-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- I. But de la norme et genèse
- II. Mesures administratives
- III. Droit procédural
- Bibliographie
- Matériaux
I. But de la norme et genèse
1 L'art. 51 LPD décrit les mesures administratives que le PFPDT peut prendre en cas de violation des dispositions relatives à la protection des données. La compétence de décision accordée au PFPDT par l'art. 51 LPD constitue une nouveauté de la nouvelle loi sur la protection des données. En élargissant ainsi les compétences du PFPDT, le législateur répond aux suggestions des évaluateurs Schengen de 2014, qui avaient critiqué le fait que sous l'ancienne loi sur la protection des données de 1992 (aLPD), le PFPDT ne pouvait émettre que des recommandations. L'évaluation Schengen de 2018 recommandait également de renforcer les pouvoirs d'exécution du PFPDT afin qu'il puisse prendre directement des décisions juridiquement contraignantes. L'art. 51 LPD met en œuvre la majeure partie de l'art. 47 al. 2 de la directive (UE) 2016/680, spécifié à l'art. 58 al. 2 du règlement (UE) 2016/679 (règlement général sur la protection des données, RGPD). De même, les exigences de l'art. 15 al. 2 let. c du Protocole d'amendement du 18 mai 2018 à la Convention STE 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel sont ainsi largement satisfaites.
2 En revanche, la révision de la LPD a renoncé à étendre les pouvoirs de sanction du PFPDT au-delà de sa compétence de décision, malgré une recommandation en ce sens de l'Union européenne et malgré une mention correspondante à l'art. 15 al. 2 let. c du Protocole d'amendement du 18 mai 2018 à la Convention STE 108. Contrairement aux autorités de protection des données de différents autres pays - comme par exemple les autorités de surveillance dans le champ d'application territorial du RGPD - le PFPDT ne peut donc notamment toujours pas infliger de sanctions administratives aux organes fédéraux. En ce qui concerne les personnes privées, le PFPDT n'a pas non plus de pouvoir de sanction direct, mais divers manquements aux obligations sont tout de même sanctionnés au chapitre 8 de la LPD. Le PFPDT peut notamment assortir ses décisions de mesures administratives selon l'art. 51 LPD à l'encontre de personnes privées d'une menace de peine selon l'art. 63 LPD. De l'avis du législateur, cet ordre à deux niveaux correspond mieux à la tradition juridique suisse qu'une compétence directe du PFPDT en matière de sanctions et est suffisamment efficace.
3 Contrairement à ce qui se passe sous le nouveau régime, l'aLPD n'avait pas la compétence d'édicter des mesures juridiquement contraignantes. S'il constatait, dans le cadre d'une enquête menée contre un organe fédéral ou une personne privée, une violation des prescriptions en matière de protection des données, il pouvait uniquement émettre une recommandation au responsable de modifier le traitement des données ou d'y renoncer (art. 27 al. 4 aLPD [pour les organes fédéraux] ou art. 29 al. 3 aLPD [pour les personnes privées]). Si le responsable s'opposait à la recommandation du PFPDT en la rejetant formellement ou en ne la suivant tout simplement pas dans les faits, le PFPDT devait soumettre sa recommandation au département ou à la Chancellerie fédérale (dans le secteur public) ou directement au Tribunal administratif fédéral (dans le secteur privé) afin d'obtenir un jugement juridiquement contraignant. L'organe fédéral concerné et - depuis l'introduction d'un droit de recours correspondant lors de la révision de la LPD en 2006 - le PFPDT pouvaient alors également contester la décision rendue par la suite par le département ou la Chancellerie fédérale auprès du Tribunal administratif fédéral. En dernière instance, les décisions du Tribunal administratif fédéral, tant dans le domaine public que dans le domaine privé, pouvaient faire l'objet d'un recours en matière de droit public devant le Tribunal fédéral (art. 82 let. a en relation avec l'art. 86 al. 1 let. a LTF). Outre cette voie formelle à plusieurs niveaux passant par la recommandation et son éventuel recours, le PFPDT pouvait donner de facto du poids à ses injonctions non contraignantes en informant l'Assemblée fédérale et le Conseil fédéral et en les publiant avec l'effet de réputation correspondant (art. 30 aLPD).
