ampleur du traitement de données ainsi que de la probabilité et de la gravité des risques que le traitement en question fait peser sur la personnalité et les droits fondamentaux de la personne concernée. La présente disposition se réfère aux traitements de données effectués par des responsables de traitement privés et des organes fédéraux, de sorte qu’il est question de risques pour la personnalité et les droits fondamentaux.
La norme exprime l’approche basée sur le risque. Le risque lié à un traitement doit être mis en relation avec les moyens techniques permettant de le réduire. Plus le risque est élevé, plus la probabilité d’occurrence est grande et plus le traitement des données est important, plus les exigences posées aux mesures techniques sont élevées pour qu’elles puissent être considérées comme adéquates au sens de la présente disposition.
al. 3 Préférences favorables à la protection des données
Selon l’al. 3, le responsable est tenu de veiller, au moyen de préréglages appropriés, à ce que le nombre de données personnelles traitées soit en principe aussi faible que possible compte tenu de l’utilisation prévue, à moins que la personne concernée n’en décide autrement. Cela introduit l’obligation d’utiliser des paramètres par défaut favorables à la protection des données (Privacy by Default). Les paramètres par défaut sont les paramètres, notamment des logiciels, qui sont appliqués par défaut, c’est-à-dire si l’utilisateur ne les modifie pas. Ces paramètres par défaut peuvent être définis en usine ou programmés en conséquence, comme c’est par exemple le cas lorsqu’une imprimante donnée est définie comme imprimante par défaut. Dans le contexte d’un traitement de données, cela signifie que le processus de traitement en question est configuré par défaut de la manière la plus respectueuse possible de la protection des données, à moins que la personne concernée ne modifie ces paramètres prédéfinis. On pourrait par exemple imaginer qu’un site web autorise en principe les achats sans qu’il soit nécessaire de créer un profil d’utilisateur. Les clients doivent uniquement fournir des informations minimales telles que leur nom et leur adresse. Toutefois, si les clients souhaitent bénéficier d’autres services de ce site, par exemple l’accès à l’ensemble de leurs achats passés ou la création de listes de souhaits d’achat, ils doivent créer un profil d’utilisateur, ce qui entraîne également un traitement plus complet de leurs données personnelles. Cela met en évidence le lien étroit entre l’utilisation d’une technologie respectueuse de la protection des données et le principe de minimisation des données. Ainsi, les préréglages correspondants font régulièrement partie de la conception respectueuse de la protection des données de l’ensemble d’un système. Les possibilités d’influence de la personne concernée sont toutefois spécifiques aux préréglages favorables à la protection des données. Alors que celle-ci ne peut guère influencer le système en tant que tel, les paramètres par défaut favorables à la protection des données lui donnent tout au plus la possibilité de faire un autre choix. Elles sont donc étroitement liées au consentement de la personne concernée (cf. art. 5, al. 6, P‑LPD). Ainsi, les paramètres par défaut favorables à la protection des données permettent à la personne concernée de consentir à un certain traitement de données.
Le principe de la protection des données par défaut joue un rôle secondaire dans le secteur public, car le traitement des données y repose moins sur le consentement de la personne concernée que sur des obligations légales.
Le responsable du traitement peut notamment démontrer, par la certification ou une analyse d’impact relative à la protection des données, qu’il respecte les obligations prévues par la présente disposition.
Bot Art. 7 Sécurité des données (comptage selon projet)
L’article 7 de la P‑LPD reprend l’article 7 de la LPD en y apportant quelques modifications. L’obligation d’assurer la sécurité des données est une exigence du P‑SEV 108 (art. 7) et de la directive (UE) 2016/680 (art. 29). Le règlement (UE) 2016/679 (art. 32) contient une disposition similaire. Le responsable du traitement et le sous-traitant doivent garantir une sécurité des données adaptée au risque par des mesures techniques et organisationnelles appropriées. L’approche basée sur les risques s’exprime ainsi. Plus le risque de violation de la sécurité des données est important, plus les exigences relatives aux mesures à prendre sont élevées.
L’alinéa 2 définit l’objectif de ces mesures. Celles-ci doivent permettre d’éviter les atteintes à la sécurité des données, c’est-à-dire toute atteinte à la sécurité qui, indépendamment de son caractère intentionnel ou illicite, entraîne la perte, l’effacement, la destruction ou la modification de données personnelles ou leur divulgation ou leur mise à disposition de personnes non autorisées (art. 4 let. g P‑LPD). Ces mesures peuvent être par exemple : la pseudonymisation des données personnelles, des mesures visant à préserver la confidentialité et la disponibilité du système ou de ses services, le développement de procédures permettant de vérifier, d’analyser et d’évaluer régulièrement l’efficacité des mesures de sécurité prises.
La protection et la sécurité des données sont certes en interaction, mais elles doivent être distinguées l’une de l’autre. La protection des données concerne la protection de la personnalité de l’individu. La sécurité des données, en revanche, s’applique de manière générale aux données détenues par un responsable ou un sous-traitant et comprend le cadre technique et organisationnel général du traitement des données. Par conséquent, la protection individuelle des données n’est possible que si des mesures techniques générales sont prises pour assurer la sécurité des données. Il en résulte également une distinction entre l’obligation de sécurité des données visée à l’article 7 P‑LPD et la protection des données par des moyens techniques visée à l’article 6, paragraphe 1, P‑LPD. L’article 7 oblige tant le responsable du traitement que le sous-traitant à prévoir une architecture de sécurité appropriée pour leurs systèmes et à les protéger, par exemple, contre les logiciels malveillants ou la perte de données. L’article 6, paragraphe 1, vise quant à lui à garantir par des moyens techniques le respect des prescriptions en matière de protection des données, par exemple à faire en sorte que le traitement des données reste proportionné. Certaines mesures, comme l’anonymisation des données, peuvent être importantes pour les deux obligations.
L’al. 3 oblige le Conseil fédéral à définir des exigences minimales en matière de sécurité des données.
Bot art. 8 Traitement par le sous-traitant (comptage selon projet)
L’article 8 reprend pour l’essentiel l’actuel article 10a LPD (traitement des données par des tiers). Les al. 1, 2 et 4 contiennent des modifications terminologiques nécessaires en raison des nouvelles notions (sous-traitant, responsable). Comme dans le droit actuel, on peut notamment retenir que le traitement sur mandat de données personnelles protégées par l’art. 321 CP (p. ex. données couvertes par le secret professionnel) n’est pas exclu par la disposition de l’art. 8, al. 1, let. b, P‑LPD si les tiers doivent être qualifiés d’auxiliaires au sens de l’art. 321, ch. 1, al. 1, CP. Si les autres conditions du traitement des commandes sont remplies, celui-ci est donc autorisé sans que la personne concernée doive en plus donner son consentement. L’al. 1 établit un devoir de diligence pour le responsable afin de garantir les droits de la personne concernée lors du traitement des commandes. Le responsable du traitement doit veiller activement à ce que le sous-traitant respecte la loi dans la même mesure que lui-même. Cela concerne notamment le respect des principes généraux, des règles relatives à la sécurité des données, qui sont explicitement mentionnées à l’alinéa 2, ainsi que des règles relatives à la communication à l’étranger. Comme pour l’article 55 CO, le responsable doit empêcher toute violation de la LPD. Il est donc tenu de choisir soigneusement son sous-traitant, de l’instruire de manière appropriée et de le surveiller autant que nécessaire. L’alinéa 3 est nouveau et prévoit que le sous-traitant ne peut confier le traitement à un tiers qu’avec l’autorisation préalable du responsable du traitement. Dans le secteur privé, cette autorisation n’est soumise à aucune forme particulière. Le sous-traitant doit toutefois prouver que l’autorisation a été obtenue. Il est donc dans son intérêt de le documenter. Dans le secteur public, en revanche, l’autorisation doit être donnée par écrit. Il s’agit d’une exigence de la directive (UE) 2016/680 (art. 22, al. 2). Le Conseil fédéral le précisera dans une ordonnance. Tant dans le secteur privé que dans le secteur public, l’autorisation peut être de nature spécifique ou générale. Dans ce dernier cas, le sous-traitant informe le responsable du traitement de toute modification (ajout ou remplacement d’autres sous-traitants) afin qu’il puisse s’opposer à ces modifications.
Le traitement de données au sein de la même personne morale (filiale, unité administrative, collaborateurs) ne constitue en principe pas un traitement par des sous-traitants. Si les données sont conservées dans un “nuage”, il s’agit en principe d’un cas d’application du traitement sur commande, qui doit remplir les conditions correspondantes. Si des données sont communiquées à l’étranger, les conditions des articles 13 et 14 doivent également être remplies.
Bot Art. 9 Conseiller en matière de protection des données (recensement selon projet)
L’article 9 régit le conseiller interne à la protection des données. Le droit actuel utilise en allemand le terme de Datenschutzverantwortlicher, en italien responsabile, alors qu’en français il est question de conseiller (art. 11a, al. 5, let. e, LPD). Afin d’éviter toute confusion avec le responsable au sens de l’art. 4, let. i, P‑LPD ou avec le responsabile au sens de l’art. 4, let. j, P‑LPD, le P‑LPD introduit en allemand et en italien le terme de Datenschutzberaterin und des Datenschutzberaters ou de consulente per la protezione dei dati. Ainsi, la terminologie est uniforme dans les trois langues.
Le conseiller à la protection des données veille au respect des règles de protection des données au sein d’une entreprise et conseille le responsable en matière de protection des données. Le responsable est toutefois seul responsable du fait que les données personnelles soient traitées conformément à la protection des données.
Cette disposition est insérée dans le P‑LPD suite à la procédure de consultation. Il en est ressorti qu’une mention explicite du conseiller à la protection des données dans la loi est souhaitable. Le P‑LPD va cependant moins loin que le droit européen, qui prévoit dans certains cas l’obligation de désigner un conseiller à la protection des données. Le préposé aurait également préféré cette solution. En revanche, selon la P‑LPD, les entreprises sont libres de nommer ou non un conseiller à la protection des données, tandis que les organes fédéraux sont en principe tenus d’en nommer un.
Alinéas 1 et 2 Nomination
Les responsables privés peuvent en principe désigner à tout moment un conseiller à la protection des données, comme le stipule l’alinéa 1. La loi prévoit toutefois des allégements en ce qui concerne l’analyse d’impact relative à la protection des données pour les responsables qui ont désigné un tel conseiller.
L’al. 2 définit les conditions qui doivent être remplies pour que ces allégements puissent être appliqués (let. a). Ce faisant, le P‑LPD reprend en grande partie le droit en vigueur (cf. art. 12a s. OLPD).
Le responsable peut désigner un collaborateur
Le responsable du traitement peut désigner un collaborateur ou un tiers comme conseiller à la protection des données. Selon la lettre a, la personne doit toutefois exercer sa fonction de manière professionnellement indépendante ; elle n’est pas soumise à des instructions de la part du responsable du traitement. S’il s’agit d’un collaborateur, la classification hiérarchique au sein de l’entreprise doit garantir que le conseiller à la protection des données reste indépendant. En principe, il ou elle devrait être directement subordonné(e) à la direction du responsable.
La let. b concrétise davantage l’indépendance du conseiller à la protection des données. Selon cette disposition, ces personnes ne peuvent pas exercer d’activités incompatibles avec leurs tâches. Cela pourrait par exemple être le cas si le conseiller à la protection des données est membre de la direction, s’il exerce des fonctions dans les domaines de la gestion du personnel ou des systèmes d’information ou s’il appartient à un service qui traite lui-même des données personnelles sensibles. En revanche, il est par exemple envisageable de cumuler la fonction de conseiller à la protection des données avec celle de responsable de la sécurité de l’information.
Selon la lettre c, le conseiller à la protection des données doit enfin disposer des connaissances techniques nécessaires pour assumer cette tâche. Ainsi, cette activité requiert des connaissances spécialisées aussi bien dans le domaine de la législation sur la protection des données que dans celui des normes techniques relatives à la sécurité des données.
Le conseiller à la protection des données est un interlocuteur important tant pour la personne concernée que pour le préposé en ce qui concerne les traitements de données effectués par l’entreprise en question. Selon la let. d, le responsable doit donc publier les coordonnées du conseiller à la protection des données et les communiquer au préposé. Une obligation analogue doit également être prévue dans l’ordonnance pour les organes fédéraux.
al. 3 Conseiller à la protection des données des organes fédéraux
L’al. 3 oblige le Conseil fédéral à édicter des règles relatives à la désignation du conseiller à la protection des données par les organes fédéraux. Selon le droit en vigueur, celles-ci se trouvent également pour la plupart dans l’ordonnance.
Dans le domaine Schengen, les organes fédéraux sont tenus, en vertu de l’article 32 de la directive (UE) 2016/680, de désigner un conseiller à la protection des données.
Bot Art. 10 Codes de conduite (comptage selon projet)
Le Conseil fédéral souhaite encourager l’élaboration de codes de conduite. Ceux-ci répondent à un besoin mis en évidence par l’analyse d’impact de la réglementation (cf. ch. 1.8), compte tenu du caractère général de la législation et de son champ d’application personnel et matériel extrêmement étendu. De tels codes permettent de préciser certaines notions comme le risque élevé (art. 20 P‑LPD) ou les modalités d’obligations comme l’obligation d’informer (art. 17 – 19 P‑LPD) et l’obligation de procéder à une analyse d’impact relative à la protection des données (art. 20 P‑LPD). En outre, des solutions plus précises doivent être trouvées dans des domaines qui soulèvent aujourd’hui de nombreuses questions, comme la vidéosurveillance, le cloud computing ou les réseaux sociaux.
En permettant aux milieux intéressés d’être eux-mêmes actifs et de contribuer à la réglementation des différents domaines, le Conseil fédéral souhaite encourager des solutions sectorielles concertées et largement soutenues. Afin d’encourager l’autorégulation, il propose en outre que les responsables de traitement qui respectent des codes de conduite puissent, sous certaines conditions, renoncer à effectuer une analyse d’impact relative à la protection des données (art. 20, al. 5, P‑LPD).
La promotion de l’adoption de codes de conduite par les États et les autorités de surveillance est également prévue par le règlement (UE) 2016/679 (art. 40 et 57, par. 1, point m)).
Dans le secteur privé, les codes de conduite doivent émaner d’associations professionnelles ou économiques qui sont habilitées par leurs statuts à défendre les intérêts économiques de leurs membres. Les responsables individuels ou les personnes travaillant sur mandat ne peuvent pas soumettre de codes de conduite au préposé, car les codes de conduite ont pour objectif une certaine uniformisation au sein d’un secteur donné. Dans le secteur public, les codes de conduite peuvent en revanche émaner d’un seul organe fédéral. Cela se justifie notamment par les nombreuses bases légales et la diversité des tâches des différents organes.
L’alinéa 1 prévoit que les codes de conduite peuvent être soumis au préposé. Celui-ci prend position (al. 2). Le délai dans lequel il doit prendre position dépend des circonstances du cas d’espèce.
L’avis ne constitue pas une décision. Les parties intéressées ne peuvent donc pas tirer de droits d’une prise de position positive ou d’une renonciation à une prise de position. Néanmoins, en cas de prise de position positive du préposé, on peut partir du principe qu’un comportement conforme au code de conduite n’entraînera pas de mesures administratives. Le préposé publie sa prise de position, qu’il donne une appréciation positive ou négative du code de conduite qui lui est soumis.
Le préposé aurait préféré que les associations soient tenues de lui soumettre les codes pour approbation. Le Conseil fédéral y a renoncé en raison des résultats de la consultation, mais aussi parce que le préposé aurait dû statuer par voie de décision, ce qui aurait entraîné des coûts supplémentaires.
Bot Art. 11 Registre des activités de traitement (comptage selon projet)
L’E-DSG prévoit l’obligation de tenir un registre des activités de traitement en lieu et place de l’obligation de documentation prévue dans l’avant-projet. La consultation a révélé que ce que recouvre l’obligation de documentation n’était pas assez clair. En outre, le registre des activités de traitement est désormais classé parmi les dispositions générales de protection des données. Cela met en évidence le lien étroit avec les principes de protection des données. L’obligation de tenir un registre remplace l’obligation de déclarer les fichiers selon le droit en vigueur. La directive (UE) 2016/680 prévoit un tel registre à l’article 24 ; le règlement (UE) 2016/679 contient une disposition analogue à l’article 30.
L’obligation de tenir un registre incombe, conformément au paragraphe 1, au responsable du traitement et au sous-traitant.
Le paragraphe 2 énumère les informations minimales que doit contenir le registre. Il s’agit tout d’abord de l’identité (nom) du responsable (let. a) et de la finalité du traitement (let. b). Une description des catégories de personnes concernées et des catégories de données personnelles traitées doit également être fournie (let. c). Par catégories de personnes concernées, on entend des groupes typiques ayant certaines caractéristiques communes, comme par exemple les “consommateurs”, les “militaires” ou les “employés”. Les catégories de données personnelles traitées désignent le type de données traitées, par exemple les données personnelles sensibles. Les catégories de destinataires (let. d) auxquels les données personnelles sont éventuellement communiquées doivent également être mentionnées. Ici aussi, il s’agit de groupes typiques ayant des caractéristiques communes, comme par exemple les “autorités de surveillance”. Selon la let. e, le registre doit indiquer la durée de conservation des données personnelles. Étant donné que, conformément à l’article 5, paragraphe 4, la durée de conservation est fonction de l’utilisation prévue, il n’est parfois pas possible de la déterminer avec précision, ce qui est exprimé par l’expression “si possible”. S’il n’est pas possible de fournir des informations précises, le registre doit au moins indiquer les critères utilisés pour déterminer cette durée. Selon la let. f, le registre doit enfin contenir une description générale des mesures visant à garantir la sécurité des données conformément à l’art. 7, dans la mesure du possible. Par cette description, le registre doit permettre de mettre en évidence les lacunes des mesures de sécurité. L’expression “si possible” indique clairement que la description ne doit être faite que si les mesures peuvent être décrites de manière suffisamment concrète. Si ces destinataires se trouvent à l’étranger, il doit également ressortir de la liste si les conditions de communication à l’étranger sont en principe remplies. C’est pourquoi la let. g prévoit l’indication de l’État et des garanties prévues à l’art. 13, al. 2.
L’énumération de l’alinéa 2 indique clairement que l’inventaire est une description générale de l’activité de traitement, qui permet de déterminer la nature et l’étendue d’un traitement. En revanche, il ne s’agit pas d’un journal de tous les traitements de données effectués par le responsable du traitement ou le sous-traitant, dans lequel les différentes actions sont énumérées sous forme de procès-verbal. Le registre est donc une représentation écrite des informations essentielles relatives à tous les traitements de données effectués par un responsable ou un sous-traitant. Il permet donc de tirer des conclusions essentielles sur la conformité ou non d’un traitement de données avec les principes de la protection des données. En outre, les informations minimales de la liste de l’al. 2 sont à bien des égards en corrélation avec les informations que la personne concernée doit obtenir en vertu du devoir d’information et du droit d’accès.
Le paragraphe 3 contient une liste abrégée d’informations minimales à fournir par le responsable du traitement. Celui-ci doit notamment mentionner les catégories de traitements effectués pour le compte de chaque responsable. La liste du sous-traitant contient en outre l’identité des responsables pour lesquels il travaille. Conformément à l’al. 4, les organes fédéraux communiquent leurs listes au préposé. Celui-ci tient un registre des activités de traitement des organes fédéraux conformément à l’article 50. Ce registre est publié. Pour les organes fédéraux, cela n’entraînera en principe aucun changement par rapport au droit en vigueur. En effet, ils doivent d’ores et déjà élaborer un règlement de traitement et procéder à une déclaration de fichier auprès du préposé.
L’alinéa 5 donne au Conseil fédéral la possibilité de prévoir des exceptions à l’obligation de tenir un registre pour les entreprises qui emploient moins de 50 personnes. Cette disposition vise notamment à alléger la charge des petites et moyennes entreprises. A cet égard, le Conseil fédéral ne se basera toutefois pas uniquement sur la taille d’une entreprise, mais tiendra également compte des risques liés au traitement des données.
Bot Art. 12 Certification (comptage selon projet)
L’article 12 de la P‑LPD réglemente la certification facultative, qui est actuellement régie par l’article 11 de la LPD. Outre les systèmes de traitement des données (procédure, organisation) et les produits (programmes, systèmes), il sera désormais également possible de certifier certains services.
Les responsables certifiés sont dispensés de l’obligation d’effectuer une analyse d’impact relative à la protection des données (art. 20, al. 5, P‑LPD).
La procédure d’accréditation des organismes de certification indépendants par le Service d’accréditation suisse, auquel le préposé est également associé, reste inchangée. Le préposé aurait préféré qu’une obligation de certification soit introduite pour les traitements à haut risque. Le Conseil fédéral y a renoncé, car il ne s’agit pas d’une exigence du droit européen.
nn.
Bot Art. 13 Principes (comptage selon projet)
Cette disposition répond aux exigences de l’article 12 P‑SEV 108, selon lequel les données ne peuvent en principe être transmises à l’étranger que s’il existe un niveau de protection des données adéquat (al. 2). L’article 12, paragraphe 3, P‑SEV 108 définit les cas dans lesquels cette condition est remplie. La réglementation de l’art. 13 P‑LPD permet également de s’aligner sur le droit de l’Union européenne (art. 45 ss. du règlement [UE] 2016/679).
Les dispositions relatives à la communication de données personnelles à l’étranger ont été partiellement remaniées en tenant compte des résultats de la procédure de consultation. Le principe selon lequel les données personnelles ne peuvent pas être communiquées à l’étranger si la personnalité des personnes concernées s’en trouve gravement menacée est supprimé, car il crée une insécurité juridique par rapport à la systématique de la réglementation. La terminologie relative à la communication de données personnelles à l’étranger sur la base de garanties appropriées est adaptée à celle du règlement (UE) 2016/679. Les exceptions liées à la communication de données personnelles dans un Etat dont la législation n’offre pas une protection adéquate des données sont en outre légèrement assouplies. Enfin, seules les obligations d’information du préposé et d’obtention de son autorisation exigées par le P‑SEV 108 sont maintenues.
al. 1 Constatation par décision du Conseil fédéral
Selon l’al. 1, des données peuvent être communiquées à l’étranger si le Conseil fédéral a constaté que la législation de l’Etat concerné ou l’organe international garantit une protection adéquate. Cette disposition confère expressément au Conseil fédéral la compétence d’examiner le caractère adéquat de la législation étrangère en matière de protection des données.
La situation actuelle n’est pas satisfaisante, car il incombe au maître de fichier qui souhaite communiquer des données de vérifier si la législation de l’Etat concerné garantit une protection adéquate. Le cas échéant, il doit se référer à la liste du préposé des Etats qui remplissent cette exigence (art. 7 LPD). Afin de garantir une application uniforme de l’article 13, l’adéquation de la législation étrangère sera à l’avenir examinée par le Conseil fédéral. Lors de son examen, le Conseil fédéral doit non seulement examiner si l’Etat étranger dispose d’une législation qui satisfait matériellement aux exigences du P‑SEV 108, mais aussi comment cette législation est appliquée. Le Conseil fédéral peut également examiner si la protection des données garantie par un organe international est adéquate. Le terme “organe international” se réfère à toutes les institutions internationales, qu’il s’agisse d’organisations ou de tribunaux.
Le résultat de cet examen sera publié dans une ordonnance du Conseil fédéral qui sera insérée dans le Recueil officiel. La future ordonnance précisera que le Conseil fédéral évaluera périodiquement la situation et que le préposé publiera sur son site Internet une liste des États ou organes internationaux qui, selon le constat du Conseil fédéral, garantissent une protection adéquate des données.
L’ordonnance est conçue comme une liste positive et contient une énumération des Etats qui disposent d’une législation garantissant une protection adéquate. Si un pays étranger ne figure pas dans l’ordonnance du Conseil fédéral, il peut y avoir deux raisons : Soit la législation de l’Etat en question n’a pas encore été examinée, soit le Conseil fédéral est arrivé à la conclusion que la législation de l’Etat ne répond pas aux exigences de la garantie d’une protection adéquate. Avec la révision, la constatation du Conseil fédéral devient un critère légal contraignant pour les responsables qui prévoient de communiquer des données à l’étranger, alors que l’ancienne liste des préposés n’était conçue que comme un outil mis à leur disposition. Cette solution va dans le sens de la sécurité juridique.
Pour son examen, le Conseil fédéral peut s’appuyer sur les sources disponibles, notamment les évaluations réalisées dans le cadre de la convention STE 108 ou par l’Union européenne. Il serait également envisageable de collaborer avec des autorités étrangères et de s’associer à leur processus d’évaluation.
Si le Conseil fédéral constate que la législation d’un Etat ou un organe international garantit une protection adéquate, la libre circulation des données personnelles de la Suisse vers cet Etat ou cet organe est autorisée tant par les responsables privés que par les organes fédéraux.
Al. 2 Pas de décision du Conseil fédéral
En l’absence de décision du Conseil fédéral au sens de l’al. 1, l’al. 2 prévoit que des données personnelles peuvent être communiquées à l’étranger si une protection des données appropriée est garantie.
Selon le point a), une protection appropriée peut être assurée par un traité international. Par “traité international”, on entend non seulement un accord international de protection des données, tel que la convention STE 108 et son protocole additionnel, auquel l’État destinataire est partie et dont les exigences ont été mises en œuvre par la partie contractante dans son droit interne, mais aussi tout autre accord international qui prévoit un échange de données entre les parties contractantes et qui répond matériellement aux exigences de la convention STE 108. Il peut également s’agir d’un traité international conclu par le Conseil fédéral dans le cadre de l’article 61, point b), P‑LPD.
Le paragraphe 2, points b) à d), répond aux exigences de l’article 12, paragraphe 3, point b), du P‑SEV 108, qui prévoit qu’un niveau adéquat de protection des données peut être assuré par des garanties ad hoc et standardisées approuvées, fondées sur des instruments juridiquement contraignants et exécutoires, convenus et mis en œuvre par les personnes concernées par la communication et le traitement ultérieur des données. L’article 46 du règlement (UE) 2016/679 et l’article 37 de la directive (UE) 2016/680 prévoient de telles dispositions.
Lettre b Clauses de protection des données dans un contrat
Selon l’al. 2, let. b, des données personnelles peuvent être communiquées à l’étranger si le responsable et le partenaire contractuel ont convenu de clauses de protection des données dans leur contrat. La notion de “clauses de protection des données” correspond à la terminologie de l’article 46, paragraphe 3, point a), du règlement (UE) 2016/679. Les clauses doivent être communiquées au préalable au préposé. Dès que le responsable a satisfait à cette obligation, les données personnelles peuvent être communiquées à l’étranger. Le cas échéant, le préposé doit ouvrir une enquête afin de déterminer si les clauses satisfont aux exigences. Comme c’est déjà le cas aujourd’hui, il appartient au responsable de prouver qu’il a pris toutes les mesures nécessaires pour s’assurer qu’une protection adéquate existe et que le destinataire respecte les clauses contractuelles de protection des données. Contrairement aux clauses standard de protection des données (voir let. d), les clauses de protection des données figurant dans un contrat ne s’appliquent qu’à la communication prévue par le contrat en question.
Lettre c Garanties spécifiques
Dans le secteur public, un organe fédéral qui s’engage à coopérer avec un État étranger peut lier cet engagement à des garanties spécifiques dans le domaine de la protection des données. Il peut s’agir par exemple d’accords correspondants avec l’organe étatique étranger en question. L’organe fédéral doit les communiquer préalablement au préposé. Dès que le responsable a satisfait à cette obligation, les données personnelles peuvent être communiquées à l’étranger.
