-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- EN BREF
- I. Généralités
- II. Conditions du consentement (art. 6 al. 6 LPD)
- III. Consentement explicite (art. 6 al. 7 LPD)
- IV. Révocation
- V. Conséquences juridiques en cas d'absence de consentement, de consentement non valable ou de consentement révoqué
- VI. Conseils pratiques
- VII. Critique de la norme
- Bibliographie
- Matériaux
EN BREF
L'art. 6 al. 6 et 7 LPD statuent les conditions de validité des consentements en matière de protection des données. Les cas dans lesquels un consentement est requis sont par contre réglés dans d'autres dispositions. Le contenu des nouvelles dispositions relatives au consentement est pour l'essentiel identique à celui de l'art. 4 al. 5 aDSG. Il a simplement été précisé qu'un consentement doit être donné pour un ou plusieurs traitements déterminés, ce qui était déjà le cas jusqu'à présent. En ce qui concerne le consentement explicite, le profilage nouvellement introduit a remplacé le profil de la personnalité prévu par l'ancien droit. Pour le reste, la situation juridique ne devrait pas être modifiée. Dans la mesure où un consentement est requis, il doit donc, comme auparavant, être donné librement pour un ou plusieurs traitements déterminés, après une information appropriée. Si un consentement est requis pour le traitement de données personnelles sensibles, pour un profilage à haut risque par une personne privée ou pour un profilage par un organe fédéral, il doit en outre être explicite. Toutefois, même dans ces cas, il n'y a pas d'exigence générale de consentement, bien que certains soutiennent le contraire. Dans le champ d'application du RGPD, le consentement est plus souvent utilisé comme base juridique d'un traitement en raison de la différence de concept (principe d'interdiction avec réserve d'autorisation) et les exigences relatives à un consentement valable sont globalement plus élevées que sous la LPD.
I. Généralités
A. Historique
1 Le contenu de l'art. 6, al. 6 et al. 7 LPD correspond pour l'essentiel à celui de l'art. 4, al. 5 aDSG, quelques modifications rédactionnelles ayant toutefois été apportées dans le cadre de la révision totale. Le consentement explicite a été séparé du consentement "ordinaire" et réglé dans un alinéa séparé. En outre, il a été précisé que le consentement doit porter sur un ou plusieurs traitements déterminés. Cette concrétisation a été effectuée dans l'optique d'un rapprochement avec la convention STE 108 révisée. Il n'en résulte toutefois aucune modification de la situation juridique. En outre, comme la notion de profil de la personnalité a été remplacée par celle de profilage dans le cadre de la révision totale, le consentement doit désormais être donné expressément pour un profilage à haut risque par des personnes privées ainsi que pour un profilage par des organes fédéraux.
2 Le critère du caractère univoque du consentement, introduit dans le projet, a été abandonné lors des débats parlementaires. Il avait également été introduit à l'origine dans l'optique d'un rapprochement avec la convention STE 108 révisée.
B. Systématique et délimitation
3 La loi suisse sur la protection des données est basée sur le principe de l'autorisation avec réserve d'interdiction. Selon ce principe, un traitement est en principe autorisé pour autant que les principes de traitement de l'art. 6 et la sécurité des données selon l'art. 8 LPD soient respectés, que les données personnelles ne soient pas traitées contrairement à la déclaration de volonté expresse de la personne concernée ou que des données personnelles sensibles ne soient pas communiquées à des tiers (art. 30 al. 2 LPD). Dans le cas contraire, il y a atteinte à la personnalité, qui peut être justifiée notamment par le consentement de la personne concernée (art. 31 al. 1 LPD).
4 L'art. 6 al. 6 et 7 LPD ne statuent donc pas sur une exigence générale de consentement, mais définissent uniquement les conditions dans lesquelles un consentement est valable. En revanche, la question de savoir si un tel consentement est nécessaire et dans quels cas est réglée ailleurs. De même, les cas visés à l'art. 6 al. 7 LPD (traitement de données personnelles sensibles, profilage à haut risque par une personne privée et profilage par un organe fédéral) ne requièrent pas en soi un consentement, même si certains soutiennent le contraire.
5 Malgré la position systématique des dispositions relatives au consentement sous l'art. 6 LPD intitulé "Principes", les conditions de validité des consentements ne constituent pas un principe de traitement en matière de protection des données. En particulier, il n'y a pas d'atteinte à la personnalité si les conditions du consentement ne sont pas respectées, bien que l'art. 30 al. 2 let. a LPD renvoie aux "principes" de l'art. 6 LPD. Pour cette raison, il aurait été préférable de déplacer les dispositions relatives au consentement vers les définitions de l'article 5 LPD.
C. Champ d'application
6 Pour les personnes privées, le consentement peut notamment justifier une atteinte à la personnalité (art. 31 al. 1 LPD). En outre, le consentement peut être pertinent pour les personnes privées dans les cas suivants : Pour la communication de données personnelles à l'étranger, en dérogation à l'article 16, al. 1 et 2 LPD (art. 17, al. 1, let. a LPD) ; pour des décisions individuelles automatisées, sans devoir respecter les conditions de l'article 21, al. 1 et 2 LPD (art. 21, al. 3, let. b LPD) ; dans le cadre du droit d'accès, pour la communication de données relatives à la santé par un professionnel de la santé (art. 25, al. 3 LPD).