4Dans la pratique, sous le régime de l'aLPD, le PFPDT n'a émis que peu de recommandations, tant dans le secteur privé que dans le secteur public, et il a été encore plus rare qu'elles soient mises en œuvre par voie de plainte. Souvent, les responsables ont déjà pris les mesures nécessaires au cours de la procédure d'enquête, avec l'aide des conseils du PFPDT (art. 28 et art. 31 al. 1 let. aLPD), pour remédier aux irrégularités révélées. Si le PFPDT a néanmoins émis une recommandation, celle-ci a généralement été suivie sans autre.
5 Néanmoins, la doctrine et la pratique de la protection des données n'ont cessé de critiquer l'absence de compétence du PFPDT pour prendre lui-même des mesures efficaces et, le cas échéant, des sanctions. Les débats politiques et législatifs relatifs à l'aLPD ont également permis d'identifier des points faibles et de discuter d'un éventuel renforcement de la position du PFPDT. Les avis divergeaient toutefois quant à la forme concrète de cette position renforcée, et notamment quant à la question de savoir si le PFPDT devait disposer de pouvoirs de sanction. En 2014, par exemple, une initiative parlementaire demandant l'introduction de pouvoirs de sanction administrative pour le PFPDT n'a pas été suivie. Le renforcement modéré de la position du PFPDT dans le cadre de la révision de la LPD reflète l'opinion des milieux politiques, de la doctrine et de la pratique, ainsi que la pression exercée par les exigences internationales (cf. ci-dessus n. 1 s.).
6 La pratique montrera si le nouveau régime, qui confère au PFPDT des pouvoirs de décision mais pas de pouvoir de sanction direct, garantit une activité de surveillance efficace. Outre la répartition des compétences, une surveillance efficace requiert également une dotation en ressources adéquate du PFPDT. A cet égard, la littérature spécialisée a émis diverses critiques à l'encontre des moyens jugés trop limités qui, malgré l'augmentation déjà intervenue, devraient continuer à contraindre le PFPDT à agir selon le principe de l'opportunité dans son activité de surveillance. Les évaluateurs Schengen 2018 se sont également montrés critiques à cet égard et ont recommandé d'allouer au PFPDT des ressources financières et humaines suffisantes pour lui permettre d'accomplir toutes ses tâches dans le contexte Schengen.
II. Mesures administratives
7L'art. 51 LPD laisse au PFPDT une grande marge de manœuvre : en cas de violation des dispositions relatives à la protection des données, il peut ordonner des mesures visant à remédier à la situation illégale, mais il n'y est pas obligé. L'énumération des mesures n'est pas exhaustive. Le principe de proportionnalité s'applique pour décider si une décision doit être prise et, dans l'affirmative, laquelle : il convient d'ordonner les mesures nécessaires pour (re)garantir la licéité du traitement des données dans un cas concret. Le principe de proportionnalité est également ancré expressément à l'art. 51 al. 5 LPD : si l'organe fédéral ou la personne privée a déjà pris les mesures nécessaires pour rétablir le respect des prescriptions en matière de protection des données pendant l'enquête, l'art. 51 al. 5 LPD prévoit que le PFPDT peut se limiter à prononcer un avertissement. En outre, étant donné que l'art. 51 LPD est conçu comme une disposition potestative, il devrait être possible, dans l'intérêt d'une pratique adéquate et ciblée au cas par cas, selon l'avis défendu ici, que le PFPDT se contente, en cas de manquements mineurs, de donner aux responsables des indications sur la manière de remédier aux manquements dans le cadre de son activité de conseil (art. 58 al. 1 let. a LPD), au lieu d'émettre une décision de mesure. Il faut s'attendre à ce que le PFPDT, ne serait-ce que pour des raisons d'efficacité, s'efforce de faire en sorte que les responsables prennent les mesures nécessaires pour rétablir la légalité du traitement des données, sans qu'il soit contraint de rendre une décision.
8 La compétence du PFPDT de rendre des décisions en vertu de l'art. 51 LPD est très large sur le plan du contenu. Elle n'est limitée que par le fait qu'elle dépend de la violation des prescriptions de protection des données : le PFPDT ne peut évidemment pas ordonner, par voie de décision, des choses différentes ou allant au-delà de ce que les dispositions légales de protection des données exigeraient de toute façon.
9 Les mesures énumérées à l'art. 51 LPD peuvent être divisées en deux catégories : Les al. 1, 2 et 4 prévoient des mesures contre les traitements de données qui violent les prescriptions sur la protection des données. L'al. 3 contient des mesures d'accompagnement en cas de violation de prescriptions d'ordre ou d'obligations envers la personne concernée. Le PFPDT peut, le cas échéant, assortir les mesures administratives ordonnées à l'encontre de personnes privées d'une menace de sanction conformément à l'art. 63 LPD (cf. supra, n. 2).