Lettre d Clauses standard de protection des données
Selon l’al. 2, let. d, des données peuvent être communiquées à l’étranger sur la base de clauses standard de protection des données. Cette disposition reprend la terminologie de l’art. 46, al. 2, let. c et d, du règlement (UE) 2016/679. Les clauses standard peuvent être élaborées par des particuliers, des milieux intéressés ou des organes fédéraux ou être émises ou reconnues par le préposé. Les organes fédéraux peuvent également recourir à ce type de garanties. La notion de “clause standard de protection des données” concerne par exemple des clauses contractuelles standardisées insérées dans le contrat entre le responsable du traitement et le destinataire. Il peut également s’agir d’un code de conduite élaboré par des personnes privées et auquel ces dernières peuvent se soumettre volontairement.
Dans le premier cas, les clauses standard de protection des données doivent être préalablement approuvées par le préposé. Cette condition constitue un durcissement par rapport au droit en vigueur, selon lequel le préposé doit simplement être informé ( art. 6, al. 3, LPD). Elle correspond à l’exigence de l’art. 12, al. 2, let. b, P‑LPDT 108. Le responsable ne peut pas communiquer de données à l’étranger sur la base des clauses standard de protection des données tant qu’il n’a pas reçu du préposé une décision correspondante susceptible de recours (art. 5 PA”>art. 5 PA). Pendant la durée de la procédure, il peut se fonder sur l’art. 13, al. 2, let. b ou c. Le délai dans lequel le responsable doit rendre une décision est régi par l’ordonnance du 25 mai 2011 sur les délais d’ordre (OrFV). Selon l’article 4 de l’OrFV, le délai dans lequel une autorité rend sa décision dépend de la complexité de la décision, le délai maximum étant de trois mois. Dans le second cas, le responsable peut également recourir à des clauses standard de protection des données émises ou reconnues par le mandataire, par exemple des contrats types.
Lorsqu’un responsable décide de communiquer des données à l’étranger sur la base de clauses standard de protection des données au sens de l’alinéa 2, lettre d, il est présumé avoir pris toutes les mesures nécessaires pour s’assurer d’un niveau de protection adéquat. Toutefois, cette présomption ne le dégage pas de sa responsabilité pour les préjudices qui pourraient résulter d’une violation de ces clauses, notamment par le destinataire des données. Il convient donc de prévoir dans le futur règlement l’obligation pour le préposé de publier une liste des clauses standard de protection des données émises ou reconnues, comme le prévoit d’ailleurs le droit en vigueur (art. 6, al. 3, OLPD).
let. e Règles internes contraignantes en matière de protection des données
Selon l’al. 2, let. e, la communication de données à l’étranger peut également se faire sur la base de prescriptions internes contraignantes en matière de protection des données, qui ont été préalablement approuvées par le préposé ou par une autorité étrangère compétente en matière de protection des données. Cette disposition remplace l’article 6, alinéa 2, lettre g LPD. L’al. 2, let. e, se rapproche du droit de l’Union européenne qui prévoit, à l’art. 47 du règlement (UE) 2016/679, que des données peuvent être transférées entre les membres d’un groupe d’entreprises sur la base de règles internes contraignantes en matière de protection des données, préalablement approuvées par l’autorité de surveillance de la protection des données. L’approbation de règles d’entreprise contraignantes est prévue à l’article 57, paragraphe 1, point s), du règlement (UE) 2016/679. Le paragraphe 2, point e), constitue un renforcement du droit en vigueur dans la mesure où les règles d’entreprise contraignantes en matière de protection des données doivent désormais être approuvées. Le responsable ne peut pas communiquer de données à l’étranger sur la base des prescriptions internes contraignantes en matière de protection des données de l’entreprise tant qu’il n’a pas reçu du préposé une décision correspondante susceptible de recours (art. 5 PA”>art. 5 PA). Pendant la durée de la procédure, il peut s’appuyer sur l’art. 13, al. 2, let. b ou c.
Afin de tenir compte des besoins des groupes d’entreprises qui s’étendent sur plusieurs pays, le paragraphe 2, point e), prévoit qu’une entreprise établie en Suisse et appartenant à un tel groupe peut également se conformer à des règles de protection des données contraignantes approuvées par une autorité étrangère compétente en matière de protection des données et appartenant à un État qui assure un niveau de protection adéquat.
Les instruments mentionnés au paragraphe 2, point e), doivent être “contraignants” en ce sens que toutes les sociétés appartenant au même groupe de sociétés doivent respecter et appliquer les règles. Ces normes précisent au moins la communication de données en question, les catégories de données communiquées, la finalité du traitement, les catégories de personnes concernées et les Etats destinataires. En outre, les normes doivent régler les droits des personnes concernées et contenir également des indications sur les mécanismes mis en place au sein du groupe d’entreprises pour en vérifier le respect. Le cas échéant, le Conseil fédéral peut définir, dans l’ordonnance d’exécution, les critères auxquels doivent répondre les règles contraignantes internes à l’entreprise.
Al. 3 Délégation législative
Cette disposition habilite le Conseil fédéral à prévoir d’autres garanties appropriées au sens de l’al. 2. En effet, il n’est pas exclu que d’autres systèmes soient développés, comme par exemple des systèmes d’autocertification selon le modèle du Swiss-US P
rivacy Shield (voir l’article 46, paragraphe 2, point f), du règlement [UE] 2016/679).
Bot Art. 14 Exceptions (comptage selon projet)
Alinéa 1
S’inspirant du droit en vigueur (art. 6, al. 2, LPD), l’art. 14, al. 1, P‑LPD règle les cas dans lesquels des données peuvent être communiquées à l’étranger alors qu’une protection adéquate fait défaut à l’étranger. Il correspond pour l’essentiel à l’art. 12, al. 4, P‑SEV 108 et à l’art. 49 du règlement (UE) 2016/679. La directive (UE) 2016/680 contient une disposition correspondante à l’art. 38.
La let. a correspond à l’art. 6, al. 2, let. b, LPD, à ceci près que la personne concernée doit donner son consentement explicite et que l’expression “au cas par cas” est supprimée. Le consentement explicite est une exigence du P‑SEV 108 (article 12, paragraphe 4, point a)). cet égard, on peut se référer aux explications relatives à l’article 5, paragraphe 6, LPD. La personne concernée doit notamment connaître le nom de l’Etat tiers (art. 17, al. 4, P‑LPD) et être informée des risques de la communication en relation avec le niveau de protection des données dans l’Etat étranger. En ce qui concerne l’expression “au cas par cas”, le Conseil fédéral est d’avis qu’elle peut être supprimée. Comme il ressort de l’article 5, paragraphe 6, P‑LPD, la personne concernée donne son consentement pour un ou plusieurs traitements déterminés. La précision “au cas par cas” est donc superflue.
La let. b correspond à l’art. 6, al. 2, let. c, LPD, sous réserve que les données personnelles puissent être communiquées à l’étranger si la communication est directement liée à la conclusion ou à l’exécution d’un contrat entre le responsable et la personne concernée ou entre le responsable et son cocontractant dans l’intérêt de la personne concernée. L’article 49, paragraphe 1, du règlement (UE) 2016/679 prévoit une disposition analogue.
La let. c, ch. 1, correspond à l’art. 6, al. 2, let. d, première partie de la phrase, LPD. Le terme “indispensable” est remplacé par “nécessaire” dans la phrase introductive, conformément aux actes législatifs européens. L’existence d’un intérêt public prépondérant doit être démontrée dans les circonstances concrètes. Un intérêt purement hypothétique ne suffit pas. Par “sauvegarde d’un intérêt public prépondérant”, on entend par exemple la sécurité intérieure de la Suisse ou d’un État tiers. En vertu de cette disposition, des données personnelles peuvent également être communiquées à l’étranger pour des raisons humanitaires, par exemple lorsque le responsable les communique pour aider à retrouver des personnes disparues dans une zone de conflit ou dans une région où s’est produite une catastrophe naturelle.
La let. c, ch. 2, correspond à l’art. 6, al. 2, let. d, 2e partie de la phrase, LPD, sauf que l’expression “devant un tribunal”, jugée trop restrictive, est remplacée par “devant un tribunal ou une autre autorité étrangère compétente”.
La lettre d précise que la communication est également autorisée lorsqu’elle est nécessaire pour protéger la vie ou l’intégrité physique de la personne concernée ou d’un tiers, dans la mesure où il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable. Cela peut être le cas parce que celle-ci n’est pas physiquement en mesure de le faire ou parce qu’elle n’est pas joignable par les moyens de communication habituels.
La lettre e correspond à l’article 6, paragraphe 2, lettre f, de la LPD.
La lettre f est une nouvelle disposition. Elle précise que l’exigence d’un niveau de protection adéquat ne s’applique pas lorsque les données à communiquer à l’étranger proviennent d’un registre public réglementé par la loi et que certaines conditions légales sont remplies. L’article 49, paragraphe 1, point g), du règlement (UE) 2016/679 suit la même orientation : il prévoit que la communication de données provenant d’un registre est autorisée malgré l’absence d’une protection adéquate si le registre est destiné à l’information du public conformément au droit de l’Union européenne ou des États membres et si certaines conditions légales sont remplies.
Alinéa 2
Selon cette disposition, le préposé peut demander au responsable du traitement ou au sous-traitant de lui communiquer les communications de données personnelles effectuées en vertu du paragraphe 1, points b), 2), c) et d). Cette disposition répond aux exigences de l’article 12, paragraphe 5, du P‑SEV 108. L’avant-dernière phrase de l’article 49, paragraphe 1, du règlement (UE) 2016/679 va plus loin que cette disposition, puisqu’elle prévoit que les responsables informent d’eux-mêmes l’autorité de contrôle des communications de données personnelles effectuées en vertu de l’article 47.
Si des données personnelles sont rendues généralement accessibles pour l’information du public au moyen de services d’information et de communication automatisés, cela n’est pas considéré comme une communication à l’étranger, même si les données sont accessibles depuis l’étranger.
Bot Art. 15 Publication de données personnelles sous forme électronique (recensement selon projet)
Cette disposition reprend le contenu de l’article 5 OLPD. Elle règle la publication de données personnelles via Internet ou d’autres services d’information et de communication en vue d’informer le public. Il est ainsi possible de consulter à l’étranger – même dans des Etats qui ne garantissent pas une protection des données adéquate – des informations sur Internet avec ou sans données personnelles. La publication de données personnelles sur Internet à des fins d’information du public n’est pas considérée, comme dans le cas des médias par exemple, comme une communication de données personnelles à l’étranger.
Bot Art. 17 Obligation d’informer lors de la collecte de données personnelles (art. 3 du projet)
L’article 17 P‑LPD règle désormais le devoir d’information lors de la collecte de données. Les articles 14, 18 et 18a LPD sont ainsi réunis en une seule norme. Cela permet d’éviter les doublons et d’appliquer une réglementation uniforme pour le traitement des données par les organes fédéraux et les responsables privés. La disposition répond aux exigences de l’art. 7E-SEV 108 et de l’art. 13 de la directive (UE) 2016/680. Les art. 13 s. du règlement (UE) 2016/679 contiennent une réglementation similaire.
L’obligation d’informer améliore la transparence du traitement des données, qui est un objectif central de la révision. En effet, en l’absence d’informations, la personne concernée ne peut généralement pas savoir que des données la concernant sont traitées. Parallèlement, la personne concernée ne peut faire valoir ses droits conformément à la LPD que si elle a connaissance d’un traitement de données. L’amélioration de la transparence lors du traitement des données renforce donc également les droits de la personne concernée, ce qui est également un objectif central de la révision. Enfin, l’obligation d’informer sert à sensibiliser la population à la protection des données, ce qui est également l’objectif de la révision.
Alinéa 1 Principe
Selon l’alinéa 1, le responsable doit informer la personne concernée de la collecte de données personnelles. Cela vaut également lorsque les données ne sont pas collectées auprès de la personne concernée.
L’E-DSG ne précise pas de quelle manière l’information doit être fournie. Le responsable doit cependant s’assurer que la personne concernée peut effectivement prendre connaissance de l’information. Il s’agit donc de garantir la possibilité de s’informer d’une manière facilement accessible, mais pas que la personne concernée s’informe réellement dans le cas concret. Cette possibilité de prendre connaissance des informations dépend essentiellement du fait que les données sont collectées ou non auprès de la personne concernée.
Ainsi, une information générale peut suffire si les données personnelles sont collectées auprès de la personne concernée (pour les conditions générales, cf. art. 18, al. 1). Dans ce cas, on peut imaginer une déclaration de protection des données sur un site web, mais aussi, le cas échéant, des symboles ou des pictogrammes, pour autant qu’ils reproduisent les informations nécessaires. Si une forme générale est choisie, l’information doit être facilement accessible, complète et rendue suffisamment visible. Un accès à plusieurs niveaux est également possible, avec par exemple un aperçu au premier niveau, qui donne accès à des informations détaillées au deuxième niveau. En revanche, la simple mention d’une personne de contact n’est pas suffisante. La personne concernée doit pouvoir obtenir les informations sans avoir à les demander au préalable.
En revanche, si les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit examiner la manière dont l’information doit être fournie pour que la personne concernée puisse effectivement en prendre connaissance. Le cas échéant, il ne suffit pas dans ce cas de fournir simplement des informations, mais la personne concernée doit être activement informée, que ce soit sous une forme générale appropriée ou par une information individuelle. Par exemple, une personne qui n’achète jamais de livres ne visitera pas le site web d’un libraire en ligne et ne lira pas sa déclaration de confidentialité. Par conséquent, elle n’apprendra pas non plus, sur la base de cette déclaration générale, que le libraire en ligne traite des données la concernant, car elle ne s’y attend pas du tout. L’obligation d’information doit donc en principe aussi empêcher que des données soient traitées à l’insu de la personne concernée ; les exceptions prévues à l’article 18 demeurent réservées.
L’information n’est certes pas soumise à une exigence de forme, mais il convient de choisir globalement une forme qui réponde à l’objectif d’un traitement transparent des données. Pour des raisons de preuve, il est en outre recommandé de documenter l’information ou de la donner par écrit. L’information doit également être rédigée de manière compréhensible, de sorte qu’elle serve effectivement l’objectif d’un traitement transparent des données.
Alinéa 2 Informations à communiquer
La phrase introductive du paragraphe 2 définit le principe qui doit guider le responsable du traitement dans la communication des informations. Il doit donc communiquer à la personne concernée les informations nécessaires pour lui permettre de faire valoir ses droits conformément à la loi et pour garantir un traitement transparent des données. Les lettres a à c concrétisent ce principe par des informations minimales qui doivent être communiquées dans tous les cas à la personne concernée. Il s’agit, selon la lettre a, de l’identité, c’est-à-dire du nom, et des coordonnées du responsable et, selon la lettre b, du but du traitement. Le cas échéant, il convient en outre d’indiquer, conformément à la lettre c, les destinataires ou les catégories de destinataires auxquels les données personnelles sont communiquées. Le responsable du traitement a le choix d’indiquer les destinataires ou uniquement les catégories de destinataires. Comme dans l’Union européenne (cf. article 4, point 9, du règlement [UE] 2016/679), les sous-traitants font également partie des destinataires au sens de la disposition. Si le responsable ne souhaite toutefois pas divulguer leur identité, il peut se contenter d’indiquer leur catégorie. Le sous-traitant aurait préféré que la base juridique du traitement soit également communiquée.
Grâce à la combinaison d’une a
Entre la règle générale, qui contient les exigences fondamentales en matière d’informations à fournir, et les informations minimales spécifiques, l’obligation d’information peut être appliquée de manière flexible. En fonction du type de données traitées, de la nature et de l’ampleur du traitement de données en question, le responsable doit ou non fournir davantage d’informations. Par exemple, il peut également être nécessaire d’informer sur la durée du traitement ou l’anonymisation des données. Cette flexibilité est nécessaire parce que la LPD s’applique à une multitude de traitements de données différents. En même temps, une réglementation flexible garantit que les responsables ne doivent pas transmettre d’informations inutiles et que les personnes concernées ne reçoivent que les informations nécessaires. De même, cela permet aux responsables de concrétiser l’obligation d’information pour leur secteur spécifique dans des codes de conduite.
al. 3 Catégories de données personnelles
Ce n’est que lorsque les données ne sont pas collectées auprès de la personne concernée que le responsable doit en outre, selon l’al. 3, indiquer à la personne concernée les catégories de données personnelles qu’il traite. Cette restriction découle de l’hypothèse selon laquelle la personne concernée est susceptible de connaître au moins les catégories de données, voire les données, si celles-ci sont collectées auprès d’elle. Si les données ne sont pas collectées auprès de la personne concernée, celle-ci n’a aucun moyen de savoir quelles catégories de données sont traitées à son sujet et doit donc être informée en conséquence.
Alinéa 4 Communication à l’étranger
Si les données personnelles sont communiquées à l’étranger, le responsable doit également informer la personne concernée de l’État dans lequel les données sont transférées. Si cet État n’assure pas une protection adéquate et que le responsable du traitement a recours aux garanties prévues à l’article 13, paragraphe 2, il doit également communiquer ces garanties à la personne concernée. Il en va de même si la communication a lieu en vertu d’une exception prévue à l’article 14.
al. 5 Moment de l’information
Si les données sont collectées auprès de la personne concernée, celle-ci doit être informée à ce moment-là. Cela découle du paragraphe 2.
L’alinéa 5 règle le moment de l’information lorsque les données ne sont pas collectées auprès de la personne concernée. La disposition fixe à cet effet un délai maximal d’un mois dans lequel l’information doit avoir lieu. La deuxième phrase prévoit un délai plus court pour le cas où le responsable communique les données personnelles à des destinataires avant l’expiration de ce délai d’un mois. Dans ce cas, la personne concernée doit être informée au plus tard au moment de la communication.
En résumé, le délai de base est donc d’un mois à compter de la réception des données par le responsable. Ce délai s’applique indépendamment de l’usage qui est fait des données personnelles. Un délai plus court ne s’applique que si le responsable communique les données personnelles à des destinataires.
Bot Art. 18 Dérogations à l’obligation d’information et restrictions (comptage selon projet)
L’article 18 P‑LPD définit les circonstances dans lesquelles l’obligation d’informer est totalement supprimée (al. 1 et 2) et celles dans lesquelles l’information peut être limitée, bien que l’obligation d’informer existe en principe (al. 3). Les deux cas de figure doivent être clairement distingués l’un de l’autre. La disposition reprend en partie le droit en vigueur (art. 9, art. 14, al. 4 et 5, et art. 18b LPD) qui, pour des raisons de clarté, est réuni en une seule disposition.
Alinéa 1 Exceptions générales à l’obligation d’information
Le paragraphe 1 définit certains cas de figure dans lesquels l’obligation d’information est totalement supprimée et où le responsable ne doit donc pas informer la personne concernée. Selon la let. a, le responsable est dispensé de l’obligation d’informer si la personne concernée dispose déjà des informations visées à l’article 17. On peut partir de ce principe dans plusieurs cas. Tout d’abord, il est possible que la personne concernée ait déjà été informée à une date antérieure et que les informations qui doivent être communiquées n’aient pas changé entre-temps. En principe, il faut également partir du principe que la personne concernée a déjà reçu les informations nécessaires pour consentir à un traitement de données. En effet, un consentement valable n’est possible que si la personne concernée a été informée de manière adéquate. Les informations nécessaires à cet effet correspondent à celles qui doivent être communiquées en vertu de l’article 17 ou vont même au-delà. En règle générale, le consentement est donné au moyen de conditions générales (CG). Celles-ci peuvent donc en principe également servir à informer la personne concernée, dans la mesure où elles contiennent les informations nécessaires. Si la personne concernée a rendu les données accessibles elle-même, sans l’intervention du responsable du traitement, elle est en principe également considérée comme informée de la collecte des données (par exemple, envoi de dossiers de candidature).
Selon la let. b, l’obligation d’informer est supprimée si le traitement est prévu par la loi. Cela peut concerner aussi bien les traitements effectués par les organes fédéraux que par les personnes privées. Les organes fédéraux ne peuvent de toute façon traiter des données que s’il existe une base légale. Les informations correspondantes peuvent généralement être extraites de cette base. Il en va de même pour les personnes privées qui sont tenues par la loi de traiter certaines données, comme c’est le cas par exemple pour le blanchiment d’argent.
Selon la lettre c, le responsable privé est dispensé de l’obligation d’informer s’il est soumis à une obligation légale de garder le secret. Un éventuel conflit de normes est ainsi réglé en ce sens que l’obligation de garder le secret prime en principe sur l’obligation d’informer.
Enfin, selon la lettre d, l’obligation d’informer tombe si les conditions de l’article 25 sont remplies. Cet article règle la limitation du droit à l’information en ce qui concerne les médias à caractère périodique. Pour les mêmes raisons, un privilège analogue pour les médias est également nécessaire pour l’obligation d’informer, afin de tenir suffisamment compte de la fonction particulière des médias.
Alinéa 2 Restriction spécifique
Le paragraphe 2 prévoit une limitation spécifique de l’obligation d’informer dans les cas où les données ne sont pas collectées auprès de la personne concernée. L’obligation d’informer cette dernière est supprimée si l’information n’est pas possible (let. a) ou si elle nécessite des efforts disproportionnés (let. b).
L’information n’est pas possible si la personne concernée ne peut pas être identifiée, par exemple parce qu’il s’agit de la photo d’un inconnu. Toutefois, il ne suffit pas de supposer que l’identification est impossible. Il faut au contraire effectuer des recherches d’une ampleur proportionnelle. L’effort d’information de la personne concernée est disproportionné si l’effort à fournir ne semble pas objectivement justifié par rapport au gain d’information de la personne concernée. Il faut notamment tenir compte du fait qu’un très grand nombre de personnes sont concernées. Ainsi, l’information peut par exemple être liée à un effort disproportionné si les données personnelles sont traitées exclusivement à des fins d’archivage dans l’intérêt public. Informer toutes les personnes concernées représenterait régulièrement un effort extrêmement important et leur intérêt pour l’information devrait souvent être limité, par exemple parce que les données en question sont très anciennes.
Cette exception doit être interprétée de manière stricte. Le responsable ne doit pas se contenter de la présomption que l’information est impossible ou qu’elle ne peut être réalisée qu’au prix d’efforts disproportionnés. Au contraire, il doit en principe prendre toutes les mesures que l’on peut attendre de lui dans les circonstances données pour satisfaire à l’obligation d’information. Ce n’est qu’en cas d’échec de ces mesures que le responsable peut considérer que l’information est impossible.
al. 3 Limitation de l’information
Le paragraphe 3 définit les conditions dans lesquelles le responsable peut renoncer à la communication d’informations, la limiter ou la différer. Contrairement aux al. 1 et 2, l’al. 3 couvre ainsi les constellations dans lesquelles une pesée des intérêts est effectuée. Une distinction est parfois faite selon que le responsable est un organe fédéral ou une personne privée. Sur la base de la pesée des intérêts, le responsable doit aménager l’information en conséquence, c’est-à-dire qu’il doit, selon le cas, limiter la communication, la différer ou y renoncer complètement. L’énumération des différentes exceptions est exhaustive et la disposition doit en principe être interprétée de manière restrictive. L’information ne doit être limitée que dans la mesure où elle est vraiment indispensable. La raison de la limitation de l’obligation d’information doit être mise en relation avec l’intérêt d’un traitement transparent des données. En principe, il convient de choisir la solution la plus favorable pour la personne concernée, qui garantit autant que possible un traitement transparent des données dans les circonstances données.
Lettre a
Selon la lettre a, tout responsable peut limiter la communication des informations, la différer ou y renoncer si cela est nécessaire en raison d’intérêts prépondérants de tiers. Il s’agit en premier lieu des constellations dans lesquelles la personne concernée obtient également des informations sur des tiers par le biais de l’information sur le traitement des données et où les intérêts de ces tiers peuvent ainsi être lésés.
Lettre b
Selon la lettre b, tout responsable peut limiter la communication des informations, la différer ou y renoncer si l’information fait obstacle à la finalité du traitement des données. Cette exception doit être interprétée de manière stricte. Le responsable ne peut l’invoquer que si l’information de la personne concernée exclut totalement la réalisation simultanée de la finalité du traitement. Si un traitement poursuit plusieurs finalités, c’est la finalité centrale qui est déterminante. Il doit s’agir d’une finalité qui revêt une importance considérable et qui justifie une limitation aussi large de l’obligation d’informer. On peut penser par exemple au journalisme d’investigation, qui ne relève pas de l’exception prévue à l’article 18, paragraphe 1, point d), P‑LPD. Ainsi, un journaliste travaillant à la révélation d’un scandale politique pour un documentaire pourrait être empêché par l’obligation d’informer d’enquêter sur les faits en question sans être dérangé. Une telle activité présente également un intérêt public considérable qui justifie une restriction importante de l’obligation d’information. Il est également concevable que des données soient traitées en relation directe avec une procédure à forte valeur litigieuse et qu’elles ne soient utilisées qu’au cours du procès. Dans ce cas également, la divulgation précoce des données ferait entièrement échouer le but du traitement. En outre, il s’agit ici d’un traitement qui constitue un cas particulier tant pour le responsable que pour la personne concernée, car on peut supposer que ni l’un ni l’autre ne sont impliqués quotidiennement dans de telles procédures judiciaires. Dans les deux exemples, il existe un intérêt important au traitement des données et le risque que l’objectif du traitement soit totalement entravé par l’obligation d’information est immédiat et concret. Enfin, dans les deux cas, la personne concernée est informée du traitement des données au plus tard au moment de la publication des données en question ou de leur utilisation dans le cadre de la procédure judiciaire.
Conformément à la classification systématique de l’alinéa 3, l’obligation d’information reste en principe valable. Le responsable ne peut limiter l’information, la différer ou y renoncer que dans la mesure où elle fait directement obstacle à la finalité du traitement. Dans ce contexte, le responsable doit prendre la mesure la plus légère du point de vue de la personne concernée et restreindre aussi peu que possible son droit à un traitement transparent des données compte tenu des motifs de la limitation de l’information.
Enfin, il convient de distinguer l’exception prévue à la lettre b de celle prévue à la lettre c. La let. b doit être interprétée de manière restrictive et ne peut s’appliquer que dans les cas où l’information de la personne concernée ferait totalement échouer le but du traitement. En revanche, le responsable ne peut pas invoquer la lettre b lorsqu’il serait simplement plus agréable ou plus pratique pour lui de renoncer à l’information. De même, un responsable ne pourrait pas invoquer l’exception de manière systématique, pour l’ensemble de ses activités de traitement. Enfin, les intérêts purement économiques (par exemple l’utilisation des données à des fins publicitaires) n’entrent en principe pas non plus dans le champ d’application de la let. b. Le cas échéant, ces intérêts moins importants du responsable peuvent toutefois tomber sous le coup de la let. c. La let. b ne s’applique pas non plus aux intérêts économiques.
Lettre c
Selon l’alinéa 3, lettre c, le responsable privé peut limiter la communication d’informations, la différer ou y renoncer si ses propres intérêts prépondérants l’exigent et s’il ne communique pas les données à des tiers. Un tel intérêt prépondérant ne doit pas être supposé à la légère. L’intérêt de la personne concernée à être informée d’un certain traitement de données afin de pouvoir faire valoir ses droits doit être soigneusement mis en balance avec les intérêts éventuels du responsable du traitement. Il peut être important de savoir quel type de données est traité et de quelle manière, quel est le risque d’atteinte à la personnalité, à quelle fin le traitement des données est effectué.