7 Pour les organes fédéraux, le consentement peut remplacer au cas par cas l'exigence générale d'une base légale (art. 34 al. 4 let. b LPD) et ce, même en cas de communication de données personnelles à l'étranger (art. 36 al. 2 let. b LPD).
8 En outre, le consentement est également mentionné ailleurs dans la LPD et peut également être prévu par une loi spéciale. La question de savoir si et dans quelle mesure les conditions de la LPD s'appliquent dans ce cas n'est pas entièrement clarifiée, en particulier à l'intersection avec l'interdiction du spam selon l'art. 3 al. 1 let. o LCD. On part toutefois du principe que c'est le cas, du moins implicitement.
D. Comparaison avec le DSGVO
9 Le concept suisse se distingue fondamentalement du concept inverse du DSGVO. Celui-ci applique le principe d'interdiction avec réserve d'autorisation, selon lequel tout traitement de données personnelles est interdit, sauf s'il existe une base juridique pour le traitement (art. 6 RGPD). L'une de ces bases juridiques possibles est le consentement (art. 6 al. 1 let. a DSGVO). Ses conditions sont généralement décrites plus en détail à l'art. 4, point 11, et à l'art. 7 du RGPD, en ce qui concerne le consentement des enfants à l'art. 8 du RGPD et pour le traitement de catégories particulières de données personnelles, le consentement doit être explicite (art. 9, al. 2, let. a du RGPD).
10 Les conditions d'un consentement valable selon le RGPD sont plus strictes que celles de la LPD. Ainsi, un consentement valable selon le RGPD remplit en principe les exigences de la LPD, tandis qu'un consentement valable selon la LPD ne satisfait pas nécessairement aux exigences accrues du RGPD.
II. Conditions du consentement (art. 6 al. 6 LPD)
A. Généralités
11 Le consentement est soumis aux "limites" générales du droit de la personnalité, dont font partie les dispositions des art. 16 ss. CC (capacité de discernement) et l'art. 27 CC (engagement excessif). Le consentement doit être qualifié d'acte juridique unilatéral, raison pour laquelle le CO s'applique en particulier dans le domaine de l'interprétation du consentement (principe de confiance), des limites des art. 19 et 20 CO ainsi que des vices du consentement (art. 23 ss. CO).
B. Capacité de discernement
12 L'octroi d'un consentement en matière de protection des données constitue l'exercice d'un droit strictement personnel et peut donc être exercé de manière autonome par des personnes incapables de discernement (art. 19c al. 1 CC). En revanche, pour les personnes incapables de discernement, c'est en principe leur représentant légal qui agit (art. 19c al. 2 CC). Les parents peuvent donner un consentement pour les enfants incapables de discernement dans le cadre de leur représentation légale et dans la mesure de l'autorité parentale qui leur revient (art. 304 CC).
13 Est capable de discernement toute personne qui n'est pas dépourvue de la faculté d'agir raisonnablement en raison de certains états (enfance, handicap mental, troubles psychiques, ivresse ou autres) (art. 16 CC). En règle générale, la capacité de discernement est présumée chez les mineurs à partir de 13 ans. En raison de la relativité de la capacité de discernement, les exigences doivent être plus élevées, par exemple en cas de traitements complexes, de données personnelles sensibles et d'atteintes graves à la personnalité.
C. Moment
14 Le consentement doit en principe être donné avant le traitement des données, ce qui peut être par exemple avant la collecte ou la communication des données (cf. art. 5 let. d LPD). Si un consentement est requis et qu'il n'existe pas, le traitement de données correspondant est illégal.
15 Un consentement a posteriori au sens propre du terme est exclu. Toutefois, une autorisation a posteriori peut être envisagée, qui doit être interprétée comme une renonciation à faire valoir des droits. Jusqu'au moment de l'autorisation a posteriori, le traitement des données est toutefois illégal. En outre, l'autorisation a posteriori ne s'étend qu'au traitement de données pour lequel une information appropriée a été fournie initialement ou ultérieurement.
D. Un ou plusieurs traitements déterminés
16 Le critère selon lequel le consentement doit porter sur un ou plusieurs traitements déterminés a été ajouté lors de la révision totale. De ce fait, la formulation s'aligne globalement sur l'article 5 al. 2 de la convention STE 108 révisée, sans toutefois entraîner une modification de la situation juridique.
17 Comme dans l'ancien droit, il est nécessaire que le traitement soit suffisamment défini, notamment en ce qui concerne son étendue et sa finalité. La personne concernée doit pouvoir comprendre pour quels traitements elle donne son consentement. La portée concrète du consentement résulte de la déclaration de consentement et de l'information appropriée. Les descriptions de finalités générales telles que "l'amélioration de l'expérience de l'utilisateur", "à des fins publicitaires", "à des fins de sécurité informatique" ou "de recherche future", par exemple, ne sont pas suffisantes sans autres informations. Les traitements peuvent être limités ou non dans le temps. Toutefois, un consentement au cas par cas est parfois nécessaire.