A. Mesures contre les traitements de données qui violent les prescriptions sur la protection des données (art. 51 al. 1, 2 et 4 LPD)
10La première catégorie de mesures concerne les traitements de données contraires à la protection des données et vise à rétablir le respect des prescriptions violées. Selon la situation, le PFPDT peut ordonner les mesures nécessaires conformément à l'art. 51 al. 1, 2 ou 4 LPD.
11Au sens d'une clause générale, l'art. 51 al. 1 LPD confère au PFPDT, en ce qui concerne les traitements de données qui violent les prescriptions en matière de protection des données, le pouvoir d'ordonner l'adaptation, l'interruption ou la suspension partielle ou totale ainsi que l'effacement ou la destruction partielle ou totale des données personnelles concernées.
12L'art. 51 al. 2 et al. 4 LPD règle en outre séparément deux cas spécifiques de traitements de données contraires à la protection des données : la communication de données à l'étranger en violation des prescriptions et l'omission de désigner une représentation suisse pour les personnes étrangères traitant des données conformément à l'art. 14 LPD.
13En cas de communication de données à l'étranger en violation des prescriptions, le PFPDT peut décider de la suspendre ou de l'interdire (art. 51 al. 2 LPD). Sont concernées d'une part les violations des art. 16 et 17 LPD, qui règlent l'exportation de données depuis la Suisse, et d'autre part les violations des dispositions relatives à la communication de données personnelles à l'étranger figurant dans d'autres lois fédérales. La prise en compte des violations d'autres lois fédérales n'a pas été modifiée malgré les critiques émises lors de la consultation. Dans la pratique, elle ne devrait toutefois pas avoir beaucoup d'importance en soi, car de telles exportations de données violent régulièrement le principe de la licéité du traitement des données (art. 6 al. 1 LPD) et pourraient donc également être soumises à la clause générale de l'art. 51 al. 1 LPD.
14En cas de violation de l'art. 14 LPD, le PFPDT peut ordonner par voie de décision la désignation d'une représentation suisse par des responsables privés ayant leur domicile ou leur siège à l'étranger (art. 51 al. 4 LPD).
B. Mesures d'accompagnement en cas de violation de prescriptions d'ordre ou d'obligations envers les personnes concernées (art. 51 al. 3 LPD)
15La deuxième catégorie de mesures vise les cas où les prescriptions d'ordre ou les obligations envers les personnes concernées ne sont pas respectées. Il n'est pas nécessaire qu'il y ait eu une violation de la protection des données. L'art. 51 al. 3 LPD contient à cet égard une liste non exhaustive d'injonctions possibles. Celles-ci doivent être lues en relation avec les obligations que la LPD impose aux organes fédéraux et aux personnes privées dans les deuxième et troisième chapitres.
16La plupart des mesures énumérées à l'art. 51 al. 3 LPD sont des injonctions d'information et de consultation par lesquelles le responsable est invité à informer ou à consulter le PFPDT et/ou les personnes concernées par un traitement de données sur certaines opérations (art. 51 al. 3 let. a, c, e, f et g LPD). Plus précisément, le PFPDT peut demander aux responsables de traitement de le faire par voie de décision,
de lui communiquer préalablement les clauses ou garanties correspondantes, dans la mesure où une communication de données à l'étranger sans protection adéquate au sens de l'art. 16 al. 1 LPD est prévue et que la protection des données doit être assurée au moyen de clauses contractuelles de protection des données selon l'art. 16 al. 2 let. b LPD ou au moyen de garanties spécifiques élaborées par l'organe fédéral compétent (art. 16 al. 2 let. c LPD) (art. 51 al. 3 let. a LPD) ;
de l'informer, conformément à l'art. 17 al. 2 LPD, des cas de communication de données à l'étranger qui relèvent des règles d'exception de l'art. 17 al. 1 let. b ch. 2, let. c et let. d LPD (art. 51 al. 3 let. a LPD) ;
de respecter ses obligations d'information envers les personnes concernées lors de la collecte de données personnelles (art. 19 LPD) et lors de décisions individuelles automatisées (art. 21 LPD) (art. 51 al. 3 let. c LPD) ;
de le consulter, conformément à l'art. 23 LPD, dans les cas où une analyse d'impact sur la protection des données effectuée révèle encore un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, malgré les mesures de protection prévues (art. 51 al. 3 let. e LPD) ;
de lui notifier, conformément à l'art. 24 LPD, les violations de la sécurité des données et, dans les conditions de l'art. 24 al. 4 et 5 LPD, d'en informer les personnes concernées (art. 51 al. 3 let. f LPD) ;
de satisfaire à son obligation de renseigner les personnes concernées conformément à l'art. 25 LPD (art. 51 al. 3 let. g LPD).
