Le site revDSG (à par­tir du 1er sep­tembre 2023) pré­voit, com­me cha­cun sait, out­re le prin­ci­pe de trans­pa­rence, une obli­ga­ti­on d’in­for­ma­ti­on ren­for­cée (art. 19). La maniè­re dont ce devoir d’in­for­ma­ti­on peut être rem­pli n’est tou­jours pas tout à fait clai­re, rai­son pour laquel­le il vaut la pei­ne d’y regar­der de plus près.

Prin­cipes d’in­ter­pré­ta­ti­on pour le respect de l’ob­li­ga­ti­on d’information

Pas d’ob­li­ga­ti­on d’in­for­ma­ti­on, mais de mise à dis­po­si­ti­on d’informations

Il est tout d’a­bord clair que dans le cad­re de l’ob­li­ga­ti­on d’in­for­ma­ti­on selon la loi révi­sée sur la pro­tec­tion des don­nées pas de prin­ci­pe d’ac­cès s’ap­pli­que. (L’ar­tic­le 13 du RGPD (“Le responsable du trai­te­ment doit com­mu­ni­quer les infor­ma­ti­ons […] à la per­son­ne con­cer­née”) est erro­né à cet égard – il ne faut pas “com­mu­ni­quer”, mais “mett­re à dis­po­si­ti­on”). Cela n’est pas con­te­sté pour autant que l’on pui­s­se voir et est même expri­mé dans l’ar­tic­le 13 du RGPD, du moins si l’on con­sidè­re les exi­gen­ces sui­van­tes selon cet­te dis­po­si­ti­on (“de maniè­re pré­cise, trans­pa­ren­te, com­pré­hen­si­ble et faci­le d’ac­cès for­me”) ne se réfè­re pas seu­le­ment au con­te­nu et à la pré­sen­ta­ti­on de l’in­for­ma­ti­on, mais aus­si à sa mise à dis­po­si­ti­on. Il suf­fit donc de four­nir les infor­ma­ti­ons obli­ga­toires de maniè­re faci­le­ment acce­s­si­ble.

L’ex­pres­si­on “faci­le­ment acce­s­si­ble” indi­que que l’ac­cès – qui doit être faci­li­té – incom­be en fin de comp­te à la per­son­ne con­cer­née – elle doit donc par­ti­ci­perIl n’a pas beso­in d’êt­re infor­mé s’il veut prend­re con­nais­sance des infor­ma­ti­ons cor­re­spond­an­tes. C’est d’ail­leurs ce qui res­sort du message :

En revan­che, si les don­nées ne sont pas coll­ec­tées auprès de la per­son­ne con­cer­née, le responsable doit exami­ner la maniè­re dont l’in­for­ma­ti­on doit être four­nie pour que la per­son­ne con­cer­née pui­s­se effec­ti­ve­ment en prend­re con­nais­sance. Le cas échéant, dans ce cas, il ne suf­fit pas de four­nir des infor­ma­ti­ons, mais la per­son­ne con­cer­née doit être acti­ve­ment informée

- car “le cas échéant” signi­fie qu’il peut très bien suf­fi­re de “mett­re l’in­for­ma­ti­on à dis­po­si­ti­on” ; le cas échéant seu­le­ment et selon les cir­con­stances, cela ne suf­fit pas.

Dans l’en­sem­ble, l’ob­li­ga­ti­on d’in­for­ma­ti­on est donc Obli­ga­ti­on de four­nir des infor­ma­ti­ons. Le responsable doit cré­er une pos­si­bi­li­té, la per­son­ne con­cer­née peut l’uti­li­ser si elle le sou­hai­te, mais elle n’y est pas obli­gée – il s’a­git là aus­si d’u­ne expres­si­on du droit à l’au­to­dé­ter­mi­na­ti­on que le droit de la pro­tec­tion des don­nées veut pro­té­ger, mais qu’il mépri­se par­fois en le met­tant sous tutelle.

Inter­pré­ta­ti­on con­for­me à la Constitution

Le devoir d’in­for­ma­ti­on est une obli­ga­ti­on de droit public, con­trai­re­ment au prin­ci­pe de trans­pa­rence de droit pri­vé. C’est pour­quoi une vio­la­ti­on de l’ob­li­ga­ti­on d’in­for­mer ne peut pas être justi­fi­ée de maniè­re géné­ra­le, com­me une att­ein­te à la per­son­na­li­té, par la loi, le con­sen­te­ment ou des inté­rêts prépon­dé­rants, mais uni­quement dans le cad­re plus rigi­de de l’art. 20 révLPD.