La Commission a décidé de ne pas donner suite à la demande d’information de la personne concernée, mais d’examiner la question de savoir dans quelle mesure l’information de la personne concernée peut aller à l’encontre de cette finalité et quelle est l’importance de cette finalité au regard de l’activité du responsable du traitement.
let. d
Un organe fédéral peut, en vertu de l’al. 3, let. d, limiter la communication, la différer ou y renoncer si des intérêts publics prépondérants l’exigent (ch. 1). Par intérêt public prépondérant, on entend notamment la sécurité intérieure ou extérieure de la Confédération. La notion de sécurité extérieure inclut, outre le respect des obligations de droit international, l’entretien de bonnes relations avec l’étranger. L’organe fédéral peut également limiter la communication, la différer ou y renoncer si cela risque de compromettre des enquêtes, des investigations ou des procédures administratives ou judiciaires (ch. 2). Il s’agit ainsi de garantir que les dispositions relatives au droit d’être entendu, etc. prévues par les lois de procédure ne puissent pas être contournées par le biais de la LPD.
Bot Art. 19 Obligation d’information dans le cas d’une décision individuelle automatisée (art. 19 du projet)
L’article 19 du P‑DSG prévoit une obligation d’information en cas de décision individuelle automatisée. Cela correspond aux exigences de l’article 8, point a), du P‑SEV 108 et de l’article 11 de la directive (UE) 2016/680. L’article 22 du règlement (UE) 2016/679 contient une disposition similaire. L’introduction de cette nouvelle notion s’explique par le fait qu’en raison de l’évolution technologique, de telles décisions seront de plus en plus fréquentes.
Alinéa 1 Information
Selon le paragraphe 1, le responsable doit informer la personne concernée d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui entraîne des conséquences juridiques pour la personne concernée ou qui l’affecte de manière significative.
Si nécessaire, le Conseil fédéral précisera dans l’ordonnance quand on est en présence d’une décision reposant exclusivement sur un traitement automatisé. C’est le cas lorsqu’il n’y a pas eu d’évaluation du contenu et de décision fondée sur celle-ci par une personne physique. Cela signifie que l’évaluation du contenu des faits sur lesquels la décision est fondée a été effectuée sans l’intervention d’une personne physique. En outre, la décision qui est prise sur la base de cette évaluation des faits n’est pas non plus prise par une personne physique. Une décision individuelle automatisée peut exister même si elle est ensuite communiquée par une personne physique, si celle-ci ne peut plus influencer la décision prise automatiquement. Ce qui est donc déterminant, c’est la mesure dans laquelle une personne physique peut procéder à un examen du contenu et prendre la décision finale sur la base de cet examen. Il est toutefois nécessaire que la décision présente une certaine complexité. De simples décisions “si” ne sont pas couvertes par la notion, comme c’est par exemple le cas pour un retrait au Bancomat (la somme d’argent demandée est dépensée si la couverture du compte est suffisante).
La personne concernée ne doit pas être informée de chaque décision individuelle automatisée. Au contraire, cela n’est nécessaire que si la décision entraîne des conséquences juridiques pour la personne concernée ou l’affecte de manière significative. La décision est liée à un effet juridique lorsqu’elle entraîne des conséquences directes et prévues par la loi pour la personne concernée. Dans le domaine du droit privé, c’est notamment le cas lors de la conclusion d’un contrat ou de sa résiliation. Une approche différenciée est nécessaire. Ainsi, la conclusion d’un contrat d’assurance a une conséquence juridique pour la personne concernée. En revanche, si la personne concernée reçoit ensuite une facture de prime à intervalles réguliers, chaque facture de prime ne constitue pas en soi une décision individuelle supplémentaire ayant une conséquence juridique, car la facturation découle de la conclusion du contrat. Le fait qu’aucun contrat ne soit conclu avec la personne concernée n’a pas non plus de conséquence juridique. Dans le domaine du droit public, il y a notamment une conséquence juridique lorsque des décisions sont prises sur la base d’une décision individuelle automatisée, comme par exemple une évaluation fiscale automatisée.
On considère qu’il y a atteinte grave à la personne concernée lorsque celle-ci est limitée de manière durable, par exemple dans ses intérêts économiques ou personnels. Un simple harcèlement ne suffit pas. Les circonstances concrètes du cas d’espèce sont déterminantes. Il faut notamment tenir compte de l’importance du bien en question pour la personne concernée, de la durabilité des effets de la décision et de l’existence éventuelle d’alternatives. En fonction des conséquences concrètes, un contrat non conclu peut donc constituer ou non un préjudice important. Il peut également y avoir un préjudice important lorsque des prestations médicales sont attribuées sur la base de décisions automatisées.
Le responsable du traitement doit également informer la personne concernée de l’existence d’un profilage si celui-ci conduit à une décision qui entraîne des conséquences juridiques pour la personne concernée ou qui l’affecte de manière significative. Il est par exemple possible que la personne concernée ne puisse pas conclure de contrat de carte de crédit uniquement en raison d’un credit scoring négatif. Cet exemple en particulier illustre également la problématique des décisions individuelles automatisées. Ainsi, un credit scoring négatif peut tout à fait refléter la situation financière réelle d’une personne. Mais il est tout aussi possible que ce credit scoring repose sur des données erronées ou obsolètes qui contredisent totalement la situation financière réelle de la personne concernée. Dans ce cas, la décision automatisée entraîne pour elle un préjudice injustifié.
al. 2 Présentation du point de vue
Le responsable du traitement doit donner à la personne concernée, conformément au paragraphe 2, la possibilité de faire valoir son point de vue si elle le demande. Elle doit notamment avoir la possibilité d’exprimer son point de vue sur le résultat de la décision et, le cas échéant, de demander comment la décision a été prise. Cela doit notamment permettre d’éviter que le traitement des données ne repose sur des données incomplètes, obsolètes ou inexactes. Cela est également dans l’intérêt du responsable du traitement, car des décisions individuelles automatisées incorrectes peuvent également avoir des conséquences négatives pour lui, par exemple en ne concluant pas un contrat avec une personne parce qu’elle a été considérée à tort comme non solvable. La liberté de contracter n’en est pas affectée.
La loi ne précise pas quand la personne concernée doit être informée ni quand elle a la possibilité de faire valoir son point de vue. Par conséquent, cela peut se faire avant ou après la décision. L’information et la consultation sont donc également possibles, par exemple, lorsque la personne concernée reçoit une décision automatisée, dûment identifiée, et qu’elle a ensuite la possibilité de s’exprimer dans le cadre du droit d’être entendu ou en introduisant un recours. Cette procédure ne doit toutefois pas entraîner des coûts si élevés pour la personne concernée (par exemple des frais de procédure) qu’elle y renonce.
al. 3 Exceptions
Selon l’al. 3, l’obligation d’informer et de consulter n’est pas nécessaire si la décision individuelle automatisée est directement liée à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, pour autant que sa demande soit acceptée (let. a). Dans un tel cas, il faut partir du principe que la personne concernée n’a plus d’intérêt à être informée. Il est fait droit à la demande de la personne concernée si le contrat est conclu exactement aux conditions présentées par exemple dans l’offre ou demandées par la personne concernée. Ainsi, il est fait droit à sa demande si un contrat de leasing est conclu au taux d’intérêt indiqué dans l’offre ; il en va autrement si le contrat de leasing est certes conclu, mais à un taux moins avantageux que celui indiqué dans l’offre en raison d’une mauvaise notation de crédit de la personne concernée. Il s’agit de savoir si la demande de la personne concernée a été acceptée dans son ensemble. Il ne suffit pas que ce soit le cas pour certains éléments seulement.
L’obligation d’information et de consultation est également supprimée si la personne concernée a expressément consenti à ce qu’une décision soit prise de manière automatisée (let. b). Cette exception est logique, car la personne concernée doit déjà être informée pour donner valablement son consentement.
al. 4 Décisions individuelles prises par des organes fédéraux
L’alinéa 4 concerne les décisions individuelles automatisées qui sont prises par un organe fédéral. Il s’agit en principe de décisions. Selon l’al. 4, l’organe fédéral doit les identifier comme des décisions individuelles automatisées afin que la personne concernée puisse reconnaître que la décision n’a pas été traitée par une personne physique. La personne concernée dispose en principe d’une voie de recours contre les décisions, qui lui permet d’exposer son point de vue et à une personne physique de réexaminer la décision. En d’autres termes, les droits visés à l’article 19, paragraphe 2, P‑LPD sont déjà garantis par les voies de droit. C’est pourquoi la deuxième phrase de la disposition prévoit que le deuxième alinéa de l’article 19 ne s’applique pas lorsque la personne concernée dispose d’une voie de recours.
Bot Art. 20 Analyse d’impact relative à la protection des données (comptage selon projet)
L’article 20 P‑LPD introduit l’obligation de réaliser une analyse d’impact relative à la protection des données. Cette disposition concrétise les exigences de l’article 8, paragraphe 2, P‑SEV 108 et des articles 27 s. de la directive (UE) 2016/680. Les articles 35 s. du règlement (UE) 2016/679 contiennent des dispositions similaires.
La notion et la fonction de l’analyse d’impact relative à la protection des données découlent de l’article 20, paragraphe 3. Une analyse d’impact relative à la protection des données est un instrument permettant d’identifier et d’évaluer les risques qui peuvent résulter pour la personne concernée de l’utilisation de certains traitements de données. Sur la base de cette évaluation, des mesures appropriées doivent être définies, le cas échéant, afin de maîtriser ces risques pour la personne concernée. Une telle évaluation est donc également avantageuse pour le responsable du traitement, car elle lui permet d’aborder de manière préventive les éventuels problèmes liés à la protection des données, et donc de réaliser des économies.
Les organes fédéraux sont aujourd’hui déjà tenus d’annoncer au responsable de la protection des données ou, à défaut, au préposé les projets de traitement automatisé de données (art. 20, al. 2, OLPD). La procédure selon la méthode de gestion de projet Hermes devrait correspondre dans une large mesure aux exigences d’une analyse d’impact en matière de protection des données.
Alinéas 1 et 2 Motifs de l’analyse d’impact relative à la protection des données
Selon l’al. 1, le responsable doit effectuer une analyse d’impact relative à la protection des données si le traitement de données prévu est susceptible d’engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. La présente disposition s’applique aussi bien aux responsables privés qu’aux organes fédéraux, raison pour laquelle il n’est pas seulement question d’un risque pour la personnalité de la personne concernée, mais aussi pour ses droits fondamentaux. Le responsable est donc tenu de faire un pronostic sur les conséquences d’un traitement de données prévu pour la personne concernée. Il s’agit notamment de savoir de quelle manière et dans quelle mesure le traitement aura un impact sur la personnalité ou les droits fondamentaux de la personne concernée.
Pour concrétiser ce risque, le droit à l’autodétermination en matière d’information et le droit à la vie privée sont au premier plan. Ceux-ci protègent aussi bien l’autonomie de l’individu que sa dignité et son identité.
entité. En ce qui concerne les données, l’autonomie signifie notamment pouvoir disposer de ses données personnelles de manière autonome et ne pas devoir supposer que celles-ci se trouvent en quantité inconnue entre les mains d’une multitude de tiers qui peuvent en disposer sans restriction. En effet, les données sont étroitement liées à l’identité d’une personne. Quiconque possède des données sur une personne et les met en relation peut obtenir une image très intime et complète de cette personne, qu’elle ne révélerait peut-être volontairement qu’à des personnes particulièrement proches. Cela n’est pas seulement problématique en ce qui concerne la liberté de disposition. Au contraire, des informations sur une autre personne peuvent influencer ses relations avec son entourage de diverses manières, le cas échéant sans que la personne concernée en connaisse les raisons (p. ex. stigmatisation en raison d’une maladie, restrictions lors de la conclusion d’un contrat en raison d’une évaluation de la solvabilité, etc.) La personne concernée peut également se sentir obligée de modifier son comportement, par exemple parce qu’elle sait que son comportement est surveillé. Enfin, de telles informations peuvent aussi inviter à des abus qui peuvent toucher sensiblement la dignité de l’individu.
Pour évaluer le risque, l’autodétermination informationnelle et le droit à la vie privée doivent être mis en relation avec le traitement de données en question. En d’autres termes, le traitement doit être considéré sous l’angle de l’autodétermination, de l’identité et de la dignité d’une personne concernée. On peut en principe considérer qu’il y a un risque élevé lorsque les caractéristiques spécifiques du traitement de données envisagé permettent de conclure que la liberté de la personne concernée de disposer de ses données est ou peut être fortement restreinte. Le risque élevé peut par exemple résulter du type de données traitées ou de leur contenu (p. ex. données sensibles), du type et de la finalité du traitement des données (p. ex. profilage), de la quantité de données traitées, du transfert vers des pays tiers (p. ex. si la législation étrangère ne garantit pas une protection adéquate) ou si un nombre important, voire illimité, de personnes peut avoir accès aux données.
L’al. 2 concrétise ce principe en précisant que le risque élevé résulte de la nature, de l’ampleur, des circonstances et de la finalité du traitement. Plus le traitement est important, plus les données traitées sont sensibles, plus la finalité du traitement est vaste, plus il est probable que le risque soit élevé. La disposition énumère à titre d’exemple deux cas dans lesquels il existe un risque élevé. Selon la let. a, il y a un tel risque lorsque des données personnelles sensibles sont traitées à grande échelle, comme cela peut être le cas par exemple dans des projets de recherche médicale. Selon la lettre b, il existe également un risque élevé en cas de profilage. Il peut en aller de même dans le cas de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, qui entraînent des conséquences juridiques pour la personne concernée ou qui l’affectent de manière significative. De telles décisions peuvent, le cas échéant, avoir des conséquences importantes pour la personne concernée. Dans de tels cas, une analyse d’impact relative à la protection des données est également requise. Enfin, selon la lettre c, il existe un risque élevé lorsque des domaines publics étendus sont systématiquement surveillés. On pense par exemple à la surveillance d’un hall de gare.
La deuxième phrase de l’alinéa 1 permet au responsable d’établir une estimation commune lorsqu’il prévoit plusieurs opérations de traitement similaires. Il s’agit notamment d’opérations de traitement qui ont un objectif commun global. En conséquence, il n’est pas nécessaire d’examiner séparément les différentes étapes de traitement d’une plateforme de traitement, mais l’analyse d’impact relative à la protection des données peut porter sur l’ensemble de la plateforme de traitement.
al. 3 Contenu de l’analyse d’impact relative à la protection des données
Conformément au paragraphe 3, l’analyse d’impact relative à la protection des données doit d’abord exposer le traitement prévu. Ainsi, les différentes opérations de traitement (par exemple la technologie utilisée), la finalité du traitement ou la durée de conservation doivent être mentionnées. En outre, selon l’alinéa 3, il faut montrer quels risques pour la personnalité ou les droits fondamentaux de la personne concernée les opérations de traitement en question peuvent entraîner. Il s’agit ici d’un approfondissement de l’évaluation des risques, qui doit déjà être effectuée en vue de la nécessité d’une analyse d’impact relative à la protection des données. Ainsi, il convient d’indiquer en quoi le traitement de données en question présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée et comment ce risque doit être évalué. Enfin, l’analyse d’impact relative à la protection des données doit expliquer, conformément à l’al. 3, quelles mesures doivent être prises pour maîtriser ces risques. Les principes énoncés à l’art. 5 P‑LPD sont notamment déterminants à cet égard, mais l’obligation de protéger les données par la technique et par défaut (privacy by design/by default ; art. 6 P‑LPD) peut également être pertinente. Ces mesures peuvent également faire l’objet d’une mise en balance entre les intérêts de la personne concernée et ceux du responsable du traitement. Cette mise en balance des intérêts doit également figurer dans l’analyse d’impact relative à la protection des données et être dûment justifiée.
al. 4 Exceptions pour les obligations légales
Selon le paragraphe 4, les responsables privés qui traitent des données en exécution d’une obligation légale ne sont pas tenus de réaliser une analyse d’impact relative à la protection des données. On pense ici par exemple au traitement de données dans le cadre de la lutte contre le terrorisme ou le blanchiment d’argent. Si des données sont traitées uniquement à de telles fins en vertu d’une obligation légale, il faut partir du principe que le législateur a évalué les risques éventuels pour la personne concernée par rapport à la finalité du traitement et, le cas échéant, a édicté des prescriptions en la matière.
En revanche, l’alinéa 4 ne s’applique pas aux traitements effectués par des personnes privées qui ne sont pas exclusivement destinés à remplir une obligation légale. Dans ce cas, une analyse d’impact relative à la protection des données doit être réalisée.
al. 5 Exceptions
Les responsables privés peuvent s’abstenir d’effectuer une analyse d’impact relative à la protection des données s’ils ont été certifiés conformément à l’article 12. La certification doit porter sur le traitement en question, qui doit être examiné au moyen de l’analyse d’impact relative à la protection des données. Le préposé aurait préféré que la dérogation se limite à la certification.
En outre, ils peuvent y renoncer s’ils respectent un code de conduite qui remplit les conditions énoncées au paragraphe 5, points a) à c). Il s’agit d’un code de conduite au sens de l’article 10. Celui-ci doit se fonder sur une analyse d’impact relative à la protection des données dans laquelle le traitement en question a été examiné (let. a). Le code de conduite doit prévoir des mesures de protection de la personnalité ou des droits fondamentaux de la personne concernée (let. b). En outre, le code de conduite doit avoir été soumis au préposé (let. c). On peut par exemple imaginer qu’une organisation professionnelle d’avocats fasse développer une plateforme pour la gestion des données de ses clients, procède à une analyse d’impact sur la protection des données et élabore un code de conduite sur la base des résultats de cette analyse. Si un responsable privé respecte ce code lorsqu’il utilise la plateforme, il est dispensé d’effectuer une analyse d’impact relative à la protection des données.
Le préposé aurait préféré que cette exception soit limitée au cas de la certification.
Bot Art. 21 Consultation du préposé (comptage selon projet)
Contrairement au projet mis en consultation, la communication du résultat d’une analyse d’impact relative à la protection des données au préposé fait l’objet d’une disposition séparée dans la P‑LPD.
Alinéa 1 Obligation de consultation
Selon l’al. 1, le responsable doit préalablement demander l’avis du préposé s’il ressort de l’analyse d’impact relative à la protection des données que le traitement envisagé présenterait un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée si le responsable ne prenait pas de mesures. Cette consultation n’est pas imposée par le P‑SEV 108, mais elle est conforme à la réglementation européenne (art. 28 de la directive [UE] 2016/680 et art. 36 du règlement [UE] 2016/679). Elle est notamment reprise dans l’E-DSG parce qu’elle permet au préposé de jouer un rôle de prévention et de conseil. Cela est notamment plus efficace pour le responsable, car les éventuelles difficultés liées à la protection des données peuvent être résolues à un stade précoce du traitement des données.
Alinéas 2 et 3 Objections du mandataire
Selon l’alinéa 2, le préposé dispose de deux mois pour faire part au responsable de ses objections au traitement prévu. Dans les cas particulièrement complexes, ce délai peut être prolongé d’un mois. Si le responsable ne reçoit pas de nouvelles du préposé dans le délai de deux mois, il peut en principe partir du principe que le préposé ne s’oppose pas aux mesures proposées.
Après avoir été informé d’une analyse d’impact relative à la protection des données, le préposé vérifie si les mesures proposées sont suffisantes pour protéger les droits fondamentaux et la personnalité de la personne concernée. S’il conclut que le traitement envisagé, tel qu’il est proposé, violerait les règles de protection des données, il propose au responsable du traitement des mesures appropriées pour limiter les risques constatés.
Le Préposé à la protection des données reste toutefois libre d’ouvrir une enquête ultérieurement si les conditions de l’article 43 P‑LPD sont remplies. Cela peut notamment être le cas lorsque les risques n’ont pas été correctement évalués dans le cadre de l’analyse d’impact relative à la protection des données et que, par conséquent, les mesures en question ne s’avèrent pas ciblées ou suffisantes.
al. 4 Consultation du conseiller à la protection des données
Le responsable privé peut se dispenser de consulter le délégué s’il a fait appel à un conseiller à la protection des données conformément à l’article 9 P‑LPD et s’il l’a consulté au sujet de l’analyse d’impact relative à la protection des données. Le conseiller à la protection des données doit effectivement s’être penché sur l’analyse d’impact relative à la protection des données. En d’autres termes, il ne suffit pas que le responsable désigne un conseiller à la protection des données pour bénéficier du privilège. Celui-ci doit au contraire être activement impliqué dans l’élaboration de l’analyse d’impact relative à la protection des données. Il doit notamment examiner l’évaluation des risques et les mesures proposées pour y faire face. Cette disposition vise à alléger la charge de travail des entreprises tout en les incitant à faire appel à un conseiller à la protection des données.
Une telle exception a certes été discutée au niveau européen, mais n’a finalement pas été prévue dans le règlement (UE) 2016/679. Le Conseil fédéral estime qu’il serait judicieux de prévoir des allégements plus importants sur ce point, notamment pour réduire la charge administrative. Le préposé aurait préféré que cette disposition ne soit pas reprise dans le projet.
5bis Le PFPDT peut, avec l’accord du responsable, transmettre la communication à l’Office fédéral de la cybersécurité pour analyse de l’incident. La communication peut contenir des données personnelles, y compris des données personnelles sensibles concernant des poursuites ou des sanctions administratives ou pénales à l’encontre du responsable.
5bis Le PFPDT peut, avec l’accord du responsable, transmettre la communication à l’Office fédéral de la cybersécurité pour analyse de l’incident. La communication peut contenir des données personnelles, y compris des données personnelles sensibles concernant des poursuites ou des sanctions administratives ou pénales à l’encontre du responsable.
Bot art. 22 Notification des violations de la sécurité des données (recensement selon projet)
L’article 22 P‑LPD introduit l’obligation de notifier les violations de la sécurité des données. Cette disposition met en œuvre les exigences de l’article 7, paragraphe 2, du P‑SEV 108 et des articles 30 et s. de la directive (UE) 2016/680. Les articles 33 et s. du règlement (UE) 2016/679 contiennent une disposition similaire.
al. 1 Définition et principe
L’al. 1 prévoit que le responsable notifie dans les meilleurs délais au Préposé à la protection des données toute violation de la sécurité des données susceptible d’engendrer un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. La présente disposition s’applique aussi bien aux responsables privés qu’aux organes fédéraux, raison pour laquelle il n’est pas seulement question d’un risque pour la personnalité de la personne concernée, mais aussi pour ses droits fondamentaux.
La violation de la sécurité des données est définie à l’article 4, lettre g, P‑LPD. Selon cette disposition, il s’agit d’une violation de la sécurité qui, indépendamment de l’intention ou du caractère illicite, entraîne la perte, l’effacement ou la destruction de données personnelles, leur modification ou leur divulgation à des personnes non autorisées ou leur mise à disposition de celles-ci. La violation peut être le fait de tiers, mais aussi de collaborateurs qui abusent de leurs compétences ou agissent avec négligence. Une violation de la sécurité des données peut faire perdre à la personne concernée le contrôle de ses données ou entraîner une utilisation abusive de ces données. En outre, elle peut également entraîner une atteinte à la personnalité de la personne concernée, par exemple en révélant des informations secrètes la concernant. Par conséquent,
En outre, selon l’article 26, alinéa 2, lettre a, P‑LPD, une violation de la sécurité des données est considérée comme une atteinte à la personnalité.
La personne concernée ne peut réagir à ces menaces que si elle a connaissance de la violation de la sécurité des données. C’est pourquoi le responsable doit en principe notifier un traitement non autorisé, la notification étant d’abord adressée au préposé et seulement à la personne concernée dans les conditions prévues à l’alinéa 4. La notification doit être effectuée le plus rapidement possible à partir du moment où le responsable en a connaissance. Le responsable doit en principe agir rapidement, mais la disposition donne une certaine marge d’appréciation. L’ampleur de la mise en danger de la personne concernée est notamment déterminante. Plus la mise en danger est importante, plus le nombre de personnes concernées est élevé, plus le responsable doit agir rapidement.
La notification au préposé n’est toutefois nécessaire que si la violation de la sécurité des données est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Cela doit permettre d’éviter que même des violations insignifiantes doivent être notifiées. Pour ce faire, le responsable doit faire un pronostic en ce qui concerne les conséquences possibles de la violation pour la personne concernée.
al. 2 Contenu de la notification
Le paragraphe 2 contient les exigences minimales pour une notification au préposé. Le responsable doit d’abord indiquer, dans la mesure du possible, la nature de la violation de la sécurité des données. On peut distinguer quatre types de violation : la destruction ou l’effacement, la perte, la modification et la communication de données à des personnes non autorisées. Il doit également décrire autant que possible les conséquences de la violation de la sécurité des données. Il s’agit en premier lieu des conséquences pour la personne concernée et non pour le responsable lui-même. Enfin, le responsable doit indiquer les mesures qu’il a prises suite à la violation et celles qu’il propose pour l’avenir. Il s’agit ici de mesures qui éliminent la violation ou en atténuent les conséquences. Globalement, la notification doit permettre au responsable d’intervenir le plus rapidement et le plus efficacement possible.
al. 3 Notification par le sous-traitant
Une violation de la sécurité des données peut également se produire chez le sous-traitant. C’est pourquoi ce dernier est tenu, en vertu de l’al. 3, de notifier au plus vite au responsable tout traitement non autorisé de données. C’est au responsable de procéder ensuite à une évaluation des risques et de décider dans quelle mesure il y a une obligation de notification vis-à-vis du préposé et de la personne concernée.
al. 4 Information à la personne concernée
En principe, la personne concernée ne doit pas être informée. Selon l’al. 4, elle doit toutefois être informée de la violation de la sécurité des données si cela est nécessaire pour sa protection ou si le préposé le demande. Il existe à cet égard une certaine marge d’appréciation. Il est notamment important de savoir si l’information permet de réduire les risques pour la personnalité ou les droits fondamentaux de la personne concernée. C’est notamment le cas lorsque la personne concernée doit prendre des mesures adéquates pour se protéger, par exemple en modifiant ses données d’accès ou ses mots de passe.
al. 5 Limitation de l’obligation d’informer la personne concernée
Conformément à l’al. 5, le responsable peut limiter, différer ou renoncer à l’information de la personne concernée si l’un des motifs de l’art. 24, al. 1, let. b, ou al. 2, let. b, P‑LPD existe ou si une obligation légale de garder le secret l’interdit (let. a.). Selon l’al. 5, let. b, la limitation est également autorisée si l’information est impossible ou exige des efforts disproportionnés. Une information est impossible lorsque le responsable ne sait pas du tout quelles personnes sont concernées par la violation de la sécurité des données, par exemple parce que les fichiers journaux qui le permettraient ne sont plus disponibles. Il y aurait par exemple effort disproportionné si, en présence d’un grand nombre de personnes concernées, celles-ci devaient être informées individuellement et que les coûts qui en résulteraient paraîtraient disproportionnés par rapport au gain d’information pour la personne concernée. C’est notamment dans ce genre de situation que l’on peut appliquer le paragraphe 5, point c), qui permet au responsable d’informer les personnes concernées par le biais d’un avis public, si cela leur permet d’être informées de manière comparable. C’est le cas lorsqu’une information individuelle n’améliore pas substantiellement l’information de la personne concernée.
al. 6 Accord du déclarant
L’obligation de communiquer visée à l’art. 22 P‑LPD peut entrer en conflit avec le principe selon lequel nul ne doit s’incriminer lui-même. L’al. 6 prévoit dans ce cas de figure qu’une communication effectuée en vertu de l’obligation de communiquer visée à l’art. 22 P‑LPD ne peut être utilisée dans une procédure pénale contre la personne soumise à l’obligation de communiquer que si cette dernière y consent. Cette disposition couvre aussi bien les responsables du traitement que les sous-traitants qui signalent une violation de la sécurité des données.