18 Le consentement à plusieurs traitements n'implique pas que ceux-ci soient tous de même nature, mais il est également possible de consentir à différents traitements. Par ailleurs, un but de traitement tel que le traitement médical chez un médecin peut nécessiter différents traitements, par exemple l'échange de données personnelles sensibles avec d'autres spécialistes ou des assurances ainsi que le traitement à des fins de facturation.
19 La question de savoir dans quelle mesure les consentements généraux sont admissibles est controversée. Dans tous les cas, les limites du consentement doivent être claires et, en vertu du principe de proportionnalité, celui-ci doit être d'autant plus clair que le type et l'étendue du traitement sont sensibles. Ne sont donc pas admissibles les déclarations de consentement illimitées à n'importe quelle fin, pour n'importe quel traitement ou pour toutes les catégories de données personnelles par des responsables de traitement illimités. En revanche, il est par exemple permis d'autoriser l'ancien employeur à fournir des renseignements généraux à des employeurs potentiels, ce qui requiert un consentement exprès en cas de communication de données personnelles sensibles (comme des informations sur des absences dues à des maladies).
E. Information adéquate
20 Le consentement en matière de protection des données s'oriente vers le "consentement éclairé du patient", de sorte que toutes les informations doivent être communiquées dans un cas concret pour que la personne concernée puisse prendre une décision libre. En d'autres termes, il s'agit de faire en sorte que la personne concernée sache clairement ce à quoi elle consent, c'est-à-dire qu'elle connaisse la portée de son consentement. La question de savoir quelles informations concrètes doivent être fournies ne faisait déjà pas l'objet d'une appréciation uniforme sous l'ancien droit et ne le sera pas non plus sous le nouveau droit.
21 Selon l'avis défendu ici, les exigences en matière d'information adéquate peuvent s'inspirer du devoir d'information selon l'art. 19 LPD. En effet, l'information adéquate requise pour un consentement peut conduire à une exception au devoir d'information selon l'art. 19 LPD, car la personne concernée dispose déjà des informations correspondantes (art. 20 al. 1 let. a LPD).
22 Cela ne signifie pas pour autant que toutes les informations visées à l'art. 19 LPD doivent être fournies dans tous les cas comme base de l'information adéquate selon l'art. 6 al. 6 LPD, même si une telle approche intégrative peut s'imposer dans la pratique. Selon le point de vue défendu ici, l'information adéquate dans le cadre des consentements nécessite au moins les données suivantes :
Identité du responsable ;
Finalité du traitement ;
(catégories) de données personnelles traitées.
23 Le degré de détail de ces informations et la nécessité de fournir des informations supplémentaires dépendent des circonstances du cas d'espèce. En application du principe de proportionnalité, l'information adéquate doit en principe être d'autant plus claire que les données personnelles concernées sont sensibles. Par exemple, l'art. 16 al. 2 LRH concrétise, entre autres, pour les consentements à des projets de recherche, qu'il faut également informer sur les risques et les contraintes prévisibles ainsi que sur les mesures de protection des données personnelles collectées. Selon l'art. 8 al. 1 OHF, il faut en outre informer sur le droit de refus ou de révocation et sur les conséquences d'une révocation ainsi que, de manière générale, sur d'autres contenus nécessaires à la décision.
24 Contrairement à l'art. 7 al. 3 RGPD, la LPD n'exige en principe aucune information sur le droit de révocation et sur le fait que la révocation n'affecte pas la légalité du traitement fondé sur le consentement jusqu'à la révocation. L'absence d'information à ce sujet n'invalide donc pas le consentement donné.
25 Le RGPD exige en outre que le consentement puisse être révoqué aussi facilement qu'il a été donné. Le PFPDT a également exigé cela pour l'aDSG en se fondant sur le principe de la bonne foi. La loi ne contient toutefois aucun fondement à cet égard et cette opinion doit donc être rejetée. En revanche, le caractère volontaire du consentement peut être remis en question si celui-ci ne peut pas être retiré de manière raisonnable.
26 Certains estiment, conformément aux explications du message 2003, qu'il faut informer des conséquences négatives ou des inconvénients du refus du consentement. Selon le point de vue défendu ici, cela ne constitue pas le contenu nécessaire d'une information appropriée, mais peut, selon les conséquences négatives, remettre en question la validité du consentement en raison de son caractère non volontaire. En revanche, il convient d'informer sur les risques éventuels du traitement des données.
27 L'information adéquate doit en principe être fournie par le responsable du traitement. Il est toutefois possible d'obtenir le consentement pour le traitement par un tiers. Cela nécessite régulièrement la mention du nom du tiers, à moins que cette indication ne ressorte suffisamment clairement des circonstances, comme cela peut être le cas par exemple dans le cas de sociétés de groupe.