Cet­te obli­ga­ti­on d’in­for­ma­ti­on est con­sidé­rée com­me Att­ein­te à la liber­té éco­no­mi­que pro­té­gée par l’art. 27 Cst. de l’entre­pri­se. Cel­le-ci s’ap­pli­que de maniè­re glo­ba­le et pro­tège éga­le­ment le lib­re choix des moy­ens de pro­duc­tion. On pour­rait cer­tai­ne­ment appro­fon­dir ce point, qui le méri­terait, mais il est évi­dent que l’ob­li­ga­ti­on d’in­for­ma­ti­on, sou­vent dif­fi­ci­le à mett­re en œuvre, ain­si que les coûts et les dépen­ses qui en résul­tent, con­sti­tu­ent une ingé­rence dans le domaine pro­té­gé par l’art. 27 Cst. Cet­te ingé­rence est à l’au­ne de l’art. 36 Cst.notam­ment le prin­ci­pe de pro­por­ti­on­na­li­té. Il ne doit donc pas aller au-delà de ce qui est néces­saire. Cela n’ap­por­te pas grand-cho­se à l’ap­pli­ca­ti­on pra­tique, il est vrai – cer­tai­nes exi­gen­ces con­crè­tes ne peu­vent être ni prou­vées ni réfu­tées -, mais cela mont­re qu’u­ne inter­pré­ta­ti­on lar­ge de l’ob­li­ga­ti­on d’in­for­ma­ti­on doit être par­ti­cu­liè­re­ment justi­fi­ée de ce point de vue également.

Il faut éga­le­ment tenir comp­te de la Punis­sa­bi­li­té d’u­ne vio­la­ti­on inten­ti­on­nel­le de l’ob­li­ga­ti­on d’in­for­ma­ti­on selon l’ar­tic­le 60, ali­néa 1, lett­re b de la loi révi­sée sur la pro­tec­tion des don­nées. Pour les nor­mes qui sont à la fois de natu­re civi­le et péna­le, on procè­de en pra­tique à une inter­pré­ta­ti­on rest­ric­ti­ve fon­dée sur le droit con­sti­tu­ti­on­nel ; c’est le cas par exemp­le de l’art. 3 al. 1 let. a LCD (dénigre­ment ; c’est pour­quoi on exi­ge ici une “gra­vi­té par­ti­cu­liè­re” du dénigre­ment) – voir par exemp­le 6S.858/1999. Selon la juris­pru­dence, cet­te inter­pré­ta­ti­on rest­ric­ti­ve s’ap­pli­que ensuite de maniè­re géné­ra­le, et pas seu­le­ment lorsque la nor­me cor­re­spond­an­te est appli­quée en tant que droit pénal, afin d’é­vi­ter une scis­si­on des nor­mes. C’est éga­le­ment pour cet­te rai­son que l’ob­li­ga­ti­on d’in­for­ma­ti­on doit être inter­pré­tée de maniè­re rest­ric­ti­ve dans son ensem­ble, en par­ti­cu­lier la clau­se géné­ra­le qu’el­le con­ti­ent (mais bien enten­du aus­si la maniè­re dont elle est remplie).

Cela soulè­ve la que­sti­on de savoir si la clau­se géné­ra­le devi­ent ain­si lett­re mor­te. Ce serait cer­tes sou­hai­ta­ble en soi, mais ce serait une con­clu­si­on exa­gé­rée. Une inter­pré­ta­ti­on rest­ric­ti­ve n’ex­clut pas a prio­ri, dans des cas excep­ti­on­nels, d’in­clu­re une infor­ma­ti­on par­ti­cu­liè­re dans la clau­se géné­ra­le. Il ne peut tou­te­fois s’a­gir que de cas exceptionnels.