Le chapitre 4 régit les droits de la personne concernée. Les droits spécifiques vis-à-vis des responsables privés sont définis dans le chapitre 5, ceux vis-à-vis des organes fédéraux dans le chapitre 6.
Bot Art. 23 Droit à l’information (comptage selon projet)
Le droit d’accès complète l’obligation d’information du responsable du traitement et constitue la base centrale pour que la personne concernée puisse exercer les droits que lui confère la présente loi. Le droit d’accès est un droit subjectif strictement personnel que les personnes incapables de discernement peuvent également faire valoir de manière autonome, sans l’accord de leur représentant légal. Il découle également du caractère de droit strictement personnel que personne ne peut renoncer à l’avance au droit d’accès (art. 23, al. 5, P‑LPD).
Alinéa 1 Principe
Selon l’al. 1, toute personne peut demander gratuitement au responsable de lui indiquer si des données la concernant sont traitées. Hormis des adaptations rédactionnelles, cette disposition reste inchangée par rapport au droit en vigueur.
Alinéa 2 Informations à communiquer
L’al. 2 stipule que la personne concernée reçoit, sur la base d’une demande d’accès, les informations qui doivent également lui être communiquées en vertu du devoir d’information (cf. art. 17, al. 2, P‑LPD). Il s’agit en principe des informations nécessaires pour que la personne concernée puisse faire valoir ses droits conformément à la loi et pour garantir un traitement transparent des données. Cela met en évidence le lien étroit entre le droit d’accès et le devoir d’information. En même temps, cela met en évidence l’objectif central du droit d’accès, comme l’a également retenu le Tribunal fédéral, à savoir permettre à la personne concernée de faire valoir ses droits dans le domaine de la protection des données. Cette précision fait suite aux nombreux avis exprimés lors de la procédure de consultation et dans la doctrine, qui critiquent le fait que le droit d’accès est souvent utilisé à d’autres fins, étrangères à la protection des données. Sont notamment visés les cas où le droit d’accès est utilisé exclusivement pour obtenir des moyens de preuve dans le cadre de procès civils qui n’ont aucun lien avec la protection des données. Cela permet d’obtenir des moyens de preuve qui sont en même temps des données personnelles au sens de la LPD, sous une forme qui n’est pas prévue par le droit de procédure en vigueur. D’autres moyens de preuve, qui ne constituent pas des données personnelles, doivent en revanche être obtenus par les voies habituelles du droit de procédure. Il en résulte des différences non justifiées objectivement dans l’obtention des moyens de preuve.
Les points a) à g) contiennent une liste des informations qui doivent dans tous les cas être communiquées à la personne concernée. Cette liste non exhaustive couvre en principe toutes les informations que le responsable doit communiquer à la personne concernée. Subsidiairement, la clause générale de la phrase introductive permet d’exiger, le cas échéant, d’autres informations si celles-ci sont nécessaires à la personne concernée pour faire valoir ses droits en vertu de la présente loi et pour garantir un traitement transparent des données. S’il traite de grandes quantités de données concernant la personne concernée, le responsable du traitement peut, le cas échéant, demander à la personne concernée de préciser à quelles informations ou à quelles opérations de traitement sa demande d’information se rapporte. Dans tous les cas, la personne concernée obtient d’abord des informations sur l’identité et les coordonnées du responsable du traitement (let. a). Selon les cas, elle aura déjà ces informations (par exemple en raison de l’obligation d’information) et elles lui seront confirmées. Mais il est également possible que la personne concernée n’apprenne l’existence d’un responsable qu’à ce moment-là, par exemple lorsqu’il y a plusieurs responsables. En outre, les données personnelles traitées (let. b) et le but du traitement (let. c) doivent lui être communiqués. De même, la personne concernée reçoit des informations sur la durée de conservation des données ou, si cela n’est pas possible, sur les critères qui déterminent la durée de conservation (let. d). Ces informations lui permettent notamment de savoir si le responsable du traitement traite les données conformément aux principes énoncés à l’article 5 P‑LPD. Comme la durée de conservation ne doit généralement pas être communiquée en raison de l’obligation d’information, la personne concernée doit dans tous les cas l’obtenir dans le cadre du droit d’accès. De même, la personne concernée reçoit les informations disponibles sur l’origine des données, pour autant qu’elles n’aient pas été collectées auprès d’elle (let. e). Le cas échéant, la personne concernée est informée de l’existence d’une décision individuelle automatisée (let. f). Dans ce cas, elle reçoit également des informations sur la logique sur laquelle repose la décision. Les algorithmes sur lesquels repose la décision ne doivent pas nécessairement être communiqués, car il s’agit généralement de secrets commerciaux. Il faut plutôt mentionner les hypothèses de base de la logique algorithmique sur laquelle repose la décision individuelle automatisée. Cela signifie par exemple que la personne concernée doit être informée qu’en raison d’un résultat de scoring négatif, elle peut conclure un contrat à des conditions moins favorables que celles qui lui ont été proposées. En outre, elle doit également être informée de la quantité et du type d’informations utilisées pour le scoring ainsi que de leur pondération. Enfin, la personne concernée reçoit des informations sur les destinataires ou les catégories de destinataires auxquels les données personnelles sont communiquées (let. g). Si les destinataires se trouvent à l’étranger, le responsable de l’information indique en outre l’Etat dans lequel les données sont communiquées et, le cas échéant, les garanties prévues à l’art. 13, al. 2, P‑LPD ou l’application d’une exception prévue à l’art. 14 P‑LPD.
Alinéas 3 et 4
L’alinéa 3 a été repris tel quel du droit en vigueur et prévoit que le responsable du traitement peut communiquer des informations relatives à la santé de la personne concernée par l’intermédiaire d’un professionnel de la santé désigné par celle-ci. Le professionnel de la santé doit posséder les qualifications requises dans le cas en question. Toutefois, il est désormais prévu que la personne concernée accepte que les données lui soient communiquées par l’intermédiaire d’une autre personne. Cela améliore les possibilités de choix de la personne concernée. De même, le cercle des personnes possibles est élargi, puisqu’il est question d’un professionnel de la santé. Ces deux ajouts font suite à la consultation.
La première phrase du paragraphe 4 reste inchangée. Selon cette disposition, c’est toujours le responsable qui est tenu de fournir les informations, même s’il délègue le traitement à un sous-traitant. Si la personne concernée adresse par erreur une demande d’information au sous-traitant, celui-ci doit lui indiquer le responsable ou transmettre la demande en conséquence. Dans ce cas, le sous-traitant n’est pas tenu de fournir lui-même des informations, mais il ne doit pas non plus empêcher la personne concernée d’exercer son droit d’accès. La deuxième phrase de la disposition est en revanche supprimée.
al. 5
Cette disposition correspond à l’actuel article 8, paragraphe 6, de la LPD.
Alinéa 6
L’al. 6 donne au Conseil fédéral la possibilité de prévoir des exceptions à la gratuité dans l’ordonnance. Cette possibilité existe déjà dans le droit en vigueur (cf. art. 2 OLPD). Dans le projet mis en consultation, elle a été supprimée, ce qui a été fortement critiqué, notamment au motif que les exceptions à la gratuité sont un moyen de prévenir les abus du droit d’accès. Suite aux critiques émises lors de la consultation, cette disposition est désormais maintenue. Ce faisant, le Conseil fédéral tiendra compte du fait que certaines demandes de renseignements impliquent une charge de travail importante pour le responsable.
En outre, il est possible de refuser, de limiter ou de différer l’accès dans les cas suivants :
Bot Art. 24 Restrictions du droit d’accès (comptage selon projet)
L’article 24 règle les restrictions du droit d’accès. Elles ont été reprises telles quelles de l’ancien droit, à quelques adaptations rédactionnelles près.
Alinéa 1, lettre c
Seul l’article 24, paragraphe 1, point c), est nouveau. Selon cette disposition, le responsable peut refuser, limiter ou différer l’accès si la demande d’accès est manifestement infondée ou quérulente. Cette disposition a été introduite suite à la consultation. Elle s’inspire du contenu de l’article 12, paragraphe 5, du règlement (UE) 2016/679, mais utilise la terminologie suisse, telle qu’elle figure par exemple à l’article 108 LTF et aux articles 132 et 253 CPC. Il s’agit d’une restriction grave des droits fondamentaux, raison pour laquelle elle doit être prévue dans la loi elle-même et non dans le règlement.
L’exception prévue au paragraphe 1, point c), doit être interprétée de manière restrictive. Cela vaut à deux égards. D’une part, le responsable du traitement ne doit pas considérer à la légère qu’une demande d’accès est manifestement infondée ou qu’il s’agit d’une demande quérulente. D’autre part, même en présence d’une telle demande, il doit choisir la solution la plus favorable à la personne concernée. Il doit donc, dans la mesure du possible, se contenter de limiter l’information, peut éventuellement la différer et ne peut la refuser que dans les cas absolument clairs et évidents. Dans tous les cas, il doit informer la personne concernée du refus, de la limitation ou de l’ajournement des informations (cf. al. 3).
Le droit d’accès peut être exercé sans qu’il soit nécessaire de prouver un intérêt ou de motiver sa demande. Une simple curiosité suffit également. Cela est illustré par la référence à un traitement transparent des données à l’article 23, paragraphe 2, P‑LPD. Le responsable du traitement ne peut donc en principe pas exiger de justification d’une demande d’accès. Le Tribunal fédéral a toutefois précisé que le responsable du traitement peut exiger une justification de la demande d’accès si, dans le cas concret, un usage abusif du droit d’accès est en cause. Le Tribunal fédéral a notamment considéré que l’utilisation du droit d’accès à des fins contraires à la protection des données, par exemple pour s’épargner les frais d’obtention de preuves ou pour rechercher une éventuelle partie adverse, pouvait constituer un abus de droit. Si la personne concernée qui demande des informations avance ensuite un motif qui s’avère déjà sans fondement sans examen approfondi et sans aucun doute, le responsable peut restreindre le droit d’accès. Ce n’est que dans ces circonstances qu’il peut y avoir une demande d’accès manifestement infondée. En d’autres termes, il doit être évident que la demande d’accès a été faite pour des raisons qui n’ont rien à voir avec son objectif au sens de la LPD ou qu’elle a été faite dans une autre intention (par exemple frauduleuse). S’il y a des doutes sur le fait qu’il s’agisse d’un tel cas, il n’y a pas de demande manifestement infondée.
Sont considérées comme quérulentes les demandes d’accès qui sont par exemple fréquemment répétées sans justification plausible ou qui s’adressent à un responsable dont le demandeur sait déjà qu’il ne traite pas de données le concernant. Le responsable ne doit pas non plus partir à la légère d’une demande quérulente.
Dans l’ensemble, le responsable du traitement ne peut pas faire usage de la limitation prévue au paragraphe 1, point c), s’il souhaite uniquement protéger ses propres intérêts. Pour cela, les conditions prévues à l’article 24, paragraphe 2, point a), doivent être remplies. La disposition du paragraphe 1, point c), vise plutôt à permettre au responsable du traitement de traiter raisonnablement les demandes d’accès qui sont manifestement totalement déconnectées de la finalité à laquelle le droit d’accès est destiné.
Le préposé estime que l’exception au droit d’accès prévue à l’article 24, paragraphe 1, point c), P‑LPD n’est pas compatible avec la convention STE 108.
al. 3
Si le responsable refuse, limite ou reporte l’accès, il doit le faire savoir et le motiver conformément à l’alinéa 3. En principe, seules les conditions énoncées aux al. 1 et 2 entrent en ligne de compte comme motifs. Dans ce cas, les organes fédéraux doivent rendre une décision susceptible de recours. Les responsables privés ne sont en revanche soumis à aucune exigence de forme. Pour des raisons de preuve, la motivation doit toutefois être communiquée par écrit à la personne concernée.
Sur la base de la motivation, la personne concernée doit pouvoir vérifier si l’information a été refusée, limitée ou reportée à juste titre. Les exigences en matière de motivation ne peuvent toutefois pas être trop élevées si elles entrent en conflit avec le motif du refus d’accès.
Bot Art. 25 Restrictions du droit d’accès pour les professionnels des médias (comptage selon projet)
L’article 25 P‑LPD reprend l’actuel article 10 LPD concernant la limitation du droit d’accès pour les journalistes. Aucune modification matérielle n’est apportée. Le critère de la publication dans la partie rédactionnelle d’un média est maintenu. Cela signifie que seules les données collectées en vue de la publication d’un travail journalistique dans la partie d’un média réservée aux contributions rédactionnelles sont concernées. En outre, il doit s’agir d’un média à parution périodique. Cela comprend notamment les journaux, les magazines, les émissions de radio et de télévision, les agences de presse et les services d’information en ligne qui sont mis à jour en continu et avec une régularité connue du public.
Le chapitre 5 règle les droits spécifiques vis-à-vis des responsables privés. Les prescriptions relatives au traitement de données personnelles par des personnes privées concrétisent la protection de la personnalité selon l’article 28 CC en ce qui concerne la protection des données et servent ainsi à la réalisation de l’autodétermination en matière d’information entre personnes privées (voir art. 35, al. 1 et 3, Cst.). Les trois dispositions de cette section doivent être lues ensemble : L’article 26 P‑LPD concrétise les atteintes à la personnalité dans le domaine de la protection des données, l’article 27 P‑LPD définit des motifs justificatifs spécifiques et l’article 28 P‑LPD règle les droits juridiques qui peuvent être invoqués en raison d’une atteinte à la personnalité par le traitement des données. Le présent projet conserve en grande partie la réglementation existante. Quelques modifications rédactionnelles ont toutefois été apportées dans le but de rendre l’ensemble des dispositions plus claires et plus accessibles.
L’évaluation a en outre montré que les personnes concernées ne font guère valoir leurs droits, en particulier dans le secteur privé. Cette situation est principalement attribuée aux risques liés aux coûts d’un procès, qui devraient être compensés par des adaptations de la réglementation des coûts dans les procédures civiles (cf. ch. 9.2.15).
Bot Art. 26 Atteintes à la personnalité (comptage selon projet)
La notion d’atteinte à la personnalité n’est pas définie à l’article 28 CC. L’article 26 du projet concrétise cette notion pour les atteintes à la personnalité résultant du traitement de données personnelles.
Alinéa 1 Principe
L’alinéa 1 stipule que le traitement des données ne doit pas porter une atteinte illicite à la personnalité de la personne concernée. Le libellé reste inchangé. Le droit individuel de disposer de données à caractère personnel, qui est protégé par l’autodétermination en matière d’information, est rapidement et sensiblement limité par les traitements de données. Le respect des principes du traitement des données par des responsables privés est donc essentiel pour protéger la personnalité de la personne concernée, d’autant plus que le traitement privé représente une grande partie des opérations de traitement des données.
al. 2 Cas d’atteinte à la personnalité
L’alinéa 2 se réfère notamment au respect des principes du traitement des données et prévoit qu’il y a atteinte à la personnalité dans trois cas de figure notamment.
Selon la let. a, il y a atteinte à la personnalité lorsque des données sont traitées en violation des principes énoncés aux art. 5 et 7 P‑LPD.
Selon la let. b, il y a également atteinte à la personnalité lorsque des données sont traitées contrairement à la déclaration de volonté expresse de la personne concernée. Cette disposition donne donc à la personne concernée le droit d’interdire explicitement à un responsable donné un traitement de données déterminé, sans que des conditions spécifiques ne doivent être remplies pour cela (opting-out). Cette possibilité existait déjà dans le droit actuel et est également exigée par l’article 8, point d), P‑SEV 108. Une déclaration de volonté est “explicite” lorsqu’elle est faite par des mots écrits ou parlés ou par un signe et que la volonté exprimée ressort directement des mots ou du signe utilisés. Par conséquent, la personne concernée doit exprimer directement, par des mots ou des signes, qu’elle n’est pas d’accord avec un certain traitement de données. L’expression de la volonté en tant que telle doit déjà clarifier la volonté par la manière dont elle est faite. Dans le cas présent, la personne concernée devrait par exemple résilier un service qui implique un traitement de données ou faire une déclaration orale ou écrite à un responsable pour lui signifier qu’elle ne veut pas qu’il traite des données la concernant. En revanche, une déclaration de volonté “tacite” n’est pas suffisante dans le cas présent (voir les explications relatives à l’article 5, paragraphe 6, P‑LPD au ch. 9.1.3.1). Il ne suffirait pas, par exemple, que la personne concernée n’utilise plus un service qui va de pair avec un traitement de données.
Selon la lettre c, il y a également atteinte à la personnalité lorsque des données sensibles sont communiquées à des tiers.
Cette énumération n’est pas exhaustive. Cela signifie qu’une atteinte à la personnalité par le traitement de données peut être commise par d’autres moyens que la réalisation de ces trois éléments constitutifs. Aux lettres b et c, la référence au motif justificatif a été supprimée, comme cela avait déjà été fait pour la lettre a lors de la révision de 2003. Là encore, il s’agit uniquement d’une question de clarté et cela correspond à l’article 28 CC, dans lequel les atteintes à la personnalité et les motifs justificatifs sont également traités dans deux dispositions partielles. Dans la P‑LPD, les motifs justificatifs sont désormais réglés exclusivement à l’article 27.
al. 3 Pas d’atteinte à la personnalité
En revanche, selon l’al. 3, il n’y a en règle générale pas d’atteinte à la personnalité lorsque la personne concernée a rendu les données accessibles à tous et n’a pas expressément interdit leur traitement (sur le caractère explicite, voir le commentaire ci-dessus relatif à l’al. 2, let. b). Cette réglementation, reprise à l’identique de l’ancien droit, est logique. En effet, la liberté individuelle de disposer de données à caractère personnel n’est en principe pas violée dans ces circonstances. L’expression “en règle générale” exprime le fait que
Il s’agit d’une présomption légale et non d’une fiction irréfutable. La personne concernée a ainsi la possibilité de prouver que, dans certains cas, il peut y avoir une atteinte à la personnalité. Cette possibilité est pertinente et importante, car la délimitation entre sphère publique et sphère privée est de plus en plus difficile.
Bot Art. 27 Justifications (comptage selon projet)
L’article 27 concrétise les motifs justificatifs pour les traitements de données portant atteinte à la personnalité. Hormis quelques modifications mineures, la norme reste inchangée.
Alinéa 1 Principe
L’al. 1 énonce le principe selon lequel toute atteinte à la personnalité – c’est-à-dire tout traitement de données portant atteinte à la personnalité – est en principe illicite, sauf si elle est justifiée par le consentement de la personne concernée, par la loi ou par un intérêt privé ou public prépondérant. Cette disposition correspond à l’article 28, paragraphe 2, du CC. En cas de consentement de la personne concernée ou de motif justificatif légal, il n’y a en principe pas de pesée des intérêts et les motifs de pondération prévus à l’al. 2 n’entrent pas en ligne de compte. Parmi les motifs justificatifs légaux, on trouve par exemple les obligations de traitement ou de clarification (p. ex. art. 28 et suivants de la loi fédérale du 23 mars 2001 sur le crédit à la consommation, art. 3 et suivants de la loi du 10 octobre 1997 sur le blanchiment d’argent) ou les obligations de conservation. En revanche, un intérêt privé ou public prépondérant nécessite une pesée des intérêts en présence. Du côté de la personne concernée, il y a notamment l’intérêt à préserver sa liberté de disposer de ses données. Du côté du responsable, il existe un intérêt au traitement des données. L’alinéa 2 contient une liste d’exemples de traitements pour lesquels un intérêt prépondérant du responsable entre en ligne de compte. L’atteinte à la personnalité n’est justifiée que si l’intérêt au traitement des données l’emporte sur l’intérêt de la personne concernée.
al. 2 Intérêts prépondérants du responsable du traitement
Le paragraphe 2 concrétise les cas dans lesquels un intérêt prépondérant du responsable du traitement entre en ligne de compte. La formulation, qui a été conservée telle quelle, indique clairement qu’il ne s’agit pas de motifs justificatifs absolus. Ce qui est déterminant, c’est en fin de compte, comme dans le droit actuel, la pesée des intérêts au cas par cas. Contrairement au droit en vigueur, il n’est plus question de la personne qui traite les données, mais du responsable. Cette adaptation est due à l’introduction de la notion de responsable. Les motifs justificatifs visés à l’article 27, paragraphe 2, sont conçus pour les personnes qui, en tant que responsables, peuvent décider des finalités et des moyens du traitement des données. Les autres défendeurs peuvent invoquer des motifs justificatifs conformément au paragraphe 1. En vertu de l’article 8, paragraphe 4, P‑LPD, le sous-traitant peut invoquer les mêmes motifs justificatifs que le responsable du traitement. La légitimation passive n’est pas non plus affectée par la modification.
Les motifs énumérés correspondent en grande partie au droit en vigueur. L’énumération n’est pas exhaustive, de sorte que d’autres motifs que ceux mentionnés ici peuvent être utilisés comme intérêt prépondérant du responsable du traitement. La liste énumère différentes finalités qui peuvent justifier le traitement de données et prévaloir sur l’intérêt de la personne concernée. Pour l’essentiel, le catalogue couvre trois groupes de traitements de données : ceux effectués pour certaines activités économiques, ceux effectués pour les médias et ceux effectués à des fins non personnelles, comme la recherche. Pour certaines finalités de traitement, la finalité indiquée ne suffit pas à elle seule à justifier l’atteinte à la personnalité. Le traitement doit au contraire remplir certaines conditions supplémentaires pour que le motif justificatif de l’intérêt prépondérant puisse être invoqué. C’est notamment le cas en ce qui concerne les lettres b, c, e et f. Dans ces cas, il convient d’abord de vérifier si le traitement en question remplit les conditions spécifiques avant de mettre en balance les intérêts du cas d’espèce. Si ces conditions spécifiques ne sont pas remplies, le traitement des données n’est justifié que s’il existe un motif justificatif au sens de l’al. 1. Seules les lettres c et e, pour lesquelles le texte de loi a été modifié, sont commentées ci-après.
al. 2, let. c Examen de la solvabilité
En ce qui concerne l’activité des services de renseignements économiques, il convient tout d’abord de rappeler le récent arrêt du Tribunal administratif fédéral A‑4232/2015 du 18 avril 2017 (Moneyhouse). Moneyhouse AG est un service de renseignements économiques qui obtient des données sous forme électronique de diverses sources publiques privées. Ces nombreuses données personnelles sont publiées sur www.moneyhouse.ch et utilisées pour offrir différents services, notamment la recherche de sociétés et de personnes. Alors que ce service est gratuit pour le public après enregistrement, des abonnements payants à des services de solvabilité et de paiement, des détails sur les incidents de paiement, des renseignements sur les poursuites, le registre foncier, l’économie et les impôts ainsi que des services concernant les portraits d’entreprises sont proposés aux “utilisateurs Premium”. Pour les offres supplémentaires et pour accéder aux données de personnes physiques qui ne sont pas inscrites au registre du commerce ou dans un annuaire téléphonique électronique, il faut fournir des preuves d’intérêt. En ce qui concerne les abonnements premium payants, le Tribunal administratif fédéral est arrivé à la conclusion que Moneyhouse AG établissait alors partiellement une image biographique des personnes. Le Tribunal administratif fédéral a constaté que dans cette situation initiale, il fallait admettre le traitement d’un profil de la personnalité, raison pour laquelle le motif justificatif de la vérification du crédit selon l’article 13, alinéa 2, lettre c LPD ne s’appliquait pas. Pour le Tribunal administratif fédéral, il n’existait aucune base légale justifiant l’établissement d’un profil de la personnalité et il n’a pas été possible de prouver que les personnes concernées avaient explicitement donné leur consentement. Enfin, une pesée globale des intérêts a montré que l’intérêt des personnes concernées à la protection de leurs droits de la personnalité prévalait. En conclusion, le Tribunal administratif fédéral a constaté un traitement illégal de profils de la personnalité et a ordonné à Moneyhouse SA d’obtenir le consentement exprès des personnes concernées pour de tels traitements de données, faute de quoi les données correspondantes devaient être effacées dans la mesure où il était possible de tirer des conclusions sur des aspects partiels essentiels de la personnalité. En outre, le tribunal a obligé Moneyhouse SA à vérifier chaque année l’exactitude de son stock de données dans une proportion de 5 % par rapport aux consultations effectuées sur la plateforme. En outre, le Conseil fédéral examinera des mesures spécifiques concernant les services de renseignements commerciaux dans le cadre du rapport pour le postulat Schwaab 16.3682 “Limiter les activités des sociétés de renseignements commerciaux”.
Toutefois, l’E-DSG tient déjà compte de certaines préoccupations concernant l’activité des services de renseignements commerciaux. Ainsi, quatre conditions doivent être remplies pour que l’examen de la solvabilité puisse être considéré comme un intérêt prépondérant. La disposition est légèrement renforcée par rapport à la législation actuelle, notamment pour tenir compte du risque élevé lié à ce type de traitement de données.
Les chiffres 1 et 2 correspondent au droit en vigueur, la notion de profil de la personnalité étant remplacée par celle de profilage. Le traitement de données personnelles sensibles reste également interdit. Le traitement de données relatives à des poursuites et à des sanctions pénales en fait également partie. C’est logique, car les tiers ne peuvent pas non plus consulter le casier judiciaire. Contrairement à ce que suggèrent plusieurs participants à la consultation, la LPD ne doit pas contenir de droits allant au-delà pour les services de renseignements commerciaux.
Les points 3 et 4 ont été ajoutés.
Le point 3 suppose que les données ne doivent pas dater de plus de cinq ans. Un tel renforcement a été suggéré par plusieurs participants à la consultation et semble justifié eu égard à la portée d’un renseignement sur le crédit pour la personne concernée. Le Tribunal administratif fédéral a lui aussi relevé que plus le risque d’atteinte à la personnalité est grand, plus il faut poser des exigences élevées à la qualité du contenu et donc à l’exactitude des données traitées. Le très faible taux de vérification de 5 % imposé par le Tribunal administratif fédéral à Moneyhouse AG montre en même temps la difficulté de maintenir à jour de telles bases de données. C’est pourquoi le Conseil fédéral estime qu’une réglementation générale sur la durée pendant laquelle les données peuvent être utilisées serait judicieuse. Une telle limitation peut notamment être mise en œuvre par des mesures techniques appropriées (privacy by design, cf. art. 6 P‑LPD et les explications y relatives), par exemple en effaçant automatiquement les données à l’expiration d’une durée déterminée. La durée de conservation de cinq ans se fonde sur le fait que les tiers privés ne peuvent consulter le registre des poursuites que jusqu’à cinq ans après la clôture de la procédure, conformément à l’art. 8a, al. 4, LP. Dans ce cas, les droits des services de renseignements commerciaux ne doivent pas aller plus loin.
Le point 4 exige que la personne concernée soit majeure. Cette condition est ajoutée afin d’améliorer la protection des mineurs, ce qui est l’un des objectifs de la révision. La portée de cette modification devrait être limitée en raison de la capacité civile restreinte des personnes mineures.
al. 2, let. e Traitement pour la recherche, la planification ou les statistiques
Le motif justificatif du traitement à des fins ne se rapportant pas à des personnes, notamment dans la recherche, la planification ou la statistique, est légèrement renforcé à la let. e. L’utilisation de données à ces fins n’est désormais autorisée que si les conditions des ch. 1 à 3 sont remplies. Cette réglementation vise à renforcer la protection des données personnelles sensibles. Elle intervient notamment dans la perspective des possibilités offertes par le big data et de la numérisation croissante du quotidien, qui entraîne également le traitement d’un nombre toujours plus important de données personnelles sensibles.