28 Les informations mises à disposition doivent être interprétées selon le principe de confiance, c'est-à-dire comme la personne concernée pouvait et devait les comprendre. Il faut partir du principe qu'il s'agit d'une personne moyennement compréhensive parmi les destinataires visés. Il faut donc rejeter l'opinion de la doctrine qui souhaite plutôt se baser sur les capacités de la personne concernée individuellement.
29 L'information appropriée doit être précise, transparente et compréhensible. Elle devrait être rédigée dans la langue dans laquelle le responsable fournit les prestations qui sont à la base du traitement. La forme de l'information peut être orale ou écrite ; pour des raisons de preuve, il est toutefois recommandé de fournir une preuve sous forme de texte. Si les informations relatives au traitement auquel le consentement est donné doivent être morcelées et rassemblées dans un document à partir de plusieurs endroits, cela peut constituer un argument contre l'existence d'une information adéquate.
30 Il doit être possible de prendre connaissance de l'information avant de donner le consentement. Un délai de réflexion peut être indiqué en fonction de la sensibilité du traitement. Ainsi, l'art. 16 al. 3 LRH exige par exemple l'octroi d'un délai de réflexion raisonnable avant que la personne concernée ne donne son consentement à un projet de recherche.
31 Le fait que l'information soit effectivement prise en compte n'a pas d'importance. Seul est déterminant le fait qu'il y ait eu une possibilité raisonnable de prendre connaissance de l'information. En cas d'acceptation globale, c'est-à-dire de consentement donné sans avoir pris connaissance de l'information (parce que celle-ci ne figure par exemple que dans des conditions générales liées ou dans une déclaration de protection des données), les clauses inhabituelles ne sont pas applicables (règle de l'inhabituel). Il peut donc être utile de mettre en évidence les aspects inhabituels.
F. Caractère volontaire
32 Le consentement doit être donné volontairement, c'est-à-dire être l'expression de la libre volonté de la personne concernée. Il existe une interaction avec la nécessité d'une information adéquate. En l'absence d'informations appropriées, le consentement ne peut pas être considéré comme volontaire. En outre, le consentement n'est pas libre lorsqu'il a été obtenu par tromperie, menace ou contrainte.
33 La LPD ne connaît pas d'interdiction de couplage inspirée de l'art. 7 al. 4 RGPD, dont l'existence et la portée sont controversées dans le cadre du RGPD. Néanmoins, le droit suisse connaît également des formes de couplage illicite du consentement, dont les obstacles sont toutefois plus élevés que dans le cadre du RGPD. Un consentement ne doit notamment pas être libre lorsqu'un refus de consentement entraîne un désavantage qui n'a aucun rapport avec la finalité du traitement ou qui est disproportionné par rapport à celle-ci. En revanche, un autre inconvénient résultant d'un refus de consentement n'affecte pas la validité du consentement.
34 Exemples : Le consentement à la vérification de la solvabilité en vue de l'obtention d'une carte de crédit est donné volontairement et est admissible, car sans consentement, le désavantage de ne pas obtenir la carte de crédit est proportionnel. L'impossibilité de participer à un programme d'assurance a un rapport direct avec le traitement des données pour lequel un consentement est demandé ; et le fait que l'on fasse de la publicité pour des avantages pécuniaires et des bonus en espèces d'un montant maximal de 75 CHF par an pour les personnes ayant uniquement une assurance de base ne remet pas non plus en question le caractère volontaire du consentement. En revanche, la menace de licenciement en cas de non-consentement à un traitement de données non prévu dans le contrat de travail est considérée comme non volontaire, car disproportionnée.
35 Le caractère volontaire n'est parfois admis que lorsqu'il existe une alternative raisonnable. Selon le point de vue défendu ici, il n'est pas nécessaire de disposer d'une alternative pour admettre le caractère volontaire, sauf dans des situations exceptionnelles (notamment en cas de position dominante sur le marché ou de dépendance sociale ou factuelle). C'est pourquoi la personne concernée peut en principe se voir refuser l'accès à une prestation si elle ne donne pas son consentement.
36 La question du caractère volontaire du consentement est particulièrement controversée dans les relations de travail. Certains affirment que le caractère volontaire nécessaire fait défaut dans ce contexte ou que tout traitement de données allant au-delà de l'art. 328b CO est illicite. D'autres auteurs considèrent que le cadre du caractère volontaire est simplement plus étroit, dans la mesure où, par exemple, les employés doivent disposer d'une alternative raisonnable. La doctrine dominante et le PFPDT considèrent qu'un traitement de données allant au-delà de l'art. 328b al. 1 CO n'est admissible que s'il est avantageux pour les employés ou dans leur intérêt (art. 362 CO). D'autres auteurs considèrent que des consentements dérogeant à l'art. 328b CO, même en défaveur des employés, sont valables dans certaines circonstances. Selon le Tribunal fédéral, un traitement de données contraire à l'art. 328b CO est certes illégal, mais peut être fondé sur un motif justificatif selon l'art. 13 aDSG. Selon ce point de vue, l'art. 328b CO est donc un principe de traitement et non une norme d'interdiction. Les explications succinctes à ce sujet sont toutefois critiquées par la doctrine. Le Tribunal fédéral a par la suite confirmé son point de vue, sans toutefois se référer à sa décision antérieure.