Pro­tec­tion d’un seul inté­rêt d’in­for­ma­ti­on digne de protection

L’ob­li­ga­ti­on d’in­for­ma­ti­on sert ensuite à Inté­rêt des per­son­nes con­cer­nées à être infor­mées. C’est ce qui res­sort des docu­ments men­ti­onnés, mais aus­si de la régle­men­ta­ti­on d’ex­cep­ti­on de l’ar­tic­le 20 de la loi révi­sée sur la pro­tec­tion des don­nées : selon cel­le-ci, une pesée des inté­rêts peut justi­fier une limi­ta­ti­on de l’ob­li­ga­ti­on d’in­for­mer (une pesée des inté­rêts dans un cas par­ti­cu­lier ou une pesée des inté­rêts anti­ci­pée, géné­ra­le et abstrai­te, par le légis­la­teur). Il s’a­git donc essen­ti­el­le­ment de pro­té­ger cet inté­rêt à l’information.

Main­tenant, il faut un inté­rêt à pro­té­ger pour être pro­té­gé par l’ord­re juri­di­que. Un inté­rêt à l’ac­tion d’au­trui n’est digne de pro­tec­tion que dans la mesu­re où l’on ne peut rai­sonnablem­ent exi­ger de lui qu’il agis­se lui-même. C’est une exi­gence de la logi­que et d’un ord­re libé­ral, mais cela cor­re­spond mani­fe­stem­ent aus­si à la com­pré­hen­si­on du législateur.

Dans ce con­tex­te, le Dif­fé­rence ent­re le prin­ci­pe de trans­pa­rence et l’ob­li­ga­ti­on d’in­for­ma­ti­on doi­vent être pri­ses en comp­te. Le légis­la­teur a cer­tes estom­pé cet­te distinc­tion en intro­dui­sant une clau­se géné­ra­le dans l’ob­li­ga­ti­on d’in­for­ma­ti­on, mais les deux ne sont pas pour autant la même chose :

Le responsable doit de tou­te façon assurer une trans­pa­rence de base. L’ob­li­ga­ti­on d’in­for­ma­ti­on vient donc s’a­jou­ter com­me deu­xiè­me niveau. Un beso­in fon­da­men­tal d’in­for­ma­ti­on est ain­si déjà satis­fait au pre­mier niveau et l’ob­li­ga­ti­on d’in­for­ma­ti­on ne sert qu’à un seul niveau. plus appro­fon­die beso­in d’in­for­ma­ti­on. Le légis­la­teur peut cer­tes simu­ler un tel beso­in d’in­for­ma­ti­on plus éten­du en intro­dui­sant une obli­ga­ti­on géné­ra­le d’in­for­ma­ti­on, mais l’in­ter­pré­ta­ti­on doit néan­mo­ins tenir comp­te du fait que l’ob­li­ga­ti­on d’in­for­ma­ti­on ne peut plus avoir pour mis­si­on de cou­vr­ir les beso­ins fon­da­men­taux en matiè­re d’in­for­ma­ti­on. De ce point de vue éga­le­ment, on peut exi­ger un peu plus de la per­son­ne concernée.

On pour­rait objec­ter que l’ob­li­ga­ti­on d’in­for­ma­ti­on n’est pas un com­plé­ment, mais une con­cré­ti­sa­ti­on de l’ob­li­ga­ti­on de trans­pa­rence. Par con­sé­quent, elle ne va pas au-delà du beso­in fon­da­men­tal de trans­pa­rence, mais le défi­nit seu­le­ment. Cela ren­drait caduc l’ar­gu­ment pré­cé­dent. Cet­te inter­pré­ta­ti­on est tou­te­fois en con­tra­dic­tion avec deux considérations :

• Le prin­ci­pe de trans­pa­rence n’au­rait plus de signi­fi­ca­ti­on auto­no­me s’il était absor­bé par l’ob­li­ga­ti­on d’information.
• Une obli­ga­ti­on d’in­for­ma­ti­on, qui est une con­cré­ti­sa­ti­on du prin­ci­pe de trans­pa­rence, dev­rait, tout com­me ce der­nier, éga­le­ment s’ap­pli­quer au sous-trai­tant, qui doit éga­le­ment respec­ter les prin­cipes de trai­te­ment, et c’est pré­cis­é­ment ce que le RGPD a lais­sé tom­ber, con­trai­re­ment à l’E-VDSG.

En con­sé­quence, l’ob­li­ga­ti­on d’in­for­ma­ti­on est un com­plé­ment au prin­ci­pe de trans­pa­rence, qui va au-delà de celui-ci et qui est donc sou­mis à des exi­gen­ces plus élevées.