Selon le chiffre 1, les données doivent être rendues anonymes dès que le but du traitement le permet. S’il n’est plus nécessaire de disposer de données personnelles pour le traitement des données à des fins de recherche, de planification ou de statistiques, celles-ci doivent être rendues anonymes. Cette condition est également remplie lorsque la transmission a lieu sous une forme pseudonymisée et que la clé reste chez la personne qui transmet les données (anonymisation de fait).
Cela découle en principe déjà de la prescription de l’article 5, paragraphe 4, P‑LPD. En vertu de l’article 26, paragraphe 2, point a), P‑LPD, une violation de cette disposition entraîne une atteinte à la personnalité qui peut être justifiée par l’un des motifs énoncés à l’article 27 P‑LPD. Grâce à la disposition de l’art. 27, al. 2, let. e, ch. 1, P‑LPD, il n’est désormais plus possible de justifier une violation de l’art. 5, al. 4, P‑LPD par le traitement à des fins de recherche, de planification ou de statistiques, sauf si l’un des motifs de justification prévus à l’art. 27, al. 1, P‑LPD s’applique.
Si des données personnelles sensibles sont communiquées à des tiers, cela doit se faire de manière à ce que les personnes concernées ne soient pas identifiables (ch. 2). Conformément à l’art. 26, al. 2, let. c, P‑LPD, la communication de données personnelles sensibles à des tiers entraîne une atteinte à la personnalité qui peut être justifiée par l’un des motifs prévus à l’art. 27. La disposition du ch. 2 exclut désormais de justifier la communication de données personnelles sensibles non anonymisées au motif qu’elle a lieu pour un traitement à des fins de recherche, de planification ou de statistiques.
Enfin, comme jusqu’à présent, les résultats ne peuvent être publiés que de manière à ce que les personnes concernées ne soient pas identifiables (ch. 3).
est demandé ;
Bot Art. 28 Droits légaux (comptage selon projet)
L’article 28 régit les droits juridiques que la personne concernée peut faire valoir à l’encontre de personnes privées.
Alinéa 1 Rectification
L’al. 1 stipule que toute personne peut demander la rectification de données personnelles inexactes. Ce droit est jusqu’à présent contenu dans l’article 5, alinéa 2 LPD. Dans la P‑LPD, il est réuni en une seule disposition avec tous les autres droits juridiques. La rectification peut signifier que les données manquantes sont complétées ou que les données erronées sont effacées et, le cas échéant, remplacées par de nouvelles données correctes.
Comme il ressort clairement de l’alinéa séparé, le droit de rectification existe indépendamment d’une atteinte à la personnalité au sens de l’article 26 P‑LPD. De même, les motifs justificatifs de l’article 27 P‑LPD ne peuvent pas être invoqués. Au contraire, l’al. 1 prévoit deux exceptions indépendantes qui excluent toute rectification.
Selon la let. a, la rectification de données inexactes est exclue si une disposition légale exclut la modification des données personnelles. On pense ici aux obligations légales de traitement et de conservation, selon lesquelles les responsables privés doivent laisser les données inchangées.
La lettre b autorise une pesée des intérêts en ce qui concerne les données des fonds d’archives qui sont traitées exclusivement à cette fin et pour lesquelles il existe un intérêt public prépondérant à ce que les données restent inchangées. Cette exception concerne par exemple les bibliothèques privées.
al. 2 Actions en justice
L’al. 2 contient le renvoi aux actions prévues aux art. 28 ss. CC, qui existe déjà dans le droit actuel. Par analogie avec l’art. 28a, al. 1, CC, cet alinéa fixe en outre certains droits spécifiques que la personne concernée peut faire valoir. Pour des raisons de clarté, ces droits sont désormais mieux mis en évidence dans le projet par une énumération. Cette énumération concrétise en particulier l’action en cessation et en suppression de l’atteinte selon l’art. 28a, al. 1, ch. 1 et 2, CC en ce qui concerne la protection des données. Selon la let. a, la personne concernée peut demander que le traitement des données soit interdit. Selon la let. b, elle peut demander que la communication de données à des tiers soit interdite. Selon la lettre c, elle peut enfin demander l’effacement ou la destruction de données.
Bien qu’il découle déjà implicitement du droit en vigueur, un droit à l’effacement est expressément formulé dans la P‑LPD. Il répond aux exigences de l’art. 8, let. e, P‑SEV 108. L’art. 17 du règlement (UE) 2016/679 contient une disposition similaire. Dans le domaine de la protection des données, ce droit à l’effacement correspond au “droit à l’oubli”, tel qu’il est généralement déduit de la protection de la personnalité en droit civil. Par conséquent, une décision similaire à celle prise par la Cour européenne de justice à l’encontre de Google serait également possible en Suisse. Un tel droit à l’oubli n’est toutefois pas absolu. Dans la jurisprudence relative à la protection de la personnalité, l’intérêt de la personne concernée est en principe mis en balance avec la liberté d’opinion et d’information, dont découle généralement un intérêt prépondérant au maintien ou à l’utilisation de l’information. Un tel intérêt peut par exemple exister dans le cas d’archives ou de bibliothèques dont la mission est de collecter, de répertorier, de conserver et de communiquer des documents inchangés. S’il existe un intérêt prépondérant, l’atteinte à la personnalité est justifiée et un éventuel droit à l’effacement tombe. La pesée des intérêts nécessaire dans chaque cas particulier est possible sur la base de l’article 28, alinéa 2, P‑LPD, ainsi que du renvoi aux actions prévues aux articles 28 f. CC, de sorte qu’il n’est pas nécessaire d’insérer des réserves spécifiques dans le texte de loi. Le préposé aurait préféré qu’un droit de déréférencement (“droit à l’oubli”) soit expressément inséré.
al. 3 Mention de la contestation
L’al. 3 contient la “mention de contestation”, qui est reprise telle quelle du droit en vigueur. Selon cette disposition, une mention correspondante peut être apposée sur les données lorsque ni l’exactitude ni l’inexactitude des données ne peuvent être établies. Cette disposition doit être considérée à la lumière du fait que l’inexactitude d’affirmations factuelles, notamment lorsqu’elles sont liées à des jugements de valeur, ne peut parfois pas être suffisamment prouvée. La personne concernée bénéficie ainsi d’une protection juridique au moins partielle.
al. 4 Communication à des tiers ou publication
L’al. 4 prévoit, comme le droit actuel, que le jugement, la rectification, la suppression ou la destruction, l’interdiction de traitement ou de communication à des tiers ou la mention de la contestation sont communiqués à des tiers ou publiés. Cette réglementation concrétise l’art. 28a, al. 2, CC dans le domaine de la protection des données.
En revanche, la disposition relative à la procédure simplifiée pour les demandes de renseignements est abrogée. Cette réglementation est devenue obsolète avec l’introduction du CPC, car toutes les dispositions relatives aux procédures de droit civil sont désormais contenues dans le CPC. Ce dernier règle la procédure applicable (art. 243, al. 2, let. d, P‑CPC) ainsi que le for (art. 20, let. d, P‑CPC).
Le Conseil fédéral règle les procédures de contrôle et la responsabilité en matière de protection des données lorsqu’un organe fédéral traite des données personnelles en collaboration avec d’autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées.
Bot Art. 29 Contrôle et responsabilité en cas de traitement conjoint de données personnelles (art. 3 du projet)
Par rapport à l’article 16 de la LPD, l’article 29 de la P‑LPD subit peu de modifications.
L’art. 16, al. 1, LPD est abrogé. La responsabilité de l’organe fédéral qui traite ou fait traiter des données personnelles découle de la définition du terme “responsable” (art. 4, let. i, P‑LPD).
L’art. 29 P‑LPD supprime en outre, pour des raisons rédactionnelles, l’expression “régler spécialement” de l’art. 16, al. 2, LPD. En outre, le Conseil fédéral ne doit pas seulement avoir la possibilité d’édicter des règles particulières sur le contrôle et la responsabilité en matière de protection des données lorsque des organes fédéraux traitent des données en collaboration avec d’autres autorités ou des personnes privées, mais il doit également être tenu de le faire. Cette modification met en œuvre l’article 21 de la directive (UE) 2016/680. L’article 26 du règlement (UE) 2016/679 prévoit une règle analogue.
Bot Art. 30 Bases légales (comptage selon projet)
Afin de tenir compte des critiques émises par la doctrine concernant la délimitation des exceptions prévues à l’article 17, paragraphe 2, LPD et à l’article 19, paragraphe 2, LPD, le P‑LPD règle à l’article 30, paragraphe 2, la base légale pour certains traitements de données. L’alinéa 4 prévoit les exceptions aux exigences relatives à la base légale.
al. 1 Base légale
L’al. 1 reprend le principe de l’art. 17, al. 1, LPD, selon lequel les organes fédéraux ne peuvent traiter des données personnelles que s’il existe une base légale, sous réserve de certaines exceptions.
Al. 2 Base dans la loi au sens formel
Comme dans le droit en vigueur, l’alinéa 2, lettre a, stipule que le traitement de données sensibles nécessite une base dans une loi au sens formel.
Selon l’al. 2, let. b, les organes fédéraux ne sont habilités à procéder au profilage au sens de l’art. 4, let. f, P‑LPD que si une base dans une loi au sens formel le prévoit. Cette disposition remplace en ce sens l’art. 17, al. 2, LPD, selon lequel les profils de la personnalité ne peuvent être traités que si une loi au sens formel le prévoit expressément. En raison du risque d’atteinte aux droits fondamentaux des personnes concernées, le Conseil fédéral est d’avis que la base légale pour le profilage doit exister au même niveau que dans le cas du traitement de données sensibles. Comme indiqué dans le commentaire de l’alinéa 3, l’exigence d’une base légale au sens formel n’est pas absolue pour ce type de traitement de données. Il appartiendra donc au législateur de déterminer, dans chaque domaine, si une base légale formelle doit être créée dans une loi spécifique au domaine ou si une base dans une loi au sens matériel est suffisante. Il est concevable que, dans certains cas, le profilage ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
Selon l’al. 2, let. c, une base dans une loi au sens formel est nécessaire lorsque la finalité du traitement ou la manière dont les données sont traitées peut entraîner une atteinte grave aux droits fondamentaux de la personne concernée. Ce cas n’est pas expressément mentionné à l’article 17, paragraphe 2, LPD. Il ne s’agit toutefois pas d’une nouvelle exigence, car selon l’article 36, 1er alinéa, Cst., les restrictions graves des droits fondamentaux requièrent une base légale dans une loi au sens formel. La let. c est toutefois nécessaire, car plusieurs lois fédérales suppriment la notion de “profil de la personnalité” et les bases légales correspondantes. En effet, du point de vue du Conseil fédéral, la suppression de la notion de “profil de la personnalité” ne doit pas avoir pour conséquence d’abaisser le niveau d’exigence de la base légale.
Une atteinte grave aux droits fondamentaux de la personne concernée peut résulter de la finalité du traitement des données personnelles (premier cas d’application de la let. c). En effet, dans certains domaines, les organes fédéraux peuvent avoir besoin de traiter certaines données personnelles afin d’évaluer, par exemple, la dangerosité, le potentiel pour une fonction, l’aptitude à remplir une obligation légale ou le mode de vie d’une personne. Selon la finalité poursuivie par l’organe fédéral, le traitement peut – indépendamment de la nature des données traitées – restreindre gravement les droits fondamentaux de la personne concernée. Si tel est le cas, il est justifié qu’il existe une base légale pour le traitement des données personnelles au même niveau que pour le traitement des données personnelles sensibles.
Une atteinte grave aux droits fondamentaux de la personne concernée peut en outre résulter de la nature et des modalités du traitement des données (deuxième cas d’application de la let. c). C’est notamment le cas des décisions individuelles automatisées visées à l’article 19, paragraphe 1, P‑LPD. Certes, toutes les décisions individuelles automatisées ne présentent pas un risque grave pour les droits fondamentaux de la personne concernée, de sorte qu’une base dans une loi au sens matériel peut également suffire pour certaines de ces décisions. Une autorisation dans une loi au sens formel est en principe nécessaire lorsque la décision individuelle automatisée est prise sur la base de données personnelles sensibles. Cette disposition tient également compte des exigences de l’article 11 de la directive (UE) 2016/680.
al. 3 Exceptions à l’exigence d’une base dans une loi au sens formel
Cette disposition autorise le Conseil fédéral à édicter une base dans une loi au sens matériel pour le traitement de données personnelles sensibles et le profilage si deux conditions sont remplies cumulativement. Selon la let. a, le traitement doit être indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. Pour que cette condition soit remplie, la nature des tâches qui nécessitent le traitement de données personnelles doit être suffisamment concrétisée au niveau de la loi. La deuxième condition (paragraphe 3, lettre b) est nouvelle. Elle a l’avantage de limiter la portée de l’al. 3 de manière plus précise que la réglementation actuelle de l’art. 17, al. 2, let. a, LPD. Cette dernière ne s’applique qu’à titre exceptionnel, ce qui peut également conduire à utiliser la marge d’appréciation pour accepter des cas exceptionnels là où il n’y en a pas.
La réduction des exigences de niveau
de la base légale est particulièrement indiquée pour les données personnelles sensibles qui sont exceptionnellement traitées dans le cadre d’affaires du Conseil fédéral, du département ou de l’office (p. ex. décisions sur recours ; cas de responsabilité de l’Etat ; affaires concernant le personnel fédéral). Au sens strict, cela nécessite également une base légale formelle, conformément à l’actuel article 17, 1er alinéa, LPD. Toutefois, selon l’article 30, paragraphe 3, P‑LPD, une base légale au sens matériel est suffisante si le traitement est indispensable à l’exécution d’une tâche prévue par une loi au sens formel et si la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée. Dans la mesure où ces critères sont remplis et où l’accès à ces données est fortement limité, une base dans une loi au sens matériel suffira en principe à l’avenir.
al. 4 Exceptions
Selon l’al. 4, il est possible de déroger à l’exigence de base légale (al. 1 à 3) si l’une des conditions énoncées aux let. a à c est remplie.
La let. a règle la décision du Conseil fédéral qui autorise exceptionnellement l’organe fédéral à traiter des données personnelles sans base légale. La let. a correspond à l’exception prévue à l’art. 17, al. 2, let. b, LPD.
Selon la let. b, les organes fédéraux peuvent traiter des données personnelles sans base légale si la personne concernée donne son consentement au cas par cas conformément à l’art. 5, al. 6, P‑LPD ou si elle a rendu ses données personnelles accessibles à tous et ne s’est pas expressément opposée au traitement. Cette disposition correspond pour l’essentiel à l’exception prévue à l’art. 17, al. 2, let. c, LPD.
La let. c est une nouvelle exception qui ne figure pas à l’art. 17, al. 2, LPD. Elle correspond à l’article 10, point b), de la directive (UE) 2016/680 et à l’article 6, paragraphe 1, point d), du règlement (UE) 2016/679, selon lesquels le traitement est également autorisé s’il est nécessaire pour protéger la vie ou l’intégrité physique de la personne concernée ou d’un tiers lorsqu’il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable.
Bot Art. 31 Traitement automatisé des données dans le cadre d’essais pilotes (comptage selon projet)
Les présentes modifications de l’actuel article 17a LPD ne visent pas à affaiblir les conditions dans lesquelles un organe fédéral peut traiter des données de manière automatisée dans le cadre d’un projet pilote avant l’entrée en vigueur d’une loi au sens formel. Il s’agit simplement de réduire la densité réglementaire. En effet, depuis l’entrée en vigueur de cette norme, les organes fédéraux n’y ont que rarement eu recours. Certaines dispositions de l’art. 17a LPD pourront en outre être intégrées dans la future ordonnance d’exécution.
Hormis le fait que le terme “profils de la personnalité” est remplacé par “autres traitements de données au sens de l’art. 30, al. 2, let. b et c”, les conditions énoncées aux al. 1 et 2 correspondent dans une large mesure à celles de l’art. 17a, al. 1, LPD. En outre, la let. c précise qu’une phase de test est nécessaire “notamment pour des raisons techniques”. Cette modification est motivée par l’abrogation de l’art. 17a, al. 2, LPD, qui énumère les cas dans lesquels la mise en œuvre pratique d’un traitement de données peut nécessiter impérativement une phase de test. Pour les raisons exposées ci-dessus, ces cas peuvent être réglés dans une ordonnance d’exécution.
Les al. 3 et 4 restent inchangés par rapport au droit en vigueur, à l’exception de la suppression de la notion de “profils de la personnalité” et de quelques modifications rédactionnelles.
Bot Art. Art. 32 Communication de données personnelles (recensement selon projet)
L’art. 32 P‑LPD maintient le principe de l’art. 19 LPD, selon lequel les organes fédéraux ne peuvent en principe communiquer des données personnelles que s’il existe une base légale. Il précise toutefois que la notion de base légale correspond à celle prévue à l’article 30, paragraphes 1 à 3, P‑LPD. Il résulte de cette précision que l’article 32 ne fait pas référence aux exceptions prévues à l’article 30, paragraphe 4. En conséquence, les cas dans lesquels les organes fédéraux sont habilités à communiquer des données personnelles sans base légale sont énumérés de manière exhaustive à l’art. 32, al. 2, let. a à e, P‑LPD. Cette modification tient compte des critiques émises par la doctrine concernant la délimitation des exceptions prévues à l’art. 17, al. 2, LPD et à l’art. 19, al. 2, LPD.
La notion de “données personnelles” à l’al. 1 comprend également les données personnelles sensibles. Si l’art. 30 exige une base légale au sens formel pour le traitement d’une certaine catégorie de données personnelles (données sensibles) ou pour certains traitements (profilage, traitements selon l’art. 30, al. 2, let. c), il en va de même pour les prescriptions relatives à la communication des données personnelles en question. La communication de données personnelles est en soi un processus particulièrement sensible, de sorte que dans ce domaine, la manière dont les données communiquées sont obtenues peut avoir une importance non négligeable. C’est pourquoi, si une communication a lieu à la suite d’un des types de traitement particulièrement sensibles, elle doit être prévue dans une loi au sens formel. Les exceptions prévues à l’al. 2 s’appliquent également lorsqu’un organe fédéral a l’intention de communiquer ce type de données.
L’exception prévue à l’al. 2, let. a, est élargie. Jusqu’à présent, les organes fédéraux pouvaient communiquer des données au cas par cas, sans base légale, si la communication des données était indispensable au destinataire pour l’accomplissement d’une tâche légale. Désormais, ils peuvent également le faire si cela est indispensable pour eux-mêmes afin d’accomplir une tâche légale.
La lettre c est une nouvelle exception qui n’est pas prévue à l’article 19, paragraphe 1, LPD. Elle est également insérée à l’article 30, paragraphe 4, point c), P‑LPD.
L’art. 32, al. 3, P‑LPD correspond à l’art. 19, al. 1, LPD, à l’exception d’une modification ponctuelle. Une adaptation du libellé de l’art. 32, al. 3, doit permettre d’améliorer la coordination entre la LTrans et la LPD. En ce qui concerne la condition de l’intérêt public prépondérant à la communication des données (art. 32, al. 3, let. b, P‑LPD), il convient de préciser que cette condition ne s’applique pas seulement en plus (alternativement), mais aussi de manière autonome à l’art. 32, al. 1 et 2. Il est proposé de remplacer, dans la phrase introductive de l’article 32, paragraphe 3, P‑LPD, l’expression “également” (pour laquelle il n’existe pas d’équivalent dans la version française) par “en outre/en outre”, afin d’indiquer clairement que la base juridique visée au paragraphe 3 s’ajoute à celles prévues aux paragraphes 1 et 2.
L’article 32, paragraphe 4, reste inchangé par rapport à l’article 19, paragraphe 2, de la LPD. Les explications figurant dans le message du Conseil fédéral du 23 mars 1988 restent valables.
En revanche, la base légale pour les “procédures d’appel” (art. 19, al. 3, LPD) auprès des organes fédéraux est supprimée, car elle semble dépassée à l’ère du numérique. Cette modification n’entraîne pas un affaiblissement de la protection des données personnelles, car la communication doit toujours se faire dans le cadre des dispositions légales de protection des données. Les adaptations des dispositions de protection des données spécifiques à un domaine, qui découlent de l’abrogation de l’art. 19, al. 3, sont effectuées en continu dans le cadre de la révision des actes législatifs concernés.
Les alinéas 5 et 6 correspondent aux alinéas 3 et 4 de l’article 19 LPD.
Art. 37 Opposition à la communication de données personnelles
1 La personne concernée qui rend vraisemblable un intérêt digne de protection peut s’opposer à la communication de certaines données personnelles par l’organe fédéral responsable.2 L’organe fédéral rejette la demande si l’une des conditions suivantes est remplie :a. Il existe une obligation légale de communication.b. L’accomplissement de sa mission serait sinon compromis.3 L’article 36, paragraphe 3, est réservé.Bot art. 33 Opposition à la communication de données personnelles (recensement selon projet)
Hormis quelques modifications rédactionnelles, cette disposition reste inchangée par rapport au droit en vigueur (article 20 LPD). Dans la version allemande, l’expression “Sperrung der Bekanntgabe” est remplacée par “Widerspruch gegen die Bekanntgabe”, conformément à la terminologie européenne.
Selon le préposé, le droit d’opposition devrait porter non seulement sur la communication des données, mais aussi sur leur traitement.
Art. 38 Proposition de documents aux Archives fédérales
1 Conformément à la loi sur l’archivage du 26 juin 1998, les organes fédéraux proposent aux Archives fédérales toutes les données personnelles dont ils n’ont plus besoin en permanence.2 Elles détruisent les données personnelles désignées par les Archives fédérales comme n’ayant pas de valeur archivistique, à moins que:« les données personnelles ne soient pas conservées dans les archives.a. celles-ci sont rendues anonymes ;b. elles doivent être conservées à des fins de preuve ou de sécurité, ou pour sauvegarder les intérêts légitimes de la personne concernée.Bot art. 34 Offre de documents aux Archives fédérales (comptage selon projet)
Cette disposition correspond à l’article 21 LPD. Elle reste inchangée sur le plan matériel.
Art. 39 Traitements de données à des fins non personnelles
1 Les organes fédéraux sont autorisés à traiter des données personnelles à des fins ne se rapportant pas à des personnes, en particulier à des fins de recherche, de planification ou de statistique, lorsque :a. les données soient rendues anonymes dès que la finalité du traitement le permet ;b. l’organe fédéral ne communique à des personnes privées des données personnelles sensibles que de manière à ce que les personnes concernées ne soient pas identifiables ;c. le destinataire ne communique les données à des tiers qu’avec l’accord de l’organe fédéral qui a communiqué les données ; et qued. les résultats ne soient publiés que de manière à ce que les personnes concernées ne soient pas identifiablesind.
2 Les articles 6, paragraphe 3, 34, paragraphe 2, et 36, paragraphe 1, ne sont pas applicables.Bot Art. 35 Traitement pour la recherche, la planification et la statistique Cette disposition correspond en grande partie à l’article 22 LPD. (Comptage selon projet)
En outre, une nouvelle let. b est ajoutée à l’al. 1, selon laquelle les organes fédéraux doivent communiquer les données personnelles sensibles à des tiers privés de manière à ce que la personne concernée ne soit pas identifiable. Cette disposition vise à renforcer la protection des données personnelles sensibles. Cette condition est également remplie lorsque la communication a lieu sous forme pseudonymisée et que la clé reste chez la personne qui transmet les données (anonymisation de fait).
L’al. 2 est en outre modifié en ce qui concerne les renvois aux art. 5, al. 3, 30, al. 2, et 32, al. 1, P‑LPD.
Art. 40 Activité de droit privé des organes fédéraux
Si un organe fédéral agit en vertu du droit privé, les dispositions relatives au traitement des données par des personnes privées s’appliquent.
Bot Art. 36 Activité de droit privé des organes fédéraux (comptage selon projet)
Cette disposition correspond à l’article 23, paragraphe 1, LPD. L’art. 23, al. 2, LPD peut être abrogé, car le même système de surveillance est prévu dans la P‑LPD pour les personnes privées et les organes fédéraux.
Art. 41 Droits et procédure
1 Quiconque a un intérêt digne de protection peut exiger de l’organe fédéral responsable qu’il :a. s’abstient de tout traitement illicite des données personnelles concernées ;b. élimine les conséquences d’un traitement illicite ;c. constate le caractère illicite du traitement2 Le requérant ou la requérante peut notamment exiger que l’organe fédéral :a. rectifie, efface ou détruit les données personnelles concernées ;b. communique à des tiers ou publie sa décision, notamment en ce qui concerne la rectification, l’effacement ou la destruction, l’opposition à la communication en vertu de l’article 37 ou la mention de contestation en vertu de l’alinéa 4.3 Au lieu d’effacer ou de détruire les données personnelles, l’organe fédéral limite le traitement si :a. la personne concernée conteste l’exactitude des données personnelles et que ni l’exactitude ni l’inexactitude ne peuvent être établies ;b. des intérêts prépondérants de tiers l’exigent ;c. un intérêt public prépondérant, notamment la sécurité intérieure ou extérieure de la Suisse, l’exige ;d. l’effacement ou la destruction des données peut compromettre une enquête, une investigation ou une procédure administrative ou judiciaire.4 Si ni l’exactitude ni l’inexactitude des données personnelles concernées ne peut être établie, l’organe fédéral appose une mention de contestation sur les données.5 La rectification, l’effacement ou la destruction de données personnelles ne peuvent pas être exigés en ce qui concerne les fonds des bibliothèques accessibles au public, des établissements d’enseignement, des musées, des archives ou d’autres institutions de mémoire publiques. Si le requérant rend vraisemblable un intérêt prépondérant, il peut exiger que l’institution limite l’accès aux données contestées. Les alinéas 3 et 4 ne sont pas applicables.6 La procédure est régie par la PA. Les exceptions prévues aux articles 2 et 3 PA ne sont pas applicables.Bot Art. 37 Revendications et procédure (comptage selon projet)
Par rapport à l’article 25 LPD, l’article 37 P‑LPD subit quelques modifications qui sont expliquées ci-dessous.
al. 1 Demande
Cette disposition règle les demandes que les personnes concernées peuvent adresser aux organes fédéraux. Elle n’est pas modifiée par rapport à l’article 25, 1er alinéa, LPD.
al. 2 Autres demandes
Aujourd’hui, le droit de la personne concernée de demander l’effacement de ses données découle implicitement de l’article 25 LPD. Afin de tenir compte des exigences de l’article 8, point e), du P‑SEV 108 et de l’article 16 de la directive (UE) 2016/680, ce droit est désormais expressément mentionné à l’article 37, paragraphe 2, points a) et b). L’article 17 du règlement (UE) 2016/679 prévoit pour sa part le droit de la personne concernée de demander, sous certaines conditions, l’effacement des données la concernant (“droit à l’oubli”). Le même droit est introduit à l’art. 28 P‑LPD, de sorte que la réglementation est identique à l’égard des responsables privés et publics (cf. ch. 9.1.6). La situation juridique concrète ne change toutefois pas.
A l’al. 2, let. a, la dernière partie de la phrase concernant le blocage de la communication à des tiers est supprimée par rapport à l’art. 25, al. 3, let. 3, LPD, car l’opposition à la communication de données est réglée de manière exhaustive par l’art. 33 P‑LPD. L’opposition au sens de l’art. 33 P‑LPD n’est pas liée au traitement illicite, ce qui est le cas pour les prétentions au sens de l’art. 37.