17Les autres mesures énumérées aux let. b et d de l'art. 51 al. 3 LPD sont des ordres d'action. Le PFPDT peut donc exiger des responsables qu'ils le fassent par voie de décision,
de prendre les mesures techniques et organisationnelles (MTO) nécessaires au traitement des données, dans le respect des prescriptions sur la protection des données (art. 7 al. 1 et 2 LPD) et en garantissant une sécurité appropriée des données conformément à l'art. 8 LPD et aux art. 1 ss. RGPD (art. 51 al. 3 let. b LPD) ;
d'utiliser des préréglages favorables à la protection des données conformément à l'art. 7 al. 3 LPD (art. 51 al. 3 let. b LPD) ;
de procéder à une analyse d'impact sur la protection des données conformément à l'art. 22 LPD (art. 51 al. 3 let. d LPD).
III. Droit procédural
A. Généralités
18 Les mesures sont édictées par le PFPDT sous forme de décision : D'un point de vue procédural, les dispositions de la PA s'appliquent en principe aux mesures administratives selon l'art. 51 LPD (art. 52 al. 1 LPD). Conformément à l'art. 52 al. 2 LPD, seul l'organe fédéral ou la personne privée contre lequel/laquelle une enquête a été ouverte a qualité de partie. Les personnes concernées par un traitement de données ne sont donc pas parties à l'enquête, même si celle-ci a été déclenchée par leur dénonciation conformément à l'art. 49 al. 1 LPD. En principe, le PFPDT ne notifie ses décisions qu'aux destinataires. Ce n'est que dans les cas d'intérêt général qu'il informe le public (art. 57 al. 2 LPD). Le PFPDT doit motiver ses décisions de manière suffisante pour que les responsables soient en mesure d'évaluer et de mettre en œuvre les mesures ordonnées ou de recourir contre celles-ci. En d'autres termes, la décision doit contenir une instruction d'action concrète qui peut être exécutée en tant que telle. Des injonctions générales selon lesquelles le destinataire de la décision doit adapter son traitement de données de manière à satisfaire aux exigences de la LPD en matière de protection des données ne seraient donc pas suffisamment précises. Si aucune mesure n'est ordonnée après une enquête ou si seul un avertissement est prononcé au sens de l'art. 51 al. 5 LPD, la procédure d'enquête doit néanmoins être formellement close par le PFPDT.
19Les décisions de mesures prises par le PFPDT en vertu de l'art. 51 LPD peuvent être contestées par l'organe fédéral ou la personne privée qu'elles visent, conformément aux règles générales de la procédure fédérale, par voie de recours auprès du Tribunal administratif fédéral (cf. art. 52 al. 1 LPD en relation avec les art. 44 ss PA). Les décisions sur recours du Tribunal administratif fédéral sont soumises au recours en matière de droit public devant le Tribunal fédéral (art. 82 let. a en relation avec l'art. 86 al. 1 let. a LTF). Dans ce cas, outre le destinataire de la décision, le PFPDT a également qualité pour recourir (art. 52 al. 3 LPD). Faute de qualité de partie (cf. art. 52 al. 2 LPD et supra n. 18), les personnes concernées n'ont par contre pas qualité pour recourir contre les décisions du PFPDT et les décisions sur recours.
20En ce qui concerne l'exécution des mesures administratives ordonnées, les art. 39 à 43 PA s'appliquent à titre complémentaire en vertu du renvoi de l'art. 52 al. 1 LPD.
21Contrairement à ce qui se passait encore sous l'aLPD, selon laquelle aucun émolument ne pouvait être imposé au responsable du traitement pour l'émission d'une recommandation (cf. art. 33 aLPD), l'art. 59 al. 1 let. d LPD prévoit désormais qu'un émolument est perçu auprès des personnes privées pour l'adoption de mesures au sens de l'art. 51 LPD (cf. également art. 44 OLPD). En l'absence de base légale correspondante, il n'y a toujours pas d'émolument pour les décisions prises à l'encontre d'organes fédéraux (art. 59 al. 1 let. d LPD e contrario ; cf. message 2017, p. 7098).