Résul­tat intermédiaire

Les con­sidé­ra­ti­ons qui pré­cè­dent per­met­tent de con­clu­re que les Inter­pré­ter de maniè­re rest­ric­ti­ve les exi­gen­ces rela­ti­ves au respect de l’ob­li­ga­ti­on d’in­for­ma­ti­on sont des rai­sons de fond. En résu­mé, cet­te con­clu­si­on repo­se sur trois rai­sons ; la pre­miè­re découle de l’ob­jec­tif même de la nor­me et les aut­res d’u­ne inter­pré­ta­ti­on con­for­me à la Constitution :

1. L’ob­li­ga­ti­on d’in­for­ma­ti­on ne pro­tège que l’in­té­rêt légiti­me des per­son­nes con­cer­nées à être infor­mées, qui va au-delà de la trans­pa­rence de base, ce qui sug­gè­re une cer­taine rete­nue dans l’interprétation.
2. Lorsqu’il est appli­qué en tant que nor­me péna­le, le prin­ci­pe de léga­li­té péna­le, fon­dé sur le droit con­sti­tu­ti­on­nel, exi­ge une rete­nue par­ti­cu­liè­re ou une “inter­pré­ta­ti­on fon­da­men­ta­le­ment restrictive”.
3. Elle con­sti­tue une att­ein­te à la liber­té éco­no­mi­que. Le prin­ci­pe de pro­por­ti­on­na­li­té exi­ge de la limi­ter au strict nécessaire.

Il est donc con­trai­re au système de dire dans le mes­sa­ge que les excep­ti­ons de l’ar­tic­le 20 de la LPD révi­sée doi­vent être inter­pré­tées de maniè­re stric­te. Ces “excep­ti­ons” ne sont pas des excep­ti­ons en soi, mais le cor­rec­tif néces­saire à une obli­ga­ti­on poten­ti­el­le­ment trop lar­ge du responsable. De tou­te façon, le topos selon lequel les dis­po­si­ti­ons d’ex­cep­ti­on doi­vent être inter­pré­tées de maniè­re rest­ric­ti­ve en géné­ral est métho­do­lo­gi­quement erro­né – une excep­ti­on a la por­tée que le légis­la­teur lui a attri­buée, et cel­le-ci doit être déter­mi­née par les prin­cipes d’in­ter­pré­ta­ti­on habituels.

Exi­gen­ces rela­ti­ves à l’ob­li­ga­ti­on d’in­for­ma­ti­on en cas de rup­tu­re de média

Trans­pa­rence de base sur le trai­te­ment com­me exi­gence minimale

En par­ti­cu­lier lorsqu’un trai­te­ment de don­nées n’est pas effec­tué en ligne, mais qu’u­ne per­son­ne con­cer­née se con­nec­te à un site web. hors ligne La que­sti­on se pose de savoir com­ment l’informer.

Il est judi­cieux, même dans de tel­les situa­tions, de réflé­chir à une Site web pour plu­sieurs rai­sons : D’u­ne part, cet­te for­me est rela­ti­ve­ment simp­le et pos­si­ble sans trop d’ef­forts ni de coûts éle­vés, et d’aut­re part, elle cor­re­spond désor­mais pro­ba­blem­ent aux atten­tes et, par expé­ri­ence, à la pra­tique (éga­le­ment à cel­le con­cer­nant la révi­si­on de la LPD). En Sui­s­se en par­ti­cu­lier, il est plutôt inha­bi­tuel d’in­for­mer sur l’ob­ten­ti­on d’in­for­ma­ti­ons dans un con­tex­te hors ligne (con­trai­re­ment à l’Al­le­ma­gne, par exemp­le, où l’on peut trou­ver des décla­ra­ti­ons de pro­tec­tion des don­nées au dos des tickets de caisse), alors qu’il est géné­ra­le­ment con­nu que l’on trouve des infor­ma­ti­ons sur la pro­tec­tion des don­nées sur les sites web.