37 Selon l'opinion défendue ici, les consentements ne sont pas exclus en soi dans les rapports de travail et il est possible de consentir à des traitements qui vont au-delà de l'art. 328b al. 1 CO. L'élément déterminant est de savoir si l'on a été informé de manière adéquate et si l'on peut partir du principe que le consentement est effectivement libre, c'est-à-dire qu'il peut être refusé sans conséquences négatives. Par exemple, il est possible de consentir à la publication sur Internet de photos de collaborateurs sans contact avec la clientèle, voire à des fins publicitaires, dans la mesure où l'on a été informé du traitement correspondant et où les employés disposent d'une liberté de choix effective. La position de l'employé ainsi que le cycle de vie de l'employé (candidature, contrat de travail en cours, fin du contrat) peuvent être déterminants pour cette évaluation. En revanche, il faudrait partir du principe qu'il n'y a pas de libre choix dans le dernier exemple cité au n. 34.
38 Dans le contexte européen, il convient de prendre en compte la question du caractère volontaire, surtout dans le domaine des bannières de cookies, de ce que l'on appelle les dark patterns ou le nudging. Le fait d'inciter l'utilisateur à donner son consentement, par exemple en utilisant des couleurs et des tailles différentes pour les boutons "Accepter" et "Refuser" ou en augmentant la charge de travail pour le refus (par exemple en ne proposant un bouton "Refuser tout" qu'au deuxième niveau de présentation, après avoir cliqué sur "Continuer"), remet en question le caractère volontaire selon la jurisprudence et l'avis des autorités de surveillance. Il n'est pas certain que cette évolution prenne de l'importance en Suisse. En effet, selon le droit suisse, il n'est en principe pas nécessaire d'obtenir le consentement pour les cookies. L'art. 45c let. b LTC, déterminant à cet égard, exige seulement que les utilisateurs soient "informés du traitement et de son but et qu'ils soient avertis qu'ils peuvent refuser le traitement". A cet égard, il convient toutefois d'observer l'évolution future, car le PFPDT et d'autres voix s'accordent à dire que le tracking constitue en règle générale une atteinte à la personnalité qui doit être justifiée.
39 Le DSGVO exige que le consentement puisse être donné de manière granulaire pour différentes opérations de traitement. C'est l'une des raisons pour lesquelles les bannières de cookies conformes au droit européen offrent souvent la possibilité de donner son consentement séparément pour chaque cookie. On peut certes discuter de la pertinence d'une telle granularité pour les cookies. Il est en effet peu probable qu'une personne souhaite donner son consentement pour certains cookies et pas pour d'autres. Comme une telle exigence de granularité ne peut en tout cas pas être déduite de la LPD, elle peut tout au plus être exigée dans des cas exceptionnels.
G. Unicité
40 Le projet de LPD prévoyait encore que le consentement devait être donné "sans équivoque". Le message précise à ce sujet que la déclaration de la personne concernée doit faire apparaître sa volonté sans équivoque, ce qui dépend des circonstances du cas d'espèce, et que le consentement doit être d'autant plus clair, en vertu du principe de proportionnalité, que les données personnelles en question sont sensibles.
41 Le Parlement a toutefois abandonné l'exigence de clarté et ne l'a donc pas reprise dans le texte de l'art. 6 al. 6 LPD. Le fait que le message se réfère à ce critère a apparemment semé la confusion dans la doctrine.
42 Le message de 2003 avait déjà précisé qu'en vertu du principe de proportionnalité, le consentement devait être d'autant plus clair que les données personnelles en question étaient sensibles. La clarté de la déclaration de volonté est donc concernée, ce qui établit des parallèles avec le critère de "l'acte confirmant sans équivoque" que l'on trouve dans le DSGVO. En tant qu'alternative à la "déclaration", il s'agit du deuxième cas d'application de la "manifestation de volonté sans équivoque" selon l'article 4, point 11, du DSGVO. En l'absence d'un critère correspondant dans la LPD, on ne peut toutefois pas en déduire, contrairement au RGPD, que le consentement au moyen de cases pré-cochées, par exemple, n'est pas admissible. Cela n'est pas non plus nécessairement en contradiction avec la condition du "privacy by default" selon l'art. 7 al. 3 LPD.
43 En revanche, une interprétation du critère de clarté conforme à la convention STE 108 révisée exigerait qu'un consentement soit donné "sans équivoque". Cette exigence peut se rapporter tant à la forme qu'au contenu de la déclaration. Le message laisse entendre que l'élément se référait à la forme. Dans la mesure où cela devrait être le cas, le législateur a tenu compte de cette exigence de forme en précisant qu'un consentement donné par silence n'est en principe pas suffisant. Dans la mesure où le contenu doit être concerné, le principe selon lequel les exigences varient en fonction du principe de proportionnalité s'applique de toute façon. En droit suisse, le critère de l'unicité n'aurait donc pas de signification propre.