La lettre b de cette disposition maintient toutefois la possibilité pour la personne concernée d’exiger de l’organe fédéral qu’il publie la décision d’opposition à la communication conformément à l’article 33. L’article 33 ne le prévoit pas, mais il semble judicieux que la personne concernée puisse l’exiger, du moins en cas de communication illicite.
al. 3 Limitation du traitement
L’alinéa 3 prévoit une mesure moins radicale que l’effacement ou la destruction des données personnelles contestées : la limitation du traitement.
Cette règle correspond à l’article 16, paragraphe 3, de la directive (UE) 2016/680, qui permet au responsable du traitement de limiter le traitement plutôt que d’effacer les données contestées lorsque la personne concernée conteste l’exactitude des données et que l’exactitude ou l’inexactitude ne peut être établie ou lorsque les données doivent être conservées à des fins probatoires.
L’article 18 du règlement (UE) 2016/679 va plus loin, puisque la personne concernée a le droit, en vertu de cette disposition, d’exiger la limitation du traitement.
En revanche, l’E-SEV 108 n’inclut pas la limitation du traitement.
Le paragraphe 3 doit être interprété en ce sens que les données peuvent continuer à être traitées, mais uniquement à des fins spécifiques. Il ne s’agit pas d’exclure tout type de traitement de données. Conformément au considérant 47 de la directive (UE) 2016/680, la limitation du traitement doit être comprise en ce sens que l’organe fédéral ne peut traiter les données concernées que dans le but qui a empêché leur effacement. L’alinéa 3 prévoit quatre cas de figure à cet effet.
Selon l’al. 3, let. a, l’organe fédéral doit limiter le traitement des données personnelles lorsque la personne concernée conteste l’exactitude des données personnelles et que ni leur exactitude ni leur inexactitude ne peuvent être établies. Dans ce cas, la limitation du traitement signifie que l’organe fédéral ne peut traiter les données contestées que dans le but d’en établir l’exactitude ou l’inexactitude. Dès que l’exactitude des données est établie, l’organe fédéral peut poursuivre le traitement sans restriction. Toutefois, si les données personnelles s’avèrent inexactes, l’organe fédéral doit les effacer ou les détruire, à moins que les points b) ou c) ne s’appliquent dans le cas en question.
Le paragraphe 3, point b), stipule que l’organe fédéral doit limiter le traitement si les intérêts prépondérants d’un tiers l’exigent, par exemple si l’effacement ou la destruction de certaines données pourrait empêcher un tiers d’exercer ses droits en justice. Cela signifie que les données peuvent continuer à être traitées, mais uniquement pour permettre au tiers concerné d’exercer ses droits. Tout traitement à d’autres fins est exclu.
Selon l’al. 3, let. c, l’organe fédéral n’est pas tenu d’effacer ou de détruire les données contestées si cela risque de compromettre un intérêt public prépondérant, notamment la sûreté intérieure ou extérieure de la Suisse.
Enfin, l’alinéa 3, lettre d, stipule que l’organe fédéral n’est pas tenu d’effacer ou de détruire les données si cela peut compromettre une enquête, une investigation ou une procédure administrative ou judiciaire. Dans ce cas, l’organe fédéral peut continuer à traiter les données personnelles, mais uniquement dans le but qui a empêché leur effacement, c’est-à-dire pour poursuivre une enquête, une investigation ou une procédure.
La limitation du traitement signifie que les données contestées sont marquées afin que leur traitement futur soit effectué exclusivement dans le but qui a empêché leur effacement ou leur destruction. Le marquage doit être clair. Dans la pratique, elle peut signifier que les données contestées sont temporairement déplacées vers un autre système de traitement ou que l’accès aux données est rendu impossible aux utilisateurs. Dans les systèmes de traitement automatisé des données, la limitation du traitement devrait en principe être garantie par des moyens techniques, de sorte que les données ne puissent plus être traitées ou modifiées à d’autres fins que celles visées à l’al. 3.
al. 4 Mention de la contestation
Cette disposition contient la “mention de contestation”, qui a été reprise telle quelle de l’ancien droit (art. 25, al. 2, LPD). Selon cette disposition, une mention correspondante peut être apposée sur les données lorsque ni l’exactitude ni l’inexactitude de celles-ci ne peuvent être définitivement établies.
al. 5 Stocks des institutions de mémoire publiques
Selon le paragraphe 5, la rectification, l’effacement ou la destruction de données ne peuvent être exigés en ce qui concerne les fonds des bibliothèques accessibles au public, des établissements d’enseignement, des musées, des archives ou d’autres institutions de mémoire publiques. L’exception a une portée limitée dans la mesure où nombre de ces institutions relèvent de la législation cantonale en matière de protection des données. La disposition se réfère aux institutions publiques dont l’activité consiste notamment à collecter, à mettre en valeur, à conserver et à communiquer des documents de toute nature (y compris numériques). Une rectification, un effacement ou une destruction s’opposeraient à ce but de traitement spécifique dans la mesure où ils se rapportent aux fonds d’archives de telles institutions. La mention de contestation prévue à l’alinéa 4 de cet article ne s’applique pas non plus. En effet, ces fonds doivent représenter un moment du passé au moyen de documents, ce qui n’est possible que si ces documents sont contenus dans les archives à l’identique et donc sans modification. Il existe à cet égard un intérêt public considérable qui découle de la liberté d’information (art. 16 al. 3 Cst.).
La deuxième phrase du paragraphe 5 permet toutefois à la personne concernée d’exiger que l’institution en question limite l’accès aux données contestées. Pour ce faire, la personne concernée doit toutefois rendre crédible un intérêt prépondérant. Cette exception doit être considérée en particulier au regard de la tendance croissante à rendre accessibles à tous sur Internet de vastes fonds d’institutions de mémoire accessibles au public. Cela réduit le travail nécessaire pour effectuer des recherches ciblées, tout en élargissant considérablement le cercle des personnes pouvant accéder au fonds en question. La loi doit donc permettre une pesée des intérêts différenciée pour de tels cas. Dans ce contexte, l’intérêt public à un accès non faussé et sans restriction aux documents s’oppose à l’intérêt de la personne concernée à ce que des informations non véridiques ou portant atteinte à sa personnalité ne soient pas accessibles à tous. Comme il ressort de la première phrase du paragraphe 5, en ce qui concerne les archives et les institutions similaires, l’intérêt public à un accès libre et non faussé prévaut en principe. En revanche, on ne peut admettre un intérêt prépondérant de la personne concernée que si elle subit, en raison du libre accès, des inconvénients personnels importants qui peuvent la limiter considérablement, même à l’avenir (par exemple dans son avancement professionnel). Ces inconvénients doivent en outre être mis en relation avec la valeur archivistique des données contestées, qui peut par exemple résulter de l’importance historique, du type ou du contenu du document. Un intérêt prépondérant du côté de la personne concernée doit notamment être admis lorsque la valeur archivistique des données et, par conséquent, l’importance d’un accès public illimité apparaissent comme faibles par rapport aux restrictions considérables imposées à la personne concernée. Dans ce cas, la personne concernée peut exiger que l’institution limite l’accès aux données contestées. La limitation doit être aménagée dans chaque cas de manière à ce qu’elle paraisse proportionnée aux intérêts en jeu. Ainsi, il peut souvent suffire qu’un document ne soit pas accessible sur Internet, mais uniquement dans des archives physiques. Dans certains cas, il serait également envisageable de n’accorder l’accès à un document qu’aux personnes qui en ont besoin pour leur activité scientifique ou journalistique.
En revanche, le paragraphe 5 ne s’applique pas aux traitements de données effectués par ces institutions qui ne sont pas en rapport avec les collections et qui ont lieu à d’autres fins, comme par exemple les comptes d’utilisateur des bibliothèques ou les dossiers personnels. Pour ces traitements, la personne concernée bénéficie sans restriction des droits prévus à l’article 37.
Art. 42 Procédure en cas de communication de documents officiels contenant des données personnelles
Lorsqu’une procédure d’accès à des documents officiels contenant des données personnelles au sens de la loi du 17 décembre 2004 sur la transparence est en cours, la personne concernée peut faire valoir dans cette procédure les droits qui lui sont conférés par l’art. 41 de la présente loi en ce qui concerne les documents faisant l’objet de la procédure d’accès.
Bot Art. 38 Procédure en cas de communication de documents officiels contenant des données personnelles (art. 3 du projet)
Cette disposition correspond à l’article 25 LPD. Elle reste inchangée sur le plan matériel.
Chapitre 7 Préposé fédéral à la protection des données et à la transparence
Section 1 Organisation
Art. 43 Élection et statut
1 L’associationL’Assemblée fédérale élit le chef du PFPDT (le préposé).
2 Est éligible toute personne ayant le droit de vote en matière fédérale.3 Sauf disposition contraire de la présente loi, les rapports de travail du mandataire sont régis par la loi du 24 mars 2000 sur le personnel de la Confédération (LPers). Le mandataire est assuré jusqu’à l’âge de 65 ans auprès de la Caisse fédérale de pensions PUBLICA contre les conséquences économiques de la vieillesse, de l’invalidité et du décès. Si les rapports de travail se poursuivent après l’âge de 65 ans révolus, la prévoyance vieillesse est maintenue, à la demande du mandataire, jusqu’à la fin des rapports de travail, mais au plus tard jusqu’à la fin de l’année au cours de laquelle il atteint l’âge de 68 ans. Le PFPDT finance les cotisations d’épargne de l’employeur.3bis L’Assemblée fédérale édicte par voie d’ordonnance les dispositions d’exécution relatives aux rapports de travail du préposé.
4 Le préposé exerce sa fonction de manière indépendante, sans solliciter ni accepter d’instructions d’une autorité ou d’un tiers. Il est rattaché administrativement à la Chancellerie fédérale.5 Il ou elle dispose d’un secrétariat permanent et d’un budget propre. Il ou elle engage son personnel.6 Il ou elle n’est pas soumis(e) au système d’évaluation prévu à l’art. 4, al. 3, LPers.Bot Art. 39 Nomination et position (comptage selon projet)
al. 1 Procédure de nomination
Le paragraphe 1 ne modifie pas la procédure de nomination du représentant, car elle est conforme aux exigences de la directive (UE) 2016/680 et du P‑SEV 108. Le P‑SEV 108 ne contient aucune disposition relative au mode d’élection ou de nomination de l’autorité de contrôle. L’article 43 de la directive (UE) 2016/680 oblige les États Schengen à réglementer la procédure de nomination, mais leur laisse le choix entre une nomination par le parlement, le gouvernement, le chef d’État ou par une autorité indépendante. L’article 53 du règlement (UE) 2016/679 prévoit la même solution pour les États membres de l’Union européenne.
Le Conseil fédéral a examiné la proposition de plusieurs participants à la consultation d’introduire une élection par le Parlement. Il est arrivé à la conclusion que cette modification n’est pas appropriée pour les raisons suivantes. La procédure actuelle offre des garanties suffisantes d’indépendance du ou de la mandataire vis-à-vis de l’exécutif. En effet, l’Assemblée fédérale peut refuser de donner son accord à sa nomination. Le Conseil fédéral n’est pas non plus convaincu qu’une élection par le Parlement renforcerait l’indépendance du ou de la préposé(e). En effet, elle pourrait être influencée par des groupes d’intérêts. En outre, la nomination par le Conseil fédéral, sous réserve de l’approbation par le Parlement, offre la possibilité au préposé de rester rattaché administrativement à la Chancellerie fédérale. Cela ne serait plus possible en cas de nomination par le Parlement. Si le préposé ne fait plus partie de l’administration fédérale, il n’est pas exclu qu’il lui soit plus difficile d’exercer une surveillance sur les organes fédéraux et de les faire coopérer à une enquête. Enfin, si le préposé était élu par le Parlement, il devrait également être financièrement indépendant, à l’instar du Contrôle fédéral des finances par exemple.
Alinéa 3 Position
La première phrase de l’al. 3 concrétise l’indépendance du préposé en précisant qu’il ne peut solliciter ou recevoir d’instructions d’une autorité ou d’un tiers. Cette modification tient compte des exigences de l’article 12, paragraphe 4, du P‑SEV 108 et de l’article 42, paragraphes 1 et 2, de la directive (UE) 2016/680, qui a la même teneur que l’article 52, paragraphes 1 et 2, du règlement (UE) 2016/679.
Alinéas 2, 4 et 5
Ces dispositions restent matériellement inchangées par rapport au droit actuel (art. 26, al. 2, 4 et 5 LPD).
Le préposé estime qu’en raison de sa fonction de surveillance, la réglementation de son budget devrait être alignée sur celle du Contrôle fédéral des finances.
Art. 44 Durée du mandat, réélection et fin du mandat
1 La durée du mandat du préposé est de quatre ans et peut être renouvelée deux fois. Elle débute le 1er janvier suivant le début de la législature du Conseil national.2 Le préposé peut résilier son contrat de travail pour la fin de chaque mois, moyennant un préavis de six mois. La commission judiciaire peut, dans des cas particuliers, accorder au préposé un délai de résiliation plus court si aucun intérêt majeur ne s’y oppose.3 L’Assemblée fédérale (Chambres réunies) peut révoquer le préposé avant l’expiration de son mandat si celui-ci :a. a gravement enfreint les devoirs de sa charge, intentionnellement ou par négligence grave ; oub. a perdu de manière permanente la capacité d’exercer la fonction.Bot Art. 40 Renouvellement et fin de mandat (comptage selon projet)
Actuellement, le préposé peut être réélu pour un nombre illimité de mandats. Ce principe est modifié au paragraphe 1 afin de mettre en œuvre les exigences de l’article 44, paragraphe 1, point e), de la directive (UE) 2016/680. Celui-ci prévoit que les États Schengen doivent régler si le ou les membres de l’autorité de contrôle peuvent être reconduits dans leurs fonctions et, dans l’affirmative, à quelle fréquence. Conformément à cette disposition, les États Schengen ont donc le choix de décider si le mandat de l’autorité de surveillance peut être renouvelé et à quelle fréquence. L’article 54, paragraphe 1, point e), du règlement (UE) 2016/679 contient une disposition similaire.
Conformément à la marge de manœuvre accordée par l’article 44 de la directive (UE) 2016/680, le Conseil fédéral propose que le mandataire puisse être renouvelé deux fois. Ce dernier peut donc rester en fonction pendant douze ans au maximum. Cette mesure vise à renforcer l’indépendance du préposé en tant qu’autorité. Il ne doit pas être retenu dans l’accomplissement de son mandat légal par crainte de ne pas être réélu. Si le préposé atteint l’âge de la retraite pendant la durée de son mandat, les rapports de travail prennent automatiquement fin lorsqu’il atteint l’âge prévu à l’art. 21 de la loi fédérale du 20 décembre 1946 sur l’assurance-vieillesse et survivants (LAVS) (art. 10, al. 1, de la loi du 24 mars 2000 sur le personnel de la Confédération (LPers) en relation avec l’art. 14, al. 1, LPers). Les al. 2, 3 et 4 restent matériellement inchangés par rapport à l’art. 26a LPD.
Art. 44a Avertissement
La commission judiciaire peut prononcer un avertissement si elle constate que
le préposé a violé des devoirs de sa charge.
Art. 45 Budget
Le PFPDT soumet chaque année son projet de budget au Conseil fédéral par l’intermédiaire de la Chancellerie fédérale. Celui-ci le transmet à l’Assemblée fédérale sans le modifier.
Art. 46 Incompatibilité
Le préposé ne doit être membre ni de l’Assemblée fédérale ni du Conseil fédéral et n’avoir aucun rapport de travail avec la Confédération.
Art. 47 Activité accessoire
1 Le ou la préposé(e) ne peut pas exercer d’activité accessoire.2 La Commission judiciaire peut autoriser le préposé à exercer une activité accessoire si celle-ci ne porte pas atteinte à l’exercice de sa fonction, à l’indépendance et à la réputation du PFPDT. La décision est publiée.Bot Art. 41 Activité accessoire (comptage selon projet)
L’article 41 renforce les conditions d’exercice d’une activité accessoire par le préposé. Cette disposition met en œuvre les exigences de l’article 42, paragraphe 3, de la directive (UE) 2016/680, qui a la même teneur que l’article 52, paragraphe 3, du règlement (UE) 2016/679. La disposition ne s’applique qu’au préposé. Le suppléant et le secrétariat sont soumis à la LPers.
L’art. 26b LPD prévoit uniquement que le Conseil fédéral peut autoriser le préposé à exercer une autre activité si cela ne porte pas atteinte à son indépendance ou à sa réputation. L’art. 41, al. 1, première phrase, pose en revanche le principe selon lequel le préposé ne peut exercer aucune activité lucrative supplémentaire. La deuxième phrase précise qu’il ne peut pas non plus occuper une fonction de la Confédération ou d’un canton. La notion de canton doit être comprise dans un sens large et englobe également les communes, les districts, les arrondissements et les collectivités de droit public. L’alinéa 1, deuxième phrase, prescrit en outre que le préposé ne peut pas non plus être membre de la direction, du conseil d’administration ou de l’organe de surveillance ou de révision d’une entreprise commerciale. Cette disposition s’applique indépendamment du fait qu’une telle activité soit rémunérée ou non.
L’al. 2 limite la portée de l’al. 1. Il prévoit que le Conseil fédéral peut, à certaines conditions, autoriser le préposé à exercer une activité accessoire. La décision du Conseil fédéral est publiée.
Art. 47a Récusation
Si la récusation du préposé est contestée, la décision est prise par le président ou la présidente de la cour du Tribunal administratif fédéral compétente en matière de protection des données.
Art. 48 Autocontrôle du PFPDT
Le PFPDT s’assure, par des mesures de contrôle appropriées, notamment en ce qui concerne la sécurité des données, que l’exécution conforme au droit des prescriptions fédérales sur la protection des données est garantie au sein de son autorité.
Bot Art. 42 Autocontrôle du mandataire (comptage selon projet)
Cette disposition oblige le préposé à prendre des mesures de contrôle appropriées, notamment en ce qui concerne la sécurité des données personnelles et l’exécution conforme au droit des prescriptions fédérales en matière de protection des données. Le Conseil fédéral concrétisera les mesures à prendre dans la future ordonnance.
Section 2 Enquête sur les violations des dispositions relatives à la protection des données
Art. 49 Enquête
1 Le PFPDT ouvre, d’office ou sur dénonciation, une enquête à l’encontre d’un organe fédéral ou d’une personne privée lorsqu’il existe suffisamment d’indices qu’un traitement de données pourrait enfreindre les dispositions sur la protection des données.2 Il peut renoncer à ouvrir une enquête si la violation des règles de protection des données est d’une importance mineure.3 L’organe fédéral ou la personne privée fournit au PFPDT tous les renseignements et met à sa disposition tous les documents nécessaires à l’enquête. Le droit de refuser de fournir des renseignements est régi par les art. 16 et 17 de la PA, à moins que l’art. 50, al. 2, de la présente loi n’en dispose autrement.4 Si la personne concernée a porté plainte, le PFPDT l’informe des démarches entreprises sur la base de cette plainte et du résultat d’une éventuelle enquête.Bot Art. 43 Enquête (comptage selon projet)
Selon le droit en vigueur, la procédure diffère selon qu’elle concerne l’activité de surveillance du préposé dans le secteur privé ou dans le secteur public. Alors que l’art. 27 LPD confie au préposé la tâche de surveiller les traitements de données effectués par des organes fédéraux, l’art. 29, al. 1, let. a à c, LPD dispose que ce dernier ouvre une enquête contre une personne privée lorsque des méthodes de traitement sont susceptibles de porter atteinte à la personnalité d’un grand nombre de personnes, que des fichiers doivent être enregistrés conformément à l’art. 11a LPD ou qu’il existe une obligation d’informer selon l’art. 6, al. 3. Les compétences de surveillance du préposé à l’égard du secteur privé ne répondent actuellement pas aux exigences du P‑SEV 108. Ainsi, son article 12ne prévoit aucune limitation des pouvoirs d’investigation et d’intervention de l’autorité de surveillance à l’égard des responsables de traitement.
al. 1 Ouverture de l’enquête
Selon l’art. 43, al. 1, P‑LPD, le préposé ouvre une enquête, d’office ou sur dénonciation, lorsqu’il existe des indices qu’un traitement de données pourrait enfreindre les prescriptions sur la protection des données. La dénonciation peut être faite par un tiers ou par la personne concernée. La personne qui dénonce n’a toutefois pas la qualité de partie à la procédure (art. 46, al. 2, e contrario). En revanche, si c’est la personne concernée qui a porté plainte, le préposé doit l’informer de la suite de sa démarche et du résultat d’une éventuelle enquête (al. 4). La personne concernée doit faire valoir ses droits par les voies de droit applicables, c’est-à-dire qu’elle peut intenter une action devant un tribunal civil si le responsable est une personne privée ou faire recours contre la décision de l’organe fédéral responsable. Cela correspond au droit en vigueur.
al. 2 Renonciation à l’ouverture d’une enquête
Le préposé peut renoncer à ouvrir une enquête si la violation des règles de protection des données est d’une importance mineure. Ce serait par exemple le cas si une association sportive ou culturelle envoyait un message électronique à tous ses membres sans dissimuler l’identité des destinataires. L’alinéa 2 peut également s’appliquer lorsque le préposé estime que les conseils donnés au responsable suffisent à remédier à une situation qui ne pose guère de problème en soi.
al. 3 Obligation de coopérer
L’al. 3 règle les obligations de collaborer de la personne privée et de l’organe fédéral en reprenant la réglementation prévue aux art. 27, al. 3, et 29, al. 2, LPD. La partie à la procédure doit fournir au préposé tous les renseignements et mettre à sa disposition tous les documents.
Les personnes concernées doivent fournir les informations nécessaires à l’enquête. La deuxième phrase de l’al. 3 précise que le droit de refuser de fournir des renseignements est régi par les art. 16 et 17 PA. L’art. 16, al. 1, PA renvoie à l’art. 42, al. 1 et 3, de la loi fédérale de procédure civile fédérale du 4 décembre 1947. Selon cette disposition, les personnes interrogées peuvent refuser de témoigner si la réponse à la question peut les exposer au risque de poursuites pénales. Il s’agit des personnes tenues de garder le secret en vertu des articles 321, 321 et 321 du code pénal. Ainsi, les médecins peuvent par exemple refuser de fournir au préposé des données personnelles sur leurs patients si ceux-ci n’y consentent pas. Il en va de même pour les avocats et leur clientèle. L’article 90 du règlement (UE) 2016/679 prévoit également que les États membres réglementent les pouvoirs des autorités de contrôle à l’égard des responsables du traitement ou des sous-traitants qui sont soumis au secret professionnel ou à une obligation de secret équivalente en vertu du droit national.
Art. 50 Pouvoirs
1 Si l’organe fédéral ou la personne privée ne respecte pas son obligation de collaborer, le PFPDT peut notamment ordonner ce qui suit dans le cadre de l’enquête :a. accès à tous les renseignements, documents, registres des activités de traitement et données personnelles nécessaires à l’enquêteb. l’accès aux locaux et aux installations ;c. l’audition de témoins ;d. des expertises par des experts.2 Le secret professionnel est réservé.3 Pour l’exécution des mesures visées à l’al. 1, le PFPDT peut faire appel à d’autres autorités fédérales ainsi qu’aux organes de police cantonaux ou communaux.Bot Art. 44 Compétences (comptage selon projet)
Cette disposition répond aux exigences de l’article 12, paragraphe 2, point a), du P‑SEV 108, qui prévoit que l’autorité de contrôle doit disposer de pouvoirs d’enquête et d’intervention. L’article 47, paragraphe 1, de la directive (UE) 2016/680 dispose également que les États Schengen doivent prévoir des pouvoirs d’enquête effectifs pour l’autorité de contrôle, notamment le pouvoir d’obtenir du responsable du traitement l’accès à toutes les données traitées et à toutes les informations nécessaires à l’accomplissement de ses tâches. Le règlement (UE) 2016/679 prévoit quant à lui une disposition analogue à l’article 58, paragraphe 1, points e) et f).
Al. 1 Mesures d’instruction
Les mesures visées à l’al. 1 ne peuvent être ordonnées que si une enquête a été ouverte et dans la mesure où la personne privée ou l’organe fédéral ne remplit pas son obligation de collaborer. En d’autres termes, le préposé ne peut ordonner les mesures prévues aux let. a à d que s’il a vainement tenté d’obtenir la collaboration du responsable.
La liste des mesures visées à l’al. 1 est identique à celle de l’art. 12 PA. Il s’agit d’une liste non exhaustive. Le préposé est notamment habilité à exiger l’accès à tous les renseignements, documents, listes de traitement et données personnelles nécessaires à l’enquête (let. a) ou à demander l’accès à des locaux et installations (let. b). Comme toutes les autorités fédérales, il doit respecter les dispositions légales en vigueur, notamment celles relatives à la protection des données et au respect des secrets de fabrication et d’affaires. Il est en outre soumis au secret de fonction conformément à l’art. 22 LPers. Par conséquent, le traitement confidentiel des données personnelles auxquelles il a accès dans l’exercice de ses tâches de surveillance est garanti, notamment lorsqu’il informe la personne dénonciatrice du résultat d’une éventuelle enquête (art. 43 al. 4) ou lorsqu’il publie son rapport d’activité conformément à l’art. 51 P‑LPD.
Al. 2 Mesures provisoires
Cette disposition confère au préposé le pouvoir d’ordonner des mesures provisionnelles pour la durée de l’enquête et de les faire exécuter par une autorité fédérale ou par les organes de police cantonaux ou communaux. L’art. 33, al. 2, LPD actuellement en vigueur prévoit que le préposé peut demander au président de la section du Tribunal administratif fédéral compétente en matière de protection des données de prendre des mesures provisionnelles s’il constate, lors d’une enquête menée contre une personne privée ou contre un organe fédéral, que les personnes concernées risquent de subir un préjudice difficilement réparable. Etant donné que l’art. 45 P‑LPD confère au préposé des compétences décisionnelles, le Tribunal administratif fédéral n’est plus nécessaire pour ordonner des mesures provisionnelles et la disposition correspondante peut par conséquent être supprimée. La procédure de recours contre les mesures provisionnelles est régie par les art. 44 ss. PA. L’effet suspensif du recours est réglé par l’article 55 PA.
Les nouveaux pouvoirs d’enquête du préposé constituent, au regard de l’article 45 du règlement (UE) 2016/679, un élément déterminant pour garantir que la Commission européenne renouvelle ou maintienne la décision d’adéquation à l’égard de la Suisse.
Art. 51 Mesures administratives
1 En cas de violation des dispositions relatives à la protection des données, le PFPDT peut décider d’adapter, d’interrompre ou d’annuler tout ou partie du traitement et d’effacer ou de détruire tout ou partie des données personnelles.2 Il peut différer la communication à l’étranger ou l’interdire si elle contrevient aux conditions fixées aux art. 16 ou 17 ou aux dispositions relatives à la communication de données personnelles à l’étranger figurant dans d’autres lois fédérales.3 Il peut notamment ordonner que l’organe fédéral ou la personne privée :a. l’informe conformément à l’article 16, paragraphe 2, points b) et c), et à l’article 17, paragraphe 2 ;b. prend les mesures prévues aux articles 7 et 8 ;c. conformément aux articles 19 et 21, informe les personnes concernées ;d. procède à une analyse d’impact relative à la protection des données conformément à l’article 22 ;e. le consulte conformément à l’article 23 ;f. l’informe ou, le cas échéant, informe les personnes concernées conformément à l’article 24 ;g. fournit à la personne concernée les informations visées à l’article 25.4 Il peut également ordonner que le responsable privé ayant son siège ou son domicile à l’étranger désigne un représentant conformément à l’article 14.5 Si, pendant l’enquête, l’organe fédéral ou la personne privée a pris les mesures nécessaires pour rétablir le respect des dispositions relatives à la protection des données, le PFPDT peut se limiter à prononcer un avertissement.Bot Art. 45 Mesures administratives (comptage selon projet)
L’art. 45 P‑LPD met en œuvre l’art. 47, al. 2, de la directive (UE) 2016/680 et répond aux recommandations des évaluateurs Schengen de conférer des compétences décisionnelles au préposé. L’art. 58, al. 2, du règlement (UE) 2016/679 énumère toutes les compétences en matière de mesures dont l’autorité de contrôle devrait disposer. Outre les mesures prévues à l’art. 47, al. 2, de la directive (UE) 2016/680, il s’agit notamment, selon l’ordonnance, d’infliger des amendes administratives (art. 58, al. 2, let. i) et d’ordonner la suspension du transfert de données vers un destinataire situé dans un pays tiers ou vers une organisation internationale (let. j).