Le rap­port expli­ca­tif de la DSV don­ne une indi­ca­ti­on à ce sujet :

Il con­vi­ent […] de noter que la La com­mu­ni­ca­ti­on via un site web ne suf­fit pas tou­joursLa per­son­ne con­cer­née doit savoir que elle trouve les infor­ma­ti­ons sur un site web spécifique

C’est bien sûr exact. Celui qui ne sait pas qu’un responsable don­né trai­te des don­nées per­son­nel­les n’a aucu­ne rai­son de visi­ter son site web. Il en résul­te qu’au moins une cho­se est néces­saire : le Savoir ou devoir savoirLes don­nées per­son­nel­les sont trai­tées par un responsable déterminé.

Tou­te­fois, le responsable du trai­te­ment n’est pas tenu d’in­for­mer expres­sé­ment la per­son­ne con­cer­née de son trai­te­ment et de son site web lorsque la per­son­ne con­cer­née peut dédui­re des cir­con­stances que des don­nées per­son­nel­les sont trai­tées à son sujet et où elle peut trou­ver des infor­ma­ti­ons à ce sujet. Et ce pour plu­sieurs rai­sons : Pre­miè­re­ment, com­me indi­qué ci-des­sus, l’ob­li­ga­ti­on d’in­for­ma­ti­on ne peut pas aller au-delà de ce qui est néces­saire pour per­mett­re à la per­son­ne con­cer­née de prend­re rai­sonnablem­ent con­nais­sance de la décla­ra­ti­on de pro­tec­tion des don­nées. Deu­xiè­me­ment, l’ob­li­ga­ti­on d’in­for­ma­ti­on com­plè­te la trans­pa­rence, qui n’e­xi­ge pas plus que le fait qu’un trai­te­ment de don­nées soit recon­naissa­ble au vu des cir­con­stances. Pour rester dans l’exemp­le : La trans­pa­rence per­met de con­stater que le responsable trai­te des don­nées per­son­nel­les (en sup­po­sant que ce soit le cas dans un cas con­cret), et l’ob­li­ga­ti­on d’in­for­ma­ti­on qui s’en­su­it exi­ge de four­nir les infor­ma­ti­ons obli­ga­toires de maniè­re raisonnable.

Cet­te com­pré­hen­si­on ne vide pas de son sens l’ob­li­ga­ti­on d’in­for­mer, car elle garan­tit que la per­son­ne con­cer­née pui­s­se au moins trou­ver les infor­ma­ti­ons men­ti­onnées à l’art. 19 révLPD. L’exemp­le du mes­sa­ge est ici bien choisi :

Le cas échéant, il ne suf­fit pas, dans ce cas, de four­nir sim­ple­ment des infor­ma­ti­ons, mais la per­son­ne con­cer­née doit être acti­ve­ment infor­mée, que ce soit sous une for­me géné­ra­le appro­priée ou par une infor­ma­ti­on indi­vi­du­el­le. Par exemp­le, une per­son­ne qui n’ac­hè­te jamais de liv­res, visi­te à pei­ne le site web d’un librai­re en ligne et lit sa décla­ra­ti­on de con­fi­den­tia­li­té. Par con­sé­quent, cet­te décla­ra­ti­on géné­ra­le ne lui per­mettra pas de savoir que le librai­re en ligne trai­te des don­nées la con­cer­nant, car elle ne s’y attend pas.

L’i­dée sus­ment­i­onnée y est clai­re­ment expri­mée : si la per­son­ne con­cer­née doit s’at­tendre à ce qu’un librai­re trai­te ses don­nées – ce à quoi le responsable doit veil­ler con­for­mé­ment au prin­ci­pe de trans­pa­rence, com­me indi­qué -, il suf­fit de mett­re les infor­ma­ti­ons à dis­po­si­ti­on sur Inter­net. Ain­si, celui qui achè­te un liv­re dans la très recom­man­da­ble librai­rie Para­noia City, soit ne fait pas trai­ter ses don­nées per­son­nel­les, soit sait qu’il lui suf­fit de taper “para­noia city” sur Goog­le pour accé­der à la librai­rie. https://paranoiacity.ch où il trou­ve­ra sans aucun dou­te une décla­ra­ti­on de con­fi­den­tia­li­té à l’avenir.