H. Forme
44 Le consentement peut être donné sans forme particulière. Hormis les exceptions prévues par la loi, les consentements oraux sont donc également possibles. Étant donné que la charge de la preuve d'un consentement incombe au responsable du traitement des données, un consentement pouvant être documenté s'impose toutefois. Cela relativise, du moins dans les faits, la liberté de forme fondamentale.
45 En principe, les consentements peuvent également être obtenus dans le cadre de conditions générales. Si une reprise globale est effectuée, la règle de l'inhabituel s'applique, selon laquelle les consentements inhabituels au détriment de la personne concernée ne sont pas valables. En outre, la règle de l'ambiguïté s'applique, selon laquelle les formulations peu claires sont en cas de doute à la charge de l'auteur.
46 Hormis le cas où l'art. 6 al. 7 LPD exige une expression explicite, le consentement peut également être donné de manière implicite. Dans ce cas, la déclaration de volonté ne résulte pas de la déclaration elle-même, mais d'un comportement qui, au vu des circonstances, peut être compris comme une expression claire de la volonté. C'est le cas, par exemple, lorsque la personne concernée rend elle-même ses données accessibles.
47 Pour le consentement implicite, on utilise souvent le synonyme de consentement tacite, ce qui est toutefois à éviter. En effet, le silence ou l'inaction n'entraîne en principe pas un consentement valable (cf. art. 6 CO), à moins que les parties n'aient convenu que le silence valait consentement.
48 Dans des cas exceptionnels, un consentement présumé est envisageable en cas d'urgence, par exemple dans le cas de patients inconscients. L'importance de tels consentements est toutefois négligeable, car dans ces cas, une justification fondée sur l'intérêt prépondérant de la personne concernée s'appliquerait de toute façon. Une distinction est parfois faite entre le consentement présumé et le consentement hypothétique. Ainsi, le consentement est valable malgré l'absence d'informations adéquates, car la personne concernée aurait donné son consentement même si elle avait été informée de manière complète. Il n'y a en revanche guère de place pour cela, sauf si la personne concernée l'autorise ultérieurement sous la forme d'une renonciation à faire valoir ses droits.
III. Consentement explicite (art. 6 al. 7 LPD)
49 Si un consentement est requis pour le traitement de données personnelles sensibles, un profilage à haut risque par une personne privée ou un profilage par un organe fédéral, celui-ci doit être explicite. Il n'y a donc pas non plus d'exigence générale de consentement pour ces opérations de traitement. Bien que des déclarations faites lors des débats parlementaires aient parfois suggéré le contraire, que le libellé de l'art. 6, al. 7, LPD ne l'anticipe pas en introduction, contrairement à celui de l'art. 6, al. 6, LPD, et que le PFPDT et la doctrine défendent en partie le contraire, cela résulte de la clarification apportée lors des débats parlementaires et du fait qu'aucune modification de la situation juridique ne devrait intervenir.
50 Le critère de l'expressivité doit être pris en compte en plus des conditions de l'art. 6 al. 6 LPD. L'art. 4 al. 5 aDSG ainsi que l'avant-projet de LPD l'exprimaient mieux, car le consentement "normal" ainsi que le consentement explicite étaient réglés dans le même alinéa et l'ajout "en outre" l'avait précisé.
51 La question de savoir si l'élément de renforcement de l'expressivité se rapporte uniquement à la forme ou également au contenu du consentement est controversée. En ce qui concerne la forme, l'expression est comprise comme le contraire de l'implicite. Un consentement écrit n'est toutefois pas exigé. En vertu de l'art. 1 CO, la question de l'expressivité est déterminée par le fait que la volonté exprimée ressort directement de la déclaration de volonté sous forme de mots écrits ou parlés ou d'un signe. En d'autres termes, l'expression de la volonté en tant que telle doit déjà, par sa manière, apporter une clarté sur la volonté. Des exemples de signes explicites sont le fait de cocher activement une case, de sélectionner activement certains paramètres techniques pour des services informatiques, de hocher la tête en signe de consentement dans le cadre de traitements médicaux ou d'ouvrir la bouche pour prélever la muqueuse de la joue après avoir été informé en conséquence. Pour des raisons de charge de la preuve, un consentement pouvant être documenté s'impose toutefois à nouveau.
52 Selon une partie de la doctrine et le PFPDT, l'expressivité se réfère également au contenu. Dans le cas d'un consentement explicite, le comportement affirmatif doit se référer au traitement de données concerné et non pas seulement à l'acte qui a pour seule conséquence ce traitement de données. Un consentement à la réception de publicité personnalisée n'impliquerait donc pas un consentement explicite au profilage à haut risque sur lequel repose la publicité.
53 Selon le point de vue défendu ici, l'exigence d'expressivité se réfère à la forme du consentement et non à son contenu. Le message 2003 précise que "le consentement n'est pas lié à une forme particulière et peut être donné tacitement ou de manière implicite, pour autant qu'il ne s'agisse pas du traitement de données sensibles ou de profils de la personnalité. Aujourd'hui déjà, conformément au principe de proportionnalité, on part du principe que le consentement doit être d'autant plus clair que les données personnelles en question sont sensibles". Pour la deuxième phrase, le message renvoie à une référence bibliographique qui comprend expressément comme terme opposé à implicite. L'élément d'interprétation historique confirme cette constatation, d'autant plus que, selon le message de 2017, il ne faut pas s'écarter de la situation juridique actuelle.