B. Mesures provisoires
22 Dans le P-LPD de 2017, il était prévu d'habiliter expressément le PFPDT, par un alinéa dans l'article concernant la procédure d'enquête, à ordonner des mesures provisionnelles pour la durée de l'enquête et à les faire exécuter par une autorité fédérale ou par les organes de police cantonaux ou communaux (art. 44 al. 2 P-LPD [2017]). Toutefois, le Parlement ayant supprimé cet alinéa de l'art. 50 LPD, version finale de l'art. 44 P-LPD, la LPD ne confère plus directement au PFPDT la compétence de prendre des mesures provisionnelles pour la durée de ses enquêtes. Désormais, la compétence du PFPDT d'édicter des mesures provisionnelles ne résulte plus qu'indirectement de l'article sur les émoluments, qui déclare à l'art. 59 al. 1 let. d LPD que l'adoption de mesures provisionnelles par le PFPDT à l'encontre de personnes privées est soumise à émoluments. Mais, comme c'était déjà le cas sous l'aLPD, il doit en tout cas être possible d'ordonner des mesures provisoires, voire superprovisoires, dans le cadre d'enquêtes en matière de protection des données ; la suppression de la disposition en question doit être interprétée comme une inadvertance législative et non comme un silence qualifié.
23Alors que sous l'ancien droit, le PFPDT devait s'adresser au Tribunal administratif fédéral pour prendre des mesures provisionnelles, faute de disposer d'une compétence décisionnelle propre (art. 33 al. 2 aLPD), il peut désormais les prendre lui-même.
24L'art. 33 al. 2 aLPD, qui n'est plus en vigueur sous le nouveau droit, n'attribuait pas seulement au Tribunal administratif fédéral la compétence d'ordonner des mesures provisionnelles dans le cadre d'enquêtes en matière de protection des données, mais il réglait également les conditions et la procédure. Dans le premier contexte, l'art. 33 al. 2 aLPD exigeait que les personnes concernées soient menacées d'un préjudice difficilement réparable. Du point de vue de la procédure, cette disposition déclarait les art. 79-84 PCF applicables par analogie.
25Après la suppression de l'art. 33 al. 2 aLPD, il n'existe plus de règles de condition et de procédure explicites pour la protection juridique provisoire. En fin de compte, l'appréciation du contenu des mesures provisionnelles dans les enquêtes en matière de protection des données ne devrait guère changer. La PA, applicable à la procédure d'enquête en vertu de l'art. 52 al. 1 LPD, contient uniquement des dispositions relatives à l'adoption de mesures provisionnelles dans la procédure de recours (cf. en particulier les art. 55 et 56 PA), mais pas dans la procédure administrative en amont. L'admissibilité de mesures provisionnelles dans la procédure administrative est toutefois reconnue, puisqu'elle découle directement du principe de l'application du droit matériel. Pour que le PFPDT puisse prendre des mesures provisionnelles dans le cadre d'une procédure d'enquête, il faut d'abord que l'on puisse s'attendre à un préjudice difficilement réparable. Contrairement à ce qui était encore le cas sous l'aLPD, ce préjudice ne doit pas nécessairement menacer les personnes concernées par le traitement des données, même si, dans la pratique, c'est à elles qu'il incombera le plus souvent. En outre, il doit y avoir une urgence correspondante pour l'ordonnance immédiate et celle-ci doit paraître appropriée, nécessaire et proportionnée à l'ensemble des circonstances pour la sauvegarde d'intérêts publics ou privés prépondérants. En tant que mesures provisoires, les mesures provisoires ne doivent pas préjuger de la situation qui sera finalement réglée, ni la rendre impossible. Au moment où les mesures provisoires sont discutées, l'issue de l'enquête relative à la protection des données est encore incertaine et seul un examen sommaire de la situation de fait et de droit peut être effectué. En conséquence, il convient certes d'établir un pronostic principal au cours de l'examen des mesures provisoires, mais celui-ci ne fait obstacle à une ordonnance provisoire que s'il est clairement négatif.