Il con­vi­ent donc de noter que il suf­fit de mett­re à dis­po­si­ti­on sur Inter­net une décla­ra­ti­on de pro­tec­tion des don­nées si la per­son­ne con­cer­née sait ou doit savoir qu’el­le y trou­ve­ra des infor­ma­ti­ons sur la pro­tec­tion des don­nées. Pour ce fai­re, le responsable ne doit pas men­ti­on­ner expli­ci­te­ment son iden­ti­té (il suf­fit par exemp­le que le domaine cor­re­spon­de à la socié­té ou à l’ens­eig­ne), ni fai­re acti­ve­ment réfé­rence au site Internet.

Il faut donc aus­si rejeter l’o­pi­ni­on selon laquel­le il faut une pre­miè­re indi­ca­ti­on, un lien expli­ci­te et peut-être même un Code QRIl s’a­git d’un système qui per­met d’in­for­mer sur Inter­net d’un trai­te­ment effec­tué hors ligne. Cet­te opi­ni­on ne tient pas comp­te des con­sidé­ra­ti­ons ci-dessus.

Aujour­d’hui, il n’est plus néces­saire de taper une URL pour accé­der à une page web – on peut tout aus­si bien sai­sir des ter­mes appro­priés dans le champ de recher­che. Aucu­ne sta­ti­stique n’est dis­po­ni­ble à ce sujet, mais on peut sup­po­ser que c’est le moy­en pré­fé­ré de nombreux uti­li­sa­teurs pour accé­der à un site web. On peut dou­ter que cela pren­ne plus de temps que de scan­ner un code QR, pour lequel il faut lan­cer l’ap­pli­ca­ti­on Appa­reil pho­to et cli­quer ensuite sur le lien, et cela n’au­rait en tout cas pas d’importance.

On peut rétor­quer qu’un code QR est plus fia­ble, c’est-à-dire qu’il a plus de chan­ces de mener à la bon­ne desti­na­ti­on, et que son exi­stence même indi­que expli­ci­te­ment un site sur Inter­net, mais ce der­nier point n’est pas obli­ga­toire selon l’o­pi­ni­on défen­due ici. De plus, avec un code QR, l’uti­li­sa­teur ne peut pas tou­jours voir le lien qu’il visi­te en le scann­ant, ce qui soulè­ve des que­sti­ons de sécurité.

Il exi­ste d’ail­leurs déjà des cas, selon le droit actuel, où une infor­ma­ti­on acti­ve est néces­saire par­ce que la recon­naissa­bi­li­té ne peut pas être éta­b­lie autre­ment. Ici, se deman­de aujour­d’hui déjà si une infor­ma­ti­on sur Inter­net est suf­fi­san­te. Le PFPDT a tou­te­fois admis à plu­sieurs repri­ses que les indi­ca­ti­ons néces­saires ne sont publiées que sur Inter­net, même dans le cas de trai­te­ments qui ne sont pas sans ris­que et qui con­cer­nent un grand nombre de personnes.

Le site Com­mis­saire à la pro­tec­tion des don­nées Zurich de son côté, a même pré­cisé, pour les orga­nes publics, qu’u­ne DSE sur Inter­net pou­vait rem­plir l’ob­li­ga­ti­on d’in­for­ma­ti­on (en Gui­de de la vidé­o­sur­veil­lan­ce de novembre 2020 – et à l’é­po­que, l’ob­li­ga­ti­on d’in­for­ma­ti­on acti­ve du § 12 IDG ZH était déjà en vigueur) :

[…] la vidé­o­sur­veil­lan­ce […] doit être signa­lée au public au moy­en d’in­di­ca­ti­ons si elle n’est pas mani­fe­stem­ent recon­naissa­ble pour les per­son­nes con­cer­nées. Les pan­neaux d’in­for­ma­ti­on doi­vent en prin­ci­pe être pla­cés là où ils sont acce­s­si­bles et bien visi­bles pour les per­son­nes con­cer­nées. Le con­te­nu des pan­neaux d’in­for­ma­ti­on dépend des cir­con­stances sur place, un pic­to­gram­me (sym­bo­le de camé­ra, œil) suf­fit en prin­ci­pe. En cas de beso­in peu­vent être des infor­ma­ti­ons sup­p­lé­men­tai­res sont four­nies, com­me l’or­ga­ne com­pé­tent, un numé­ro de télé­pho­ne ou l’en­droit où trou­ver le règle­ment de vidé­o­sur­veil­lan­ce correspondant.