IV. Révocation
54 Un consentement peut être révoqué à tout moment et sans justification. Une révocation en temps inopportun peut toutefois entraîner une obligation de dédommagement. Une révocation n'a d'effet que pour l'avenir, de sorte que la légalité des traitements déjà effectués n'est pas affectée par la révocation. Les traitements de données effectués jusqu'à présent peuvent toutefois être contestés en raison de vices de consentement. Les données traitées sur la base d'un consentement doivent être effacées le cas échéant, dans la mesure où il n'existe pas d'autre justification pour la poursuite du traitement sous la forme d'une conservation permanente.
55 Selon le Tribunal fédéral, les biens de la personnalité qui ne font pas partie du noyau de l'existence humaine, tels que le nom, la voix ou l'image, peuvent être aménagés de manière irrévocable, dans la mesure où les intérêts économiques sont au premier plan de l'engagement contractuel. Il n'est toutefois pas évident de savoir dans quelle mesure ces considérations sur le droit à l'image peuvent être généralisées. En effet, dans le cas à juger, il était notamment décisif qu'une révocation soit possible contre le paiement d'une indemnité de résiliation modérée sous forme de peine conventionnelle.
V. Conséquences juridiques en cas d'absence de consentement, de consentement non valable ou de consentement révoqué
56 Si un traitement déterminé nécessite un consentement et que celui-ci n'est pas donné (à temps) ou qu'il ne remplit pas les conditions de validité, le traitement correspondant est illicite ou constitue une atteinte à la personnalité. Si un traitement est poursuivi malgré la révocation d'un consentement, il s'agit également d'une atteinte à la personnalité (art. 30 al. 2 let. b LPD).
57 Dans ces cas, un responsable peut invoquer subsidiairement d'autres motifs justificatifs (art. 31 LPD). En revanche, si aucun autre motif justificatif ne s'applique, il existe des droits à l'encontre des responsables privés (art. 32 al. 2 LPD) ou des organes fédéraux (art. 41 LPD) et, le cas échéant, des mesures d'enquête et administratives sont prises par le PFPDT (art. 49 ss LPD).
58 Une violation de l'art. 6 al. 6 et 7 LPD n'est pas directement punissable. Une sanction indirecte est toutefois envisageable, notamment en cas de communication de données personnelles à l'étranger sur la base d'un consentement non valable ou révoqué, dans la mesure où la communication s'est poursuivie sur la base de cette situation de consentement (art. 61 let. a en relation avec l'art. 17 al. 1 let. a LPD). En outre, notamment dans le domaine de la publicité de masse électronique, une sanction selon l'art. 23 LCD est possible en cas d'absence de consentement conformément à l'art. 3 al. 1 let. o LCD.
VI. Conseils pratiques
59 Dans la pratique, un consentement est parfois demandé pour des traitements qui n'en nécessitent pas. Certains argumentent que le principe de transparence ou le principe de la bonne foi s'opposent à l'obtention de consentements non nécessaires. Une telle sévérité n'est généralement pas indiquée, car la question de la nécessité d'un consentement est souvent liée à une insécurité juridique. Toutefois, étant donné qu'un consentement peut être révoqué à tout moment, il convient d'examiner d'abord d'autres motifs de justification.
60 Sur Internet, on trouve souvent des formules telles que "J'accepte la déclaration de confidentialité", "J'accepte la déclaration de confidentialité" ou des formules similaires. Or, une déclaration de protection des données ne doit informer qu'unilatéralement et ne doit pas constituer un contrat bilatéral. En cas de reprise globale, la règle de l'inhabituel a en outre un effet restrictif. La déclaration de protection des données ne devrait donc être mise en lien et les consentements devraient être obtenus séparément et avec retenue.
VII. Critique de la norme
61 Selon le message relatif à la nouvelle loi sur la protection des données, l'une des lignes directrices de la révision était de renforcer les droits des personnes concernées, ce à quoi devait également contribuer la définition plus précise des conditions d'un consentement valable de la personne concernée. Il est peu probable que cet objectif soit atteint par la précision des conditions du consentement. En effet, d'une part, la situation juridique n'a pas été modifiée. D'autre part, les déclarations de consentement, tout comme les déclarations de protection des données, sont rarement lues. Il peut en résulter une "surcharge d'informations" ainsi qu'une fatigue du clic, surtout si, en plus d'une déclaration de consentement relevant du droit de la protection des données, un consentement est demandé dans les conditions générales et que la déclaration de protection des données est portée à la connaissance des personnes concernées.
Bibliographie
Aebi-Müller Regina E., Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005.