26Le contenu des ordonnances devrait s'orienter sur le catalogue des mesures administratives selon l'article 51 LPD. Il s'agira souvent d'interdire, au moyen d'ordonnances provisoires, des traitements de données potentiellement contraires à la protection des données pendant la durée de la procédure, afin d'éviter des dommages supplémentaires qui pourraient résulter de la poursuite sans changement du traitement en question pendant une enquête parfois complexe et de longue haleine.
Bibliographie
Baeriswyl Bruno, Kommentierung zu Art. 51 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Baeriswyl Bruno, Der «grosse Bruder» DSGVO und das revDSG: Ein vergleichender Überblick, SZW 2021, S. 8–15 (zit. Baeriswyl DSGVO-Vergleich).
Baeriswyl Bruno, Souveräner Rechtsschutz ist notwendig, digma 2017, S. 38–42 (zit. Baeriswyl Souveräner Datenschutz).
Baeriswyl Bruno, Kommentierung zu Art. 27 aDSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.
Baeriswyl Bruno, Kommentierung zu Art. 29 aDSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.
Brunner Stephan C., Mit rostiger Flinte unterwegs in virtuellen Welten? Leitgedanken zur künftigen Entwicklung des schweizerischen Datenschutzrechts, Jusletter 4.4.2011.
Huber René, Kommentierung zu Art. 27 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Huber René, Kommentierung zu Art. 29 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Huber René, Die Teilrevision des Eidg. Datenschutzgesetzes – ungenügende Pinselrenovation, recht 2006, S. 205–221.
Kugelmann Dieter/Buchmann Antonia, Kommentierung zu Art. 58 DSGVO, in: Schwartmann Rolf/Jaspers Andreas/Thüsing Gregor/Kugelmann Dieter (Hrsg.), Heidelberger Kommentar DS-GVO/BDSG, Heidelberg 2018.
Reudt-Demont Janine/Gordon Clara-Ann/Egli Luisa, Das revidierte Datenschutzgesetz: Wichtigste Neuigkeiten mit Fokus auf Gesundheitsdaten, LSR 2021, S. 264–269.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. Rosenthal nDSG).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz: Was uns erwartet und was noch zu korrigieren ist, Jusletter 27.11.2017 (zit. Rosenthal E-DSG).
Rosenthal David, Kommentierung zu Art. 29 aDSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rudin Beat, Verpasste Chance und Handlungsbedarf: Ein Blick auf die Datenschutzrechts-Reform(en) und die Wirksamkeit der Datenschutzaufsicht, digma 2020, S. 180–187.
Selmayr Martin, Kommentierung zu Art. 58 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, München 2017.
Thür Hanspeter, Rolle der Datenschutzbeauftragten: Aufgabe und Instrumente der Datenschutzbehörde im Wandel, digma 2003, S. 80–82.
Walter Jean-Philippe, «Vingt ans de législation sur la protection des données, rétrospectives et perspectives» – L’évolution du droit de la protection des données: perspectives, Jusletter 25.6.2012.
Matériaux
Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011, BBl 2012 S. 335 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2012/86/de/pdf-a/fedlex-data-admin-ch-eli-fga-2012-86-de-pdf-a.pdf, besucht am 28.6.2023.
Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 6.12.2019, BBl 2020 S. 565 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2020/60/de/pdf-a/fedlex-data-admin-ch-eli-fga-2020-60-de-pdf-a.pdf, besucht am 28.6.2023.
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 641 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2017/2057/de/pdf-a/fedlex-data-admin-ch-eli-fga-2017-2057-de-pdf-a.pdf, besucht am 28.6.2023.
Bundesgesetz über den Datenschutz, Änderung vom 24.3.2006, BBl 2006 S. 3547 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2006/373/de/pdf-a/fedlex-data-admin-ch-eli-fga-2006-373-de-pdf-a.pdf, besucht am 28.6.2023.
Durchführungsbeschluss 7281/19 des Rates der Europäischen Union zur Festlegung einer Empfehlung zur Beseitigung der 2018 bei der Evaluierung der Anwendung des Schengen-Besitzstands im Bereich des Datenschutzes durch die Schweiz festgestellten Mängel vom 8.3.2019, abrufbar unter https://data.consilium.europa.eu/doc/document/ST-7281-2019-INIT/de/pdf, besucht am 28.6.2023.
Normkonzept zur Revision des Datenschutzgesetzes – Bericht der Begleitgruppe Revision DSG vom 29.10.2014, abrufbar unter https://www.newsd.admin.ch/newsd/message/attachments/75506.pdf, besucht am 28.6.2023.