Dans le cas de la vidé­o­sur­veil­lan­ce en par­ti­cu­lier, il suf­fit donc de signal­er la sur­veil­lan­ce en tant que tel­le. Le PFPDT s’est déjà expri­mé dans ce sens, dans les Lignes direc­tri­ces d’avril 2014 :

Les respons­ables de la vidé­o­sur­veil­lan­ce doi­vent munir tou­tes les per­son­nes qui ent­rent dans le champ de pri­se de vue des camé­ras d’un un pan­neau d’in­for­ma­ti­on bien visi­ble infor­mer sur le système de sur­veil­lan­ce. Si les images enre­gi­strées sont liées à un fichier (si elles sont donc stockées sous une for­me ou une aut­re), il faut éga­le­ment l’in­di­quer, auprès de qui le droit d’ac­cès peut être exer­cé peut être fait, si cela ne résul­te pas des cir­con­stances (prin­ci­pe de la bon­ne foi et droit à l’information).

On peut se deman­der s’il ne suf­fit pas que les camé­ras et leur zone de pri­se de vue soi­ent recon­naissa­bles, même sans pic­to­gram­me, mais on ne pour­rait répond­re par l’af­fir­ma­ti­ve qu’a­vec réti­cence. On peut sans dou­te exi­ger une infor­ma­ti­on au moy­en d’un pic­to­gram­me, notam­ment par­ce qu’il s’a­git d’u­ne pra­tique courante.

Inter­net est suf­fi­sam­ment répandu

Aujour­d’hui, Inter­net fait par­tie de l’é­qui­pe­ment de base. Cela ne fait aucun dou­te. La cou­ver­tu­re réseau pour les don­nées mobi­les est pres­que com­plè­te, et appa­rem­ment il y avait en Sui­s­se en 2019 envi­ron 1,26 abon­ne­ment mobi­le par habi­tant. Un Étu­de sur le Liech­ten­stein pour 2019 a révé­lé qu’en­vi­ron 95% des habi­tants uti­li­sent Inter­net au moins occa­si­on­nel­le­ment. Sans vou­loir paraît­re cyni­que : Le panier de la CSIAS comp­te éga­le­ment pour les beso­ins de base 8,8% de frais pour la trans­mis­si­on de mes­sa­ges, Inter­net et la radio/TV. On ne peut nier qu’un pour­cen­ta­ge de per­son­nes reste exclu lors d’u­ne infor­ma­ti­on sur Inter­net, mais c’est iné­vi­ta­ble – il y a tou­jours des per­son­nes qui, pour diver­ses rai­sons, ne sont pas en mesu­re d’uti­li­ser un cer­tain média. Cela doit être accep­té, non pas par­ce que ces per­son­nes ne jouent aucun rôle, mais par­ce que l’ob­li­ga­ti­on d’in­for­ma­ti­on s’o­ri­en­te vers le grand public.

D’aut­res dis­po­si­ti­ons mont­rent que le légis­la­teur part lui aus­si du prin­ci­pe qu’In­ter­net peut être uti­li­sé de maniè­re géné­ra­le, par exemp­le le fait que, pour les lois fédé­ra­les, c’est la ver­si­on publiée sur Inter­net qui fait foi (art. 1a et art. 15 LPubl), mais aus­si l’art. 27, al. 2 de la nou­vel­le OLPD, selon lequel les orga­nes fédé­raux publi­ent les coor­don­nées du con­seil­ler à la pro­tec­tion des don­nées “sur Internet”.

De ce point de vue éga­le­ment, l’in­for­ma­ti­on sur Inter­net peut donc suffire.