L’art. 45 P‑LPD correspond dans une large mesure aux exigences de l’art. 12, al. 2, let. c, et al. 6, P‑SEV108 .
Toutefois, le Conseil fédéral propose de ne pas donner au préposé la compétence de prononcer des sanctions administratives, mais plutôt celle d’ordonner certaines mesures administratives dont le non-respect peut être sanctionné pénalement (art. 57 P‑LPD).
L’article 45 P‑LPD laisse une grande marge de manœuvre au préposé. En effet, il s’agit d’une disposition potestative et il n’est pas obligé de prendre des mesures administratives. La disposition comprend deux catégories de mesures.
La première catégorie consiste en une série de mesures contre les traitements de données qui enfreignent les dispositions sur la protection des données (al. 1, 2 et 4). Ces mesures vont du simple avertissement (al. 4) à l’interdiction de communiquer des données personnelles à l’étranger (al. 2), en passant par la décision de détruire les données personnelles (al. 1). Le principe de cette réglementation est le respect de la proportionnalité. Ainsi, au lieu d’ordonner l’interruption du traitement, le préposé peut ordonner sa modification et limiter la mesure à la partie du traitement qui pose problème. Si, en cours d’enquête, la partie à la procédure d’enquête a pris les mesures nécessaires pour rétablir le respect des règles de protection des données, le préposé peut également se limiter à prononcer un avertissement (al. 4).
La deuxième catégorie de mesures concerne les cas où des prescriptions d’ordre ou des obligations envers la personne concernée ne sont pas respectées (al. 3). Le préposé peut notamment ordonner à l’organe fédéral ou à la personne privée de procéder à une analyse d’impact relative à la protection des données conformément à l’art. 20 (let. d) ou de fournir à la personne concernée les renseignements visés à l’art. 23 (let. g). La liste figurant à l’al. 3 n’est pas exhaustive.
Le préposé informe exclusivement les parties à la procédure d’enquête de sa décision. Le cas échéant, il informe le public conformément à l’article 51, alinéa 2, P‑LPD. La mesure prise doit être suffisamment motivée. Le responsable doit notamment être en mesure de déterminer quels traitements de données relèvent de la décision du préposé. Les parties concernées ont le droit de recourir conformément aux dispositions générales de la procédure fédérale (cf. art. 46). Le cas échéant, le préposé peut assortir la mesure décidée à l’encontre du responsable d’une menace de sanction (art. 57).
Art. 52 Procédure
1 La procédure d’enquête ainsi que les décisions prises en vertu des art. 50 et 51 sont régies par la PA.2 Seul l’organe fédéral ou la personne privée contre lequel ou laquelle une enquête a été ouverte est partie.3 Le PFPDT peut contester les décisions sur recours du Tribunal administratif fédéral.Bot Art. 46 Procédure (comptage selon projet)
Selon l’al. 1, la procédure d’enquête ainsi que celle visant à prendre les mesures prévues aux art. 44 et 45 sont soumises à la loi sur la procédure administrative. La personne privée ou l’organe fédéral qui est partie à l’enquête a le droit d’être entendu (art. 29 ss PA).
L’al. 2 précise que seul l’organe fédéral ou la personne privée contre lequel/laquelle une enquête a été ouverte peut être partie à la procédure. En conséquence, seuls ces derniers peuvent recourir contre les décisions et les mesures prises à leur encontre par le préposé. La personne concernée n’est pas partie à l’enquête, même si le préposé l’a ouverte suite à sa dénonciation. Si elle souhaite faire valoir des droits juridiques contre un responsable privé, elle doit le faire conformément à l’article 28 P‑LPD, c’est-à-dire devant le tribunal civil compétent. Dans le secteur public, la personne concernée doit agir contre l’organe fédéral responsable (art. 37) en contestant sa décision auprès de l’instance de recours compétente. Cette disposition reste inchangée par rapport au droit en vigueur.
Selon l’al. 3, le préposé peut contester les décisions sur recours du Tribunal administratif fédéral, comme il peut déjà le faire actuellement en vertu des art. 27, al. 6, et 29, al. 4, LPD.
Art. 53 Coordination
1 Les autorités administratives fédérales qui, en vertu d’une autre loi fédérale, surveillent des personnes ou des organisations privées n’appartenant pas à l’administration fédérale, invitent le PFPDT à prendre position avant de rendre une décision qui concerne des questions de protection des données.2 Si le PFPDT mène sa propre enquête contre la même partie, les deux autorités coordonnent leurs procédures.Bot art. 47 Coordination (comptage selon projet)
Certaines autorités fédérales surveillent des particuliers ou des organisations extérieures à l’administration fédérale. C’est par exemple le cas de l’Office fédéral de la santé publique pour les assurances-maladie ou de l’Autorité fédérale de surveillance des marchés financiers (FINMA) pour les banques ou autres prestataires de services financiers. L’expression “organisations extérieures à l’administration fédérale” correspond à la désignation utilisée à l’art. 1, al. 2, let. e, PA.
Dans le cadre d’une procédure de surveillance pouvant éventuellement aboutir à une décision de l’autorité compétente, des questions relatives à la protection des données peuvent se poser. Pour tenir compte de cette problématique, l’al. 1 prévoit que l’autorité de surveillance invite le préposé à prendre position. Si le préposé a également ouvert une procédure au sens de l’art. 43 P‑LPD contre la même partie, l’autorité de surveillance et le préposé doivent se coordonner à deux niveaux (al. 2) : D’une part, pour déterminer si les deux procédures peuvent être menées en parallèle ou si l’une des procédures doit être suspendue ou arrêtée et, d’autre part, pour le contenu de leur décision respective si les procédures sont menées en parallèle. En cas de conflit de compétences, c’est le Conseil fédéral qui décide (art. 9, al. 3, PA). La coordination doit être assurée de manière simple et rapide. Les entités concernées doivent être informées de l’issue de cette coordination et de la législation applicable, afin qu’elles soient au plus vite au clair sur leurs droits et obligations.
Section 3 Assistance administrative
Art. 54 Assistance administrative entre autorités suisses
1 Les autorités fédérales et cantonales communiquent au PFPDT les informations et les données personnelles qui sont nécessaires à l’accomplissement de ses tâches légales.2 Le PFPDT communique aux autorités suivantes les informations et les données personnelles qui sont nécessaires à l’accomplissement de leurs tâches légales :a. les autorités chargées de la protection des données en Suisse ;b. les autorités compétentes en matière de poursuites pénales, s’il s’agit de dénoncer une infraction visée à l’article 65, paragraphe 2 ;c. les autorités fédérales ainsi que les organes de police cantonaux et communaux pour l’exécution des mesures visées aux art. 50, al. 3, et 51.Bot Art. 48 Entraide administrative entre autorités suisses (comptage selon projet)
D
Cette nouvelle disposition règle l’entraide administrative entre le préposé et les autorités fédérales et cantonales. L’art. 31, al. 1, let. c, LPD actuellement en vigueur se limite à obliger le préposé à collaborer avec les autorités suisses de protection des données.
L’alinéa 1 du nouvel article pose le principe selon lequel les autorités suisses et cantonales doivent communiquer au préposé les informations et les données personnelles nécessaires à l’accomplissement de ses tâches légales. Il s’agit d’une disposition standard sur l’assistance administrative, que l’on retrouve également dans de nombreuses autres lois fédérales.
L’al. 2 dispose que le préposé doit communiquer les informations et les données aux autorités cantonales compétentes en matière de protection des données (let. a), aux autorités pénales compétentes s’il s’agit de dénoncer une infraction au sens de l’art. 59, al. 2, P‑LPD (let. b) et aux autorités fédérales ainsi qu’aux autorités de police cantonales et communales pour l’exécution des mesures prévues aux art. 44, al. 2, et 45 P‑LPD (let. c).
La divulgation d’informations visée aux paragraphes 1 et 2 peut se faire spontanément ou sur demande.
Art. 55 Entraide administrative avec les autorités étrangères
1 Le PFPDT peut échanger des informations ou des données personnelles avec des autorités étrangères compétentes en matière de protection des données pour l’accomplissement de leurs tâches respectives prévues par la loi dans le domaine de la protection des données, si les conditions suivantes sont remplies :a. La réciprocité de l’assistance administrative est assurée.b. Les informations et les données personnelles ne sont utilisées que pour la procédure relative à la protection des données qui est à l’origine de la demande d’assistance administrative.c. L’autorité destinataire s’engage à respecter le secret professionnel ainsi que les secrets d’affaires et de fabrication.d. Les informations et les données personnelles ne sont communiquées que si l’autorité qui les a transmises l’autorise au préalable.e. L’autorité destinataire s’engage à respecter les conditions et les restrictions imposées par l’autorité qui lui a transmis les informations et les données personnelles.2 Pour motiver sa demande d’assistance administrative ou pour répondre à la demande d’une autorité, le PFPDT peut notamment fournir les informations suivantes :a. l’identité du responsable du traitement, du sous-traitant ou de tout autre tiers impliqué ;b. les catégories de personnes concernées ;c. l’identité des personnes concernées, si :1. si les personnes concernées ont donné leur consentement, ou2. la communication de l’identité des personnes concernées est indispensable à l’accomplissement des tâches légales par le PFPDT ou l’autorité étrangère ;d. les données personnelles traitées ou les catégories de données personnelles traitées ;e. But du traitement ;f. les destinataires ou les catégories de destinataires ;g. des mesures techniques et organisationnelles.3 Avant de communiquer à une autorité étrangère des informations susceptibles de contenir un secret professionnel, un secret d’affaires ou un secret de fabrication, le PFPDT informe les personnes physiques ou morales concernées qui sont dépositaires de ces secrets et les invite à prendre position, à moins que cela ne soit impossible ou n’exige un effort disproportionné.Bot Art. 49 Entraide administrative avec les autorités étrangères (comptage selon projet)
Cette nouvelle disposition règle l’entraide administrative entre le préposé et les autorités étrangères de protection des données. L’art. 31, al. 1, let. c, LPD actuellement en vigueur se limite à obliger le préposé à collaborer avec les autorités étrangères de protection des données.
La nouvelle disposition transpose l’article 50 de la directive (UE) 2016/680 dans le droit suisse. Elle répond en outre aux exigences des articles 15 et 16 du P‑SEV 108. Le règlement (UE) 2016/679 prévoit une disposition analogue à l’article 61.
Le préposé aurait été favorable à un complément de la disposition l’habilitant à régler les modalités de la collaboration avec les autorités étrangères de protection des données dans le cadre d’un accord. Le Conseil fédéral préfère en revanche s’en tenir à la délégation de compétence prévue à l’art. 61 P‑LPD.
Alinéa 1 Conditions
Selon cette disposition, le préposé peut, à certaines conditions (let. a à e), échanger des informations ou des données personnelles avec des autorités étrangères compétentes en matière de protection des données pour l’accomplissement de leurs tâches respectives prévues par la loi dans le domaine de la protection des données.
Selon la première condition (let. a), la réciprocité de l’assistance administrative dans le domaine de la protection des données doit être garantie entre la Suisse et l’Etat étranger. Deuxièmement, en vertu du principe de spécialité, les informations et les données personnelles échangées ne peuvent être utilisées que pour la procédure de protection des données en question, qui est à l’origine de la demande d’assistance administrative (let. b). Si les données doivent ensuite être utilisées dans une procédure pénale, les principes de l’entraide judiciaire internationale en matière pénale s’appliquent. La troisième et la quatrième condition garantissent le respect du secret professionnel et du secret d’affaires et de fabrication (let. c) et interdisent que les informations et les données personnelles soient communiquées sans l’autorisation préalable de l’autorité qui les a transmises (let. d). Enfin, l’autorité destinataire doit respecter les conditions et les restrictions imposées par l’autorité qui lui a transmis les informations et les données personnelles (let. e).
Le préposé peut par exemple refuser la demande d’assistance administrative d’une autorité étrangère si les conditions de l’art. 13 P‑LPD ne sont pas respectées ou si l’un des motifs prévus à l’art. 32, al. 6, P‑LPD s’oppose à la communication de données personnelles.
Alinéa 2 Communication de données personnelles
L’al. 2, let. a à g, définit les informations que le préposé peut communiquer à l’autorité étrangère pour motiver sa demande d’assistance administrative ou pour donner suite à la demande d’une autorité étrangère. Pour pouvoir transmettre l’identité des personnes concernées, le préposé doit obtenir le consentement de chacune d’entre elles (let. c). Les exigences de l’art. 5, al. 6, P‑LPD s’appliquent au consentement (al. 2, let. c, ch. 1). Sans consentement, l’identité ne peut être communiquée que si cela est indispensable à l’accomplissement des tâches légales du préposé ou de l’autorité étrangère (al. 2, let. c, ch. 2). Ces conditions correspondent à celles prévues à l’art. 32, al. 2, let. a et b, P‑LPD.
al. 3 Avis
Avant de communiquer à une autorité étrangère compétente en matière de protection des données, dans le cadre d’une procédure d’assistance administrative, des informations susceptibles de contenir des secrets professionnels, d’affaires ou de fabrication, le préposé informe les personnes concernées et les invite à prendre position. Il est toutefois dispensé de cette obligation lorsque l’information n’est pas possible ou qu’elle entraîne un surcroît de travail disproportionné.
Section 4 Autres tâches du PFPDT
Art. 56 Registre
Le PFPDT tient un registre des activités de traitement des organes fédéraux. Ce registre est publié.
Bot art. 50 Registre (comptage selon projet)
La disposition prévoit que le préposé tienne un registre des activités de traitement des données qui lui sont annoncées par les organes fédéraux (art. 11, al. 4). Ce registre doit être publié, comme c’est le cas actuellement.
Art. 57 Information
1 Le PFPDT présente un rapport annuel sur ses activités à l’Assemblée fédérale. Il le transmet en même temps au Conseil fédéral. Le rapport est publié.2 Dans les cas d’intérêt général, le PFPDT informe le public de ses constatations et de ses décisions.Bot art. 51 Information (comptage selon projet)
Hormis le fait que le préposé doit désormais soumettre chaque année un rapport d’activité à l’Assemblée fédérale et au Conseil fédéral, l’al. 1 correspond à l’actuel art. 30, al. 1, LPD.
L’alinéa 2 renforce l’information active par le préposé. Celui-ci informe le public de ses constatations et de ses décisions lorsqu’un intérêt public général le justifie. L’art. 30, al. 2, 2e phrase, LPD est abrogé. En tant qu’instance indépendante, le préposé doit pouvoir déterminer lui-même ce dont il informe le public. Les données doivent être rendues anonymes, à moins qu’un intérêt public prépondérant ne justifie leur communication (art. 32, al. 3 et 5, P‑LPD). En outre, les conditions de l’article 32, paragraphe 6E-LPD s’appliquent.
L’obligation pour l’autorité de contrôle d’établir un rapport d’activité est prévue à l’article 49 de la directive (UE) 2016/680 et à l’article 12, paragraphe 5E-RE 108. Le règlement (UE) 2016/679 contient une disposition analogue à l’article 59.
Art. 58 Autres tâches
1 En outre, le PFPDT assume notamment les tâches suivantes :a. Il informe, forme et conseille les organes fédéraux ainsi que les personnes privées sur les questions de protection des données.b. Il soutient les organes cantonaux et collabore avec les autorités suisses et étrangères compétentes en matière de protection des données.c. Il sensibilise la population, en particulier les personnes vulnérables, à la protection des données.d. Il fournit aux personnes concernées, sur demande, des informations sur la manière dont elles peuvent exercer leurs droits.e. Il prend position sur les projets d’actes législatifs et les mesures de la Confédération qui entraînent un traitement des données.f. Il assume les tâches qui lui sont confiées par la loi du 17 décembre 2004 sur la transparence ou par d’autres lois fédérales.g. il élabore des instruments de travail sous forme de recommandations de bonnes pratiques à l’intention des responsables, des personnes chargées du traitement des commandes et des personnes concernées ; pour ce faire, il tient compte des spécificités du domaine concerné ainsi que de la protection des personnes vulnérables2 Il peut également conseiller des organes fédéraux qui ne sont pas soumis à sa surveillance en vertu des articles 2 et 4. Les organes fédéraux peuvent lui accorder le droit de consulter les dossiers.3 Le PFPDT est habilité à déclarer aux autorités étrangères compétentes en matière de protection des données que la notification directe est autorisée dans le domaine de la protection des données en Suisse, pour autant que la Suisse bénéficie de la réciprocité.Bot Art. 52 Autres tâches (comptage selon projet)
Afin de mettre en œuvre l’art. 46, al. 1, let. d et e, de la directive (UE) 2016/680, la liste des compétences du préposé est complétée par rapport au droit en vigueur (art. 31 LPD). Les nouvelles tâches répondent en outre aux exigences de l’art. 12, ch. 2, let. e, P‑SEV 108. Selon l’al. 1, le préposé a notamment pour tâche d’informer, de former et de conseiller les organes fédéraux ainsi que les personnes privées sur les questions de protection des données. Cela comprend également des séances d’information ou des formations continues correspondantes, notamment pour les responsables du secteur public (let. a). Une autre tâche consiste à sensibiliser le public, en particulier les personnes vulnérables comme les mineurs ou les personnes âgées, à la protection des données (let. c). En outre, il fournit sur demande aux personnes concernées des informations sur la manière d’exercer leurs droits (let. d).
Selon la let. e, le préposé doit être consulté sur tous les projets d’actes législatifs et de mesures de la Confédération qui concernent le traitement des données, et pas seulement sur ceux qui touchent de manière importante à la protection des données. Cette modification correspond à la pratique actuelle.
La let. g prévoit que le préposé élabore en outre des guides et des instruments de travail à l’intention des responsables du traitement, des personnes chargées du traitement des commandes et des personnes concernées. Aujourd’hui, il assume déjà cette tâche dans le cadre de son activité de conseil (art. 28, 30 et 31 LPD). Il est en outre précisé qu’il tient compte des spécificités des différents domaines de traitement des données ainsi que du besoin de protection accru des personnes particulièrement vulnérables telles que les mineurs, les personnes handicapées ou les personnes âgées.
L’al. 2 correspond à l’art. 31, al. 2, LPD.
Abrogation de l’art. 33 LPD
Cette disposition peut être abrogée. L’al. 1, qui prévoit que les voies de droit sont régies par les dispositions générales de la procédure fédérale, n’a qu’une valeur déclaratoire. Quant à l’al. 2, il est superflu en raison de l’art. 44, al. 2, P‑LPD.
Section 5 Taxes
Art. 59
1 Le PFPDT perçoit des émoluments auprès des personnes privées pour :a. l’avis sur un code de conduite visé à l’article 11, paragraphe 2 ;b. l’approbation des clauses types de protection des données et des règles d’entreprise contraignantes en matière de protection des données visées à l’article 16, paragraphe 2, points d) et e) ;c. la consultation résultant d’une analyse d’impact relative à la protection des données effectuée conformément à l’article 23, paragraphe 2 ;d. les mesures provisoires et les mesures prises en vertu de l’article 51 ;e. les consultations sur les questions relatives à la protection des données visées à l’article 58, paragraphe 1, point a).2 Le Conseil fédéral fixe le montant des taxes.3 Il peut définir les cas dans lesquels il est possible de renoncer à la perception d’une taxe ou de la réduire.Bot Art. 53 (comptage selon projet)
Conformément à l’article 33, 1er alinéa, OLPD, un émolument est perçu pour les expertises du préposé aux personnes privées. Les dispositions de l’ordonnance générale sur les émoluments du 8 septembre 2004 (OGEmol) sont applicables.
Selon l’al. 1, le principe selon lequel le préposé doit percevoir un émolument pour certaines prestations fournies à des personnes privées est ancré au niveau de la loi. Il s’agit notamment de la prise de position sur un code de conduite (let. a), de l’approbation de clauses standard de protection des données et de dispositions contraignantes de protection des données internes à l’entreprise (let. b), de la consultation sur la base d’une analyse d’impact relative à la protection des données (let. c), des mesures prévues aux art. 44, al. 2, et 45 P‑LPD (let. d) et des conseils en matière de protection des données (let. e). Inversement, il découle de l’al. 1 qu’aucun émolument n’est perçu pour une enquête clôturée sans que des mesures provisionnelles ou administratives aient été ordonnées.
L’al. 2 charge le Conseil fédéral de fixer le montant des émoluments. Conformément aux exigences de l’art. 46a, al. 1, LOGA, il ne peut percevoir d’émoluments que pour les opérations visées à l’art. 53, al. 1, P‑LPD. En outre, il doit fixer le montant des émoluments de manière à ce qu’ils couvrent les coûts des opérations (principe de la couverture des coûts). Il n’est donc pas prévu de financer l’ensemble des activités du préposé par des émoluments. Seuls les coûts des prestations visées à l’al. 1 doivent être couverts. En ce qui concerne la réglementation du tarif, le Conseil fédéral peut fixer un tarif forfaitaire ou un tarif horaire en fonction de la prestation.
Selon l’al. 3, le Conseil fédéral peut en outre définir les cas dans lesquels il est possible de renoncer à la perception d’un émolument ou de le réduire. Ainsi, il est par exemple possible de renoncer à la perception d’un émolument lorsque la prestation présente un intérêt public prépondérant et qu’elle contribue au respect de la protection des données. L’art. 3, al. 2, let. a, OGEmol contient une solution similaire. Le préposé peut également différer, réduire ou remettre l’émolument lorsque le responsable du traitement ou le sous-traitant est une personne physique ou une petite ou moyenne entreprise.
Les émoluments ne sont perçus qu’auprès des personnes privées. En ce qui concerne les conseils prodigués aux autorités cantonales, l’art. 3, al. 1, OGEmol est applicable : L’administration fédérale ne perçoit pas d’émoluments auprès des organes intercantonaux, des cantons et des communes, dans la mesure où ceux-ci accordent la réciprocité. Les prestations fournies aux organes de la Confédération et des cantons sont gratuites.
Suite à de nombreuses prises de position critiques sur l’avant-projet, le Conseil fédéral a fondamentalement remanié les dispositions pénales.
Lors de la consultation, l’introduction de sanctions administratives financières a été demandée (en référence au règlement [UE] 2016/679). Les sanctions administratives financières à caractère punitif sont toutefois une exception en Suisse. Elles relèvent classiquement des domaines dans lesquels les entreprises sont soumises à une surveillance administrative parce qu’elles exercent une activité économique pour laquelle elles ont besoin d’une concession ou d’une autorisation ou pour laquelle elles reçoivent des subventions de l’État (par exemple dans le secteur postal ou pour les jeux d’argent). Elles ont en outre été introduites dans le droit des cartels à une époque où le CP ne prévoyait pas encore de punissabilité des entreprises. Ces sanctions administratives financières ont un caractère pénal, raison pour laquelle certaines garanties en matière de procédure pénale doivent être respectées. La procédure administrative applicable en principe ne règle toutefois pas ces questions. Il s’agit en outre, avec de telles sanctions, d’une imputation directe de la faute d’autrui à une entreprise. Or, le législateur a refusé cela avec la responsabilité pénale des entreprises selon l’article 102 du Code pénal : la responsabilité selon l’article 102 du Code pénal n’est pas une responsabilité causale ou une responsabilité pour risque, mais exige une faute d’organisation spécifique. Avec l’introduction de sanctions administratives pénales dans la LPD, cette décision de principe du droit pénal serait fortement relativisée par la porte dérobée du droit administratif.
Dans le domaine de la protection des données, de telles sanctions administratives seraient en outre particulièrement délicates. Le champ d’application personnel de la LPD est nettement plus large que celui des lois dans les domaines où l’on trouve classiquement des sanctions administratives financières et où l’activité économique est exercée par des entreprises. La LPD s’adresse certes aussi aux grandes entreprises, mais elle couvre également les PME et les personnes physiques. En l’absence d’un droit procédural codifié pour les sanctions administratives à caractère pénal, la position procédurale des personnes physiques risquerait notamment d’être affaiblie. Ceci est d’autant plus vrai qu’il existe des différences de droit procédural entre les personnes morales et les personnes physiques en matière de droit pénal accessoire. En résumé, l’introduction de sanctions administratives financières dans la LPD créerait ainsi une grande insécurité juridique, ce qui n’est guère défendable (pas seulement dans le domaine de la protection des données).
C’est pourquoi le Conseil fédéral veut se rattacher à des structures établies avec une pratique consolidée. En Suisse, le respect des obligations fondamentales de droit administratif est assuré par le droit pénal administratif ou le droit pénal accessoire. Les destinataires de la norme sont des personnes physiques. Bien que l’obligation de droit administratif incombe à l’entreprise, sa violation est imputée aux dirigeants (cf. art. 29 CP et art. 6 DPA). La crainte exprimée lors de la consultation que n’importe quel employé d’une entreprise puisse être sanctionné s’avère donc infondée. La sanction par des moyens pénaux signifie également que les bénéfices provenant d’infractions à la LPD et les instruments délictueux peuvent donc être confisqués conformément aux dispositions du CP (art. 69 ss. CP). En outre, le préposé ne doit pas prononcer de sanctions pénales, car cela nécessiterait de modifier fondamentalement l’organisation du préposé et de la développer considérablement. Le Conseil fédéral privilégie donc le système de poursuite pénale existant.
Le dispositif pénal de la LPD doit être renforcé par rapport au droit en vigueur. Les sanctions doivent être dissuasives, comme l’exigent le P‑SEV 108 (art. 10) et la directive (UE) 2016/680 (art. 57). Un système de sanctions trop clément peut avoir pour conséquence que l’UE ne considère plus la réglementation suisse comme appropriée. Le système de sanctions proposé se présente désormais dans ses grandes lignes comme suit :
Conformément aux décisions récentes du Parlement (cf. p. ex. le projet de loi sur les jeux d’argent), il est renoncé à la pénalisation de la violation des obligations par négligence. Le préposé aurait en revanche préféré que la négligence soit également punissable.
Les obligations administratives ont été concrétisées et la pénalisation a été limitée aux obligations essentielles.
En compensation, le préposé reçoit la compétence d’ordonner le respect des obligations de la LPD et de l’assortir d’une menace de sanction pour désobéissance. Ce modèle est largement répandu dans le droit pénal accessoire (par ex. dans la loi fédérale du 22 juin 2007 sur l’Autorité fédérale de surveillance des marchés financiers [LFINMA]) et correspond au mécanisme de l’article 292 CP. Si nécessaire, le préposé peut se constituer partie civile dans les procédures pénales cantonales.