Mesu­res favo­ri­sant la transparence

Selon les cir­con­stances, il peut tou­te­fois être indi­qué de four­nir des infor­ma­ti­ons sup­p­lé­men­tai­res et allant au-delà du stan­dard mini­mal. Cela peut être uti­le dans les situa­tions où une infor­ma­ti­on ne peut pas être faci­le­ment con­sul­tée sur Inter­net. Cela peut con­cer­ner les cas où une per­son­ne ne peut pas lire tran­quil­le­ment une décla­ra­ti­on de pro­tec­tion des don­nées pour des rai­sons de temps. Un exemp­le serait l’en­trée dans une zone sur­veil­lée par des camé­ras vidéo. Tou­te­fois, une décla­ra­ti­on de con­fi­den­tia­li­té sur Inter­net pré­sen­te des avan­ta­ges dans ce cas, car une Décla­ra­ti­on de con­fi­den­tia­li­té rédi­gée ici de cet­te maniè­re que les infor­ma­ti­ons essen­ti­el­les soi­ent visi­bles d’un seul coup d’œil, par exemp­le grâ­ce à un résu­mé, à une table des matiè­res reliée par un lien, à des tex­tes dépli­ants, à des indi­ca­ti­ons résum­ant les dif­fér­ents cha­pi­t­res, etc. La vari­an­te avec des tex­tes déplia­bles (har­mo­ni­ca) ne peut justem­ent pas être mise en œuvre hors ligne.

Dans un tel cas, il fau­drait tou­te­fois aus­si comp­ter avec un Pan­neau d’in­for­ma­ti­on avec infor­ma­ti­ons de base (com­me l’e­xi­gent les auto­ri­tés alle­man­des, par ex. le BayL­DA), à moins que ce pan­neau ne con­ti­en­ne déjà tou­tes les infor­ma­ti­ons obli­ga­toires selon l’art. 19 de la loi révi­sée sur la pro­tec­tion des don­nées. Pour en rester à l’exemp­le de la vidé­o­sur­veil­lan­ce : Celui qui ent­re dans une sur­face de ven­te d’un grand dis­tri­bu­teur voit – sup­po­sons-le – un sym­bo­le de camé­ra en ent­rant, et l’i­den­ti­té du responsable est éga­le­ment évi­den­te. L’en­droit où se trou­vent les infor­ma­ti­ons rela­ti­ves à la pro­tec­tion des don­nées est donc éga­le­ment clair.

Dans cer­ta­ins cas, il peut tou­te­fois être uti­le de se rend­re sur place pour une tenir à dis­po­si­ti­on une décla­ra­ti­on de con­fi­den­tia­li­té impri­méeIl peut être remis ou impri­mé sur deman­de. Il est tou­te­fois rai­sonnable d’e­xi­ger de la per­son­ne con­cer­née qu’el­le le deman­de si le trai­te­ment est recon­naissa­ble en tant que tel (ce qui, com­me nous l’a­vons dit, doit de tou­te façon être garanti).

Résul­tat

L’ob­li­ga­ti­on géné­ra­le d’in­for­ma­ti­on est une gran­de nou­veau­té de la LPD révi­sée. Elle doit notam­ment garan­tir la trans­pa­rence, éga­le­ment en tant que con­di­ti­on de base des droits des per­son­nes con­cer­nées. Elle vient donc s’a­jou­ter à l’ob­li­ga­ti­on géné­ra­le de trans­pa­rence en tant que prin­ci­pe de traitement.

Elle doit donc répond­re à un beso­in d’in­for­ma­ti­on. Inver­se­ment, cela signi­fie éga­le­ment que seul un beso­in d’in­for­ma­ti­on réel doit être pro­té­gé. Il en résul­te notam­ment que la per­son­ne con­cer­née doit être en mesu­re d’entre­prend­re ses pro­pres démar­ches si elle sou­hai­te prend­re effec­ti­ve­ment con­nais­sance des infor­ma­ti­ons rela­ti­ves à la pro­tec­tion des données.

Il s’en­su­it, mais aus­si de con­sidé­ra­ti­ons d’ord­re con­sti­tu­ti­on­nel, que le responsable doit four­nir des infor­ma­ti­ons peut en prin­ci­pe mett­re à dis­po­si­ti­on sur Inter­netLa loi sur la pro­tec­tion des don­nées pré­voit une obli­ga­ti­on de décla­ra­ti­on. Il est seu­le­ment exi­gé, mais tout de même, que le trai­te­ment des don­nées soit recon­naissa­ble en tant que tel et, en out­re, qu’il res­sor­te au moins des cir­con­stances où la per­son­ne con­cer­née peut trou­ver une décla­ra­ti­on de pro­tec­tion des don­nées. En revan­che, il n’est pas pos­si­ble d’e­xi­ger du responsable qu’il ren­voie expres­sé­ment la per­son­ne con­cer­née à son site inter­net ou même qu’il met­te à sa dis­po­si­ti­on un code QR.