Le plafond des amendes est fixé par le Conseil fédéral à 250 000 francs au maximum. Cette augmentation intervient notamment pour rapprocher le droit suisse du règlement (UE) 2016/679. Il serait toutefois discutable de fixer le plafond des amendes à l’encontre des personnes physiques à un niveau encore plus élevé, au motif que les entreprises ne seraient pas dissuadées par des amendes peu élevées. Les dispositions pénales de la P‑LPD s’adressent en premier lieu aux personnes physiques, en particulier aux dirigeants (cf. art. 29 CP et art. 6 DPA). Il convient de noter que, dans la LFINMA par exemple, les violations par négligence des obligations sont passibles d’une amende de 250 000 francs au maximum (art. 44 ss LFINMA), alors que le non-respect d’une décision est passible d’une amende de 100 000 francs au maximum (art. 48 LFINMA). Le préposé estime en revanche que les amendes ne sont pas suffisamment dissuasives, notamment en ce qui concerne leur montant.
La violation du secret professionnel est, comme auparavant, une contravention.
Dans la mesure où des données sont traitées par une entreprise, les obligations découlant de la LPD incombent en règle générale à ses dirigeants. Ces derniers sont tenus par la loi de veiller au respect de ces obligations au sein de l’entreprise. La violation des obligations ou la désobéissance à une décision du préposé qui s’adresse à l’entreprise sont donc imputées, en application de l’art. 29 CP et de l’art. 6 OCP, aux personnes qui dirigent l’entreprise et non aux simples exécutants.
Dans la mesure où l’amende n’excède pas 50 000 francs, les entreprises peuvent être amendées directement en application de l’art. 7 DPA. Cela tient également compte des critiques formulées lors de la consultation.
Chapitre 8 Dispositions pénales
Art. 60 Violation de l’obligation d’informer, de renseigner et de collaborer
1 Les personnes privées qui en font la demande sont punies d’une amende pouvant aller jusqu’à 250 000 francs :a. qui enfreignent les obligations qui leur incombent en vertu des articles 19, 21 et 25 à 27 en fournissant intentionnellement un renseignement faux ou incomplet ;b. qui s’abstiennent délibérément de le faire :1) d’informer la personne concernée conformément à l’article 19, paragraphe 1, et à l’article 21, paragraphe 1 ; ou2. de lui fournir les informations visées à l’article 19, paragraphe 2.2 Sont punies d’une amende de 250 000 francs au plus les personnes privées qui, en violation de l’art. 49, al. 3, fournissent intentionnellement de faux renseignements au PFPDT dans le cadre d’une enquête ou refusent intentionnellement de collaborer.Bot Art. 54 Violation de l’obligation d’informer, de renseigner et de collaborer (comptage selon projet)
L’article 54 P‑LPD reprend l’article 34 LPD, à l’exception de l’article 34, paragraphe 2, lettre a, LPD, car les obligations qui y sont réglées ne figurent plus dans la P‑LPD. En contrepartie, la norme se réfère toutefois aussi à la nouvelle obligation d’information en cas de décision individuelle automatisée (art. 19 P‑LPD).
Le paragraphe 1, point a), couvre la fourniture intentionnelle d’un faux renseignement, mais aussi la fourniture intentionnelle d’un renseignement incomplet, tout en donnant l’impression que le renseignement est complet. Le refus total de fournir un renseignement n’est en revanche pas punissable en vertu de la lettre a, mais, le cas échéant, en vertu de la lettre b. La personne privée qui prétend, en violation de la vérité, ne pas disposer d’informations sur la personne concernée est cependant punissable en vertu de l’al. 1, let. a. La personne privée qui prétend ne pas disposer d’informations sur la personne concernée est punissable en vertu de l’al. 1, let. a.
L’al. 1, let. b, s’applique aux cas où une personne privée omet complètement d’informer la personne concernée conformément aux art. 17, al. 1, et 19, al. 1, ou de lui fournir les informations visées à l’art. 17, al. 2. En revanche, n’est pas punissable la personne privée qui, en invoquant les articles 18 ou 25, affirme ne pas être tenue de fournir des informations. Dans un tel cas, la personne concernée sait en effet qu’un traitement de données est en cours. Elle est donc en mesure de faire valoir ses droits et d’engager une procédure civile au cours de laquelle il pourra être décidé si le refus ou la limitation du droit d’accès ou de l’obligation d’information est justifié. L’al. 2 reprend l’art. 34, al. 2, let. b, LPD, qui déclare punissable le fait de fournir de faux renseignements ou de refuser de coopérer dans le cadre d’une enquête du préposé.
La violation de ces obligations doit rester une contravention, mais le plafond de l’amende prévu à cet effet doit être nettement relevé et porté à 250 000 francs. La peine effective est fixée en tenant compte de la situation économique de l’auteur de l’infraction (art. 106, al. 3, CP en relation avec l’art. 47 CP). Dans les cas de peu d’importance, l’entreprise peut être condamnée à payer l’amende à la place de la personne responsable. En outre, conformément à l’article 52 CP, il est possible de renoncer à une poursuite ou à une peine dans les cas de peu de gravité.
Art. 61 Violation du devoir de diligence
Sont punies d’une amende de 250 000 francs au maximum les personnes privées qui, sur plainte, ont intentionnellement :
a. communiquer des données personnelles à l’étranger en violation de l’art. 16, al. 1 et 2, et sans que les conditions prévues à l’art. 17 soient remplies ;b. confier le traitement des données à un sous-traitant sans que les conditions visées à l’article 9, paragraphes 1 et 2, soient remplies ;c. ne respectent pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral en vertu de l’article 8, paragraphe 3.Bot Art. 55 Violation du devoir de diligence (comptage selon projet)
Cette disposition est nouvelle. Elle est nécessaire parce que l’E-DSG prévoit de nouvelles obligations élémentaires qui ne sont pas couvertes par les dispositions pénales en vigueur. Une protection efficace de la personnalité des personnes concernées est possible si les responsables du traitement et les sous-traitants respectent leurs obligations. C’est pour les inciter à respecter la LPD que le Conseil fédéral propose ce complément aux dispositions pénales.
De par sa nature, cette disposition devrait s’adresser en premier lieu aux personnes ayant le pouvoir de donner des instructions, car la compétence décisionnelle pour l’accomplissement de ces obligations est une tâche de direction (cf. aussi art. 29 CP).
Art. 62 Violation du secret professionnel
1 Quiconque révèle intentionnellement des données personnelles secrètes dont il a eu connaissance dans l’exercice de sa profession, qui requiert la connaissance de telles données, est, sur plainte, puni d’une amende de 250 000 francs au plus.2 Sera puni de la même manière celui qui aura intentionnellement révélé des données personnelles secrètes dont il a eu connaissance dans le cadre de son activité pour une personne soumise à l’obligation de garder le secret ou pendant sa formation auprès de cette personne.3 La révélation de données personnelles secrètes est punissable même après la fin de l’exercice de la profession ou de la formation.Bot Art. 56 Violation du secret professionnel (comptage selon projet)
Depuis l’entrée en vigueur de la LPD, les technologies de l’information et de la communication se sont considérablement développées et leur importance a augmenté de manière significative. En raison notamment de la diffusion massive des smartphones, de plus en plus de données sont enregistrées et traitées par de plus en plus de personnes et sur de plus en plus de systèmes. Dans ce contexte, il convient d’étendre la protection du secret à tous les types de données personnelles. L’élément déterminant est qu’il s’agit de données secrètes. Cela correspond aux articles 320 et 321 du Code pénal, qui se basent également uniquement sur le fait que l’information en question est secrète ou non. C’est donc la notion matérielle de secret du droit pénal qui s’applique. Il y a secret protégé par le droit pénal lorsque
La divulgation d’un secret est considérée comme une violation de la loi si le fait n’est pas généralement connu ou accessible, si le détenteur du secret a un intérêt digne de protection à ce que le fait soit connu et s’il en a la volonté. Toute révélation de données personnelles ne remplit donc pas cette condition. Le terme “révéler” correspond à celui des articles 320 et 321 CP et crée une cohérence en ce qui concerne l’infraction. L’art. 56 comble les lacunes dues au cercle restreint d’auteurs des art. 320 et 321 CP (délits spéciaux). L’article 56 P‑LPD prévoit donc une obligation de garder le secret également pour les personnes qui ne tombent pas sous le coup des articles 320 ou 321 CP. La violation du devoir de discrétion professionnelle est une contravention (délit poursuivi sur plainte) et est punie d’une amende pouvant aller jusqu’à 250 000 francs.
L’al. 2 étend la punissabilité aux auxiliaires (personnes traitant des données sur mandat) et aux personnes en formation. Cette extension correspond à la LPD en vigueur et, sur le fond, à la réglementation de l’art. 321 CP (“Auxiliaires”). En adoptant le message relatif à la loi sur la sécurité de l’information, le Conseil fédéral a proposé au Parlement une modification correspondante de l’art. 320 CP.
La révélation peut être justifiée par le consentement de l’ayant droit. Les règles générales et les principes développés par la jurisprudence et la dogmatique dans le cadre de l’article 321, chiffre 2, CP s’appliquent par analogie.
Dans la pratique, des questions de concurrence peuvent se poser, notamment en ce qui concerne l’article 320 CP (fonctionnaires fédéraux) et l’article 321 CP (avocats, médecins, etc.). C’est toutefois déjà le cas dans le droit actuel, raison pour laquelle cette situation ne devrait pas poser de problèmes particuliers.
Art. 63 Non-respect des décisions
Est punie d’une amende de 250 000 francs au plus toute personne privée qui, intentionnellement, ne donne pas suite à une décision du PFPDT ou à une décision des instances de recours rendue en référence à la menace de sanction prévue au présent article.
Bot Art. 57 Non-respect des décisions (comptage selon projet)
L’article 57 a été ajouté par le Conseil fédéral après la procédure de consultation. Des dispositions analogues sont largement répandues dans le droit pénal accessoire de la Confédération. D’une part, l’article sert à compenser la suppression de nombreuses dispositions pénales par rapport à l’AP-LPD. D’autre part, cette disposition tient compte des questions relatives au principe nulla poena sine lege, telles qu’elles ont souvent été soulevées lors de la consultation. Les mêmes questions se seraient posées en relation avec les sanctions administratives, car celles-ci ont un caractère pénal. La présente solution permet de continuer à concevoir les dispositions correspondantes de la P‑LPD sous une forme suffisamment générale sans entrer en conflit avec les exigences de droit pénal en matière de précision d’une réglementation légale. En outre, ce modèle facilite le travail des autorités de poursuite pénale compétentes et tient ainsi compte des doutes qui ont été partiellement exprimés lors de la consultation.
Avec l’art. 57 P‑LPD, le préposé a la possibilité d’ordonner le respect des obligations prévues par la P‑LPD (voir art. 45, al. 3, P‑LPD) et de les assortir d’une menace de sanction. L’un des avantages de ce modèle est que l’obligation peut être concrétisée dans la décision de manière à ce qu’il n’y ait aucun doute pour le destinataire sur ce qu’il doit faire ou ne pas faire. Cela facilite également le travail de l’autorité cantonale de poursuite pénale qui, en cas de non-respect, doit, sur dénonciation du préposé, établir les faits et rendre un jugement ou une ordonnance pénale.
Si la décision du préposé s’adresse à une entreprise, la punissabilité en vertu de l’article 29 CP s’applique à une personne dirigeante : L’obligation constitutive de l’infraction, qui incombe à l’entreprise, est imputée à la personne physique. Cela tient également compte des critiques formulées en partie lors de la consultation.
Art. 64 Infractions commises dans des établissements commerciaux
1 Les articles 6 et 7 de la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA) s’appliquent aux infractions commises dans les entreprises commerciales.2 Si une amende de 50 000 francs au plus entre en ligne de compte et que l’identification des personnes punissables selon l’art. 6 DPA nécessiterait des mesures d’instruction qui seraient disproportionnées par rapport à la peine encourue, l’autorité peut renoncer à poursuivre ces personnes et condamner à leur place l’entreprise (art. 7 DPA) au paiement de l’amende.Bot Art. 58 Infractions commises dans des établissements commerciaux (comptage selon projet)
L’article 58 reprend les articles 6 et 7 de la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA). Un renvoi explicite est nécessaire, car la DPA n’est en principe pas applicable en l’espèce.
L’art. 6, al. 2 DPA permet la responsabilité de l’employeur également dans le domaine de la LPD. En effet, les obligations de la LPD devraient régulièrement s’adresser au maître de l’affaire. L’art. 6, al. 2 DPA remplit ainsi une fonction similaire à celle de l’art. 29 CP et adresse une responsabilité pénale à l’échelon de la direction de l’entreprise, c’est-à-dire aux personnes dirigeantes qui ont le pouvoir de décider et de donner des instructions. Cela permet une attribution appropriée de la responsabilité pénale dans les entreprises.
Le montant de l’amende jusqu’à concurrence duquel il est possible, en vertu de l’art. 7 DPA, de condamner une entreprise au paiement d’une amende à la place d’une personne physique, est porté à 50000 francs. Cette adaptation est nécessaire parce que la limite supérieure de l’amende dans la LPD n’est pas de 10 000 francs (art. 106, al. 1, CP), mais de 250 000 francs.
Art. 65 Compétence
1 La poursuite et le jugement des actes punissables incombent aux cantons.2 Le PFPDT peut porter plainte auprès de l’autorité de poursuite pénale compétente et exercer les droits d’une partie civile dans la procédure.Bot Art. 59 Compétence (comptage selon projet)
Comme aujourd’hui, la poursuite et le jugement des actes punissables incombent en principe aux cantons.
Le préposé a un droit de dénonciation et peut se constituer partie civile dans la procédure pénale cantonale (art. 118 ss CPP). Il peut ainsi contester les ordonnances de classement et recourir contre les jugements cantonaux si cela semble nécessaire dans l’intérêt d’une application uniforme de la LPD. En revanche, il ne peut pas recourir contre les ordonnances pénales et la quotité de la peine, ce qui ne semble toutefois pas nécessaire au regard de ses tâches.
Art. 66 Prescription de l’action pénale
L’action pénale se prescrit par cinq ans.
Bot Art. 60 Prescription de l’action pénale (comptage selon projet)
En vertu de l’article 109 du code pénal, le délai de prescription pour les contraventions est de trois ans. Les enquêtes en matière de protection des données nécessitent des connaissances technologiques et peuvent être coûteuses. Afin que les procédures pénales dans le domaine de la protection des données n’échouent donc pas en raison de délais de prescription trop courts, le Conseil fédéral prévoit de les porter à cinq ans.
Chapitre 9 Conclusion de traités internationaux
Art. 67
Le Conseil fédéral peut conclure des traités internationaux concernant
a. la coopération internationale entre les autorités de protection des données ;b. la reconnaissance mutuelle d’une protection adéquate pour la communication de données personnelles à l’étranger.Bot Art. 61 (comptage selon projet)
Cette disposition remplace l’art. 36, al. 5, LPD, qui est trop vague compte tenu des principes en vigueur en matière de délégation de compétences. Selon l’art. 61 P‑LPD, le Conseil fédéral peut, dans deux cas, conclure des traités internationaux avec un ou plusieurs sujets de droit international public (Etat, organisation internationale). Selon la let. a, le Conseil fédéral peut conclure des traités internationaux qui concernent la coopération internationale entre autorités de protection des données. Cette disposition se réfère par exemple aux accords de coopération sur le modèle de l’accord du 17 mai 2013 entre la Confédération suisse et l’Union européenne concernant la coopération dans l’application de leur droit de la concurrence. Selon la let. b, le Conseil fédéral peut en outre conclure des accords internationaux sur la reconnaissance mutuelle d’un niveau de protection adéquat pour la communication transfrontalière de données.
Les autres alinéas de l’article 36 LPD sont abrogés. Les al. 1 et 4 sont superflus dans la mesure où la pratique consistant à préciser expressément que le Conseil fédéral doit édicter des dispositions d’exécution a été abandonnée. L’al. 3, selon lequel le Conseil fédéral peut prévoir des dérogations aux art. 8 et 9 pour la communication de renseignements par les représentations diplomatiques et consulaires de la Suisse à l’étranger, peut également être abrogé. L’al. 6 est quant à lui obsolète, car le Conseil fédéral n’a jamais fait usage de sa compétence de réglementer la manière de sécuriser les fichiers dont les données peuvent mettre en danger la vie ou l’intégrité corporelle des personnes concernées en cas de guerre ou de crise.
Abrogation de l’art. 37 LPD
Il ressort de la consultation que l’article 37 LPD est superflu et doit être abrogé. Aujourd’hui, tous les cantons disposent de règles de protection des données qui garantissent une protection adéquate au regard des exigences de la convention STE 108 et de son protocole additionnel.
Chapitre 10 Dispositions finales
Art. 68 Abrogation et modification d’autres actes législatifs
L’abrogation et la modification d’autres actes législatifs sont réglées à l’annexe 1.
Bot Art. 62 Abrogation et modification d’autres actes législatifs (recensement selon projet)
L’abrogation et la modification d’autres actes législatifs sont commentées au point 9.2.
Art. 69 Dispositions transitoires concernant les traitements en cours
Les articles 7, 22 et 23 ne s’appliquent pas aux traitements de données qui ont débuté avant l’entrée en vigueur de la présente loi, si la finalité du traitement reste inchangée et si aucune nouvelle donnée n’est collectée.
Bot Art. 64 Dispositions transitoires concernant les traitements (comptage selon projet)
L’article 64 contient différentes règles transitoires concernant les traitements.
Alinéa 1
L’al. 1 concerne les traitements de données qui sont terminés au moment de l’entrée en vigueur de la présente loi. Il s’agit de traitements de données qui ont été effectués entièrement selon l’ancien droit et qui ne se poursuivent pas non plus après l’entrée en vigueur. Ces traitements continueront à être entièrement régis par l’ancien droit. Ainsi, les traitements achevés qui sont légaux en vertu de l’ancien droit ne peuvent pas devenir illicites du fait de l’entrée en vigueur du nouveau droit. Cela ne s’applique toutefois pas au droit d’accès (art. 23 à 25) ; après l’entrée en vigueur du nouveau droit, celui-ci sera exclusivement régi par le nouveau droit, y compris en ce qui concerne les données et les traitements de données qui ont été effectués entièrement selon l’ancien droit.
Alinéa 2
L’al. 2 concerne les traitements de données qui ont débuté sous l’ancien droit et se poursuivent après l’entrée en vigueur de la loi, mais pour lesquels le nouveau droit a rendu les conditions plus strictes. On pense par exemple au cas où, selon le nouveau droit, il y a atteinte à la personnalité parce que les exigences relatives au motif justificatif ont été modifiées. De tels traitements peuvent en principe être poursuivis pendant deux ans sans autre adaptation. Durant cette période, le responsable doit veiller à ce que ces traitements soient rendus conformes à la loi selon le nouveau droit.
Le paragraphe 2 ne concerne pas les obligations visées aux articles 6, 20 et 21, qui sont couvertes par le paragraphe 3.
al. 3
L’al. 3 concerne les traitements de données qui ont commencé sous l’ancien droit et qui se poursuivent après l’entrée en vigueur de la loi. Les art. 6, 20 et 21 ne s’appliquent pas à de tels traitements si la finalité du traitement reste inchangée et qu’aucune nouvelle donnée n’est collectée. Dans ce cas, les traitements peuvent être poursuivis sans satisfaire aux exigences de l’article 6. De même, ces traitements ne doivent pas faire l’objet d’une analyse d’impact relative à la protection des données a posteriori. Cette règle s’explique notamment par le fait que les obligations prévues aux articles 6 et 20 s. doivent être remplies en premier lieu en amont du traitement des données. Les responsables ne doivent pas être obligés de remplir ces obligations a posteriori et donc rétroactivement.
Si les conditions de l’al. 3 ne sont pas remplies, les obligations prévues aux art. 6, 20 et 21 s’appliquent également aux traitements commencés selon l’ancien droit et qui se poursuivent après l’entrée en vigueur de la loi. Toutefois, à l’exception du champ d’application de la directive (UE) 2016/680, ces dispositions n’entrent en vigueur que deux ans après l’entrée en vigueur de la loi, de sorte qu’il existe une période transitoire de deux ans pour satisfaire à ces obligations.
al. 4
L’al. 4 concerne tous les traitements de données qui ne sont pas couverts par les al. 1 à 3. Il s’agit notamment des traitements de données qui n’ont commencé qu’après l’entrée en vigueur de la loi, mais aussi de ceux qui sont licites aussi bien en vertu de l’ancien que du nouveau droit. Pour ces traitements de données, le nouveau droit s’applique à partir de la date d’entrée en vigueur des dispositions en question.
Art. 70 Disposition transitoire concernant les procédures en cours
La présente loi ne s’applique pas aux enquêtes du PFPDT qui sont pendantes au moment de son entrée en vigueur ; elle ne s’applique pas non plus aux recours pendants contre des décisions de première instance qui ont été rendues avant son entrée en vigueur. Ces cas sont soumis à l’ancien droit.
Bot Art. 65 Disposition transitoire concernant les procédures en cours (comptage selon projet)
Afin de garantir la sécurité juridique et le respect du principe de la bonne foi, cette disposition prescrit que les enquêtes menées par le préposé, qui ont été menées dans le cadre de la procédure de consultation, doivent être effectuées par des experts indépendants.
Les recours contre les décisions de première instance pendantes au moment de l’entrée en vigueur de la future LPD sont soumis à l’ancien droit. Cela concerne aussi bien les dispositions matérielles de protection des données que les compétences du préposé et les autres dispositions de procédure applicables.
Art. 71 Disposition transitoire concernant les données des personnes morales
Pour les organes fédéraux, les dispositions d’autres actes législatifs fédéraux qui se rapportent à des données personnelles continuent de s’appliquer aux données des personnes morales pendant les cinq ans qui suivent l’entrée en vigueur de la présente loi. En particulier, les organes fédéraux peuvent, pendant cinq ans après l’entrée en vigueur de la présente loi, continuer à communiquer des données concernant des personnes morales conformément à l’art. 57s, al. 1 et 2, de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration, s’ils sont autorisés à communiquer des données personnelles sur la base d’une base légale.
Bot Art. 66 Disposition transitoire concernant les données des personnes morales (recensement selon projet)
La suppression de la protection des données des personnes morales dans la P‑LPD ainsi que la limitation de la notion de données personnelles à l’art. 4, let. a, P‑LPD aux données qui se rapportent à une personne physique identifiée ou identifiable ont diverses conséquences sur le traitement des données par les organes fédéraux. Cette nouveauté a notamment pour conséquence que les bases légales fédérales autorisant les organes fédéraux à traiter et à communiquer des données personnelles ne seront plus applicables à l’avenir lorsque des données concernant des personnes morales seront traitées ou communiquées. En vertu du principe de légalité ancré à l’art. 5, al. 1, Cst., toute action de l’Etat – et donc aussi tout traitement ou communication de données par l’Etat – nécessite une base légale (cf. également art. 13, al. 2, art. 27 et art. 36 Cst.). C’est pourquoi le projet de loi introduit dans la LOGA, pour les organes fédéraux, une série de dispositions qui règlent leur traitement des données des personnes morales (cf. ch. 9.2.8). Il convient de mentionner en particulier l’art. 57r P‑LOGA, qui crée une base légale générale pour le traitement de données relatives à des personnes morales par les organes fédéraux, ainsi que l’art. 57s P‑LOGA, qui contient – par analogie à l’art. 32 P‑LPD concernant la communication de données personnelles – les exigences relatives aux bases légales pour la communication de données relatives à des personnes morales. Contrairement à l’art. 57r P‑LOGA, l’art. 57s P‑LOGA ne constitue donc pas une base légale pour la communication spécifique de données par des organes fédéraux, raison pour laquelle la communication de données relatives à des personnes morales devra toujours s’appuyer sur une base légale spéciale à l’avenir. Une adaptation de toutes les bases légales actuelles (qui, en raison des adaptations de la P‑LPD, ne s’appliqueront pour la plupart plus qu’aux personnes physiques) ne serait pas opportune dans le cadre de ce projet, car elle allongerait considérablement le projet de loi et le message. Le Conseil fédéral estime donc qu’il serait plus judicieux de procéder à un examen approfondi des dispositions légales spéciales en matière de protection des données après les délibérations parlementaires sur le présent projet et d’examiner quelles sont les dispositions qui se rapportent actuellement au traitement des données des personnes morales par les organes fédéraux et qui doivent être maintenues, adaptées ou abrogées. Afin d’éviter tout vide juridique dans l’intervalle, une disposition transitoire est introduite pour les organes fédéraux à l’art. 66 P‑LPD, qui prévoit le maintien en vigueur pour les organes fédéraux de telles dispositions fédérales spéciales (tant dans les lois au sens formel que matériel) concernant les données des personnes morales pendant cinq ans après l’entrée en vigueur de la P‑LPD. Pendant cette période, les organes fédéraux doivent notamment pouvoir s’appuyer sur les bases légales actuelles relatives à la communication de données personnelles pour la communication de données concernant des personnes morales.
Ce n’est que très ponctuellement, lorsque cela est déjà indiqué aujourd’hui pour des raisons de praticabilité et de sécurité juridique, que des dispositions de lois spéciales concernant les données des personnes morales seront examinées et adaptées dans le cadre du présent projet. Cela concerne les actes législatifs suivants :
la LTrans (cf. ch. 9.2.7 : art. 3, al. 2, 9, 11, 12, al. 2 et 3, 15, al. 2, let. b) ;
la LOGA (cf. ch. 9.2.8 : art. 57h, 57h, 57i, 57j, 57k, phrase introductive, 57l, titre et phrase introductive, 57r, 57s et57t) ;
la loi du 16 décembre 2005 sur la surveillance de la révision (cf. ch. 9.2.12 : art. 15b) ;
la loi du 9 octobre 1992 sur la statistique fédérale (voir ch. 9.2.24 : art. 5, al. 2, let. a, et al. 4, let. a, 14, al. 1, 14a, al. 1, 15, al. 1, art. 16, al. 1, et 19, al. 2) ;
la loi fédérale du 17 juin 2005 sur le travail au noir (cf. ch. 9.2.56 : art. 17, titre, al. 1, 2 et 4, et art. 17a) ;
la loi sur la Banque nationale du 3 octobre 2003 (cf. ch. 9.2.66 : art. 16, al. 5, et art. 49a) ;
la loi fédérale du 19 mars 1976 sur la coopération au développement et l’aide humanitaire internationales (voir ch. 9.2.69 : art. 13a, al. 1) ;
la loi du 30 septembre 2016 sur l’énergie (cf. ch. 13.7 : art. 56, al. 1, 58, titre, al. 1 et 3, et art. 59, titre, al. 1 et 2) ainsi que la loi sur l’approvisionnement en électricité devant être modifiée par la loi du 30 septembre 2016 sur l’énergie (cf. ch. 13.7 : art. 17c, al. 1, et 27, al. 1)
Art. 72 Disposition transitoire relative à l’élection et à la fin du mandat du préposé
1 L’élection du préposé et la fin de son mandat sont régies par l’ancien droit jusqu’à la fin de la législature au cours de laquelle la présente loi entre en vigueur.2 Si, lors de la première élection du préposé par l’Assemblée fédérale réunie, c’est l’ancien titulaire du poste qui est élu, le nouveau mandat du préposé commence le jour suivant l’élection.Art. 72a Disposition transitoire relative aux rapports de travail du préposé
Les rapports de travail du préposé fondés sur l’ancien droit sont régis par ce dernier.
Art. 73 Coordination
La coordination avec d’autres actes législatifs est réglée à l’annexe 2.
Art. 74 Référendum et entrée en vigueur
1 La présente loi est soumise au référendum facultatif.2Le Conseil fédéral fixe la date d’entrée en vigueur.