Aebi-Müller Regina E. Grenzen des Bildnisschutzes – überwiegendes Interesse des Versicherers an der Observation eines Geschädigten und Rückzug einer Einwilligung zur Publikation erotischer Bilder im Internet, ZBJV 147 (2011), S. 330-354 (zit. ZBJV).
Baeriswyl Bruno, Kommentierung zu Art. 6, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Bühlmann Lukas/Schüepp Michael, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, Jusletter 15.3.2021.
Dal Molin Luca, in: Dal Molin Luca/Wesiak-Schmidt Kirsten (Hrsg.), Datenschutz im Unternehmen, Zürich et al. 2023.
Domenig Benjamin/Mitscherlich Christian/Lutz Chantal, Datenschutzrecht für Schweizer Unternehmen, Stiftungen und Vereine, Bern 2022.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Datenbearbeitung durch den Arbeitgeber, 24.4.2023, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeit_wirtschaft/datenbearbeitung-arbeitgeber.html, besucht am 14.10.2023 (zit. Arbeitgeber).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Schlussbericht und Empfehlungen vom 3.3.2023 mit Ergänzungen vom 17.5.2023 in Sachen Once Dating AG (zit. Schlussbericht Once Dating).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Schlussbericht vom 11.4.2006 sowie Anhang vom 6.11.2006 in Sachen Erhebung biometrischer Daten beim Erwerb einer Dauerkarte in den Sport- und Freizeitanlagen KSS Schaffhausen (zit. Schlussbericht KSS Schaffhausen).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Tracking, 12.4.2023, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/internet_technologie/tracking.html, besucht am 14.10.2023 (zit. Tracking).
European Data Protection Board (EDPB), Leitlinien 05/2020 zur Einwilligung gemäss Verordnung 2016/679, Version 1.1, angenommen am 4.5.2020, abrufbar unter https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf, besucht am 14.10.2023.
Fasnacht Tobias, Die Einwilligung im Datenschutzrecht, Zürich 2017.
Ferrari-Visca Reto/Reichlin Jeremy, in: Dal Molin Luca/Wesiak-Schmidt Kirsten (Hrsg.), Datenschutz im Unternehmen, Zürich et al. 2023.
George Damian, Prinzipien und Rechtmässigkeitsbedingungen im privaten Datenschutzrecht, Zürich 2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 19 DSG, in: Steiner Thomas/Morand Anne-Sophie/ Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz, 20.8.2023, abrufbar unter https://onlinekommentar.ch/de/kommentare/dsg19, besucht am 14.10.2023, DOI: https://doi.org/10.17176/20230820-133017-0.
Haas Raphaël, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Zürich 2007.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Zürich et al. 2021.
Klaus Samuel/Thomann Kenzo, Kommentierung zu Art. 6 Abs 6 und 7 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Kurt Pärli, Kommentierung zu Art. 328b OR, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Kurt Pärli, BGer 4A_518/2020: Rechtswidrige Beschaffung von Arbeitnehmerpersonendaten, Jusletter 14.2.2022 (zit. Arbeitnehmerpersonendaten).
Kunz Christian, Kommentierung zu Art. 16 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Maurer-Lambrou Urs/Steiner Andrea, Kommentierung zu Art. 4 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Meier Philippe/Tschumy Nicolas, Kommentierung zu Art. 6 DSG, in: Métille Sylvain/Meier Philippe (Hrsg.), Commentaire Romand, Loi sur la protection des données, Basel 2023.
Pellascio Michael, Kommentierung zu Art. 328b OR, in: Kren Kostkiewicz Jolanta/Wolf Stephan/Amstutz Marc/Fankhauser Roland, Orell Füssli Kommentar zum Schweizerischen Obligationenrecht, 3. Aufl., Zürich 2016.
Pfaffinger Monika, Kommentierung zu Art. 31 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Pietruszak Thomas, Kommentierung zu Art. 328b OR, in: Honsell Heinrich (Hrsg.), Kurzkommentar Obligationenrecht, Basel 2014.
Portmann Wolfgang/Rudolph Roger, Kommentierung zu Art. 328b OR, in: Widmer Lüchinger Corinne/Oser David (Hrsg.), Basler Kommentar Obligationenrecht I, 7. Aufl., Basel 2020.
Rampini Corrado, Kommentierung zu Art. 13 DSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Rehbinder Manfred/Stöckli Jean-Fritz, Kommentierung zu Art. 328b OR, in: Hausheer Heinz/Walter Hans Peter (Hrsg.), Berner Kommentar, Einleitung und Kommentar zu den Art. 319-330b OR, Zürich 2010.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. nDSG).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz, Jusletter 27.11.2017 (zit. Entwurf).
Rosenthal David, Der Vorentwurf für ein neues Datenschutzgesetz: Was er bedeutet, Jusletter 20.2.2017 (zit. Vorentwurf).
Rosenthal David/Jöhri Yvonne, Kommentierung zu Art. 4 und 13 DSG, Art. 328b OR, Art. 45c FMG, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Schulz Sebastian, Kommentierung zu Art. 7 DSGVO, in: Gola Peter/Heckmann Dirk, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2022.
Spacek Dirk, Kommentierung zu Art. 7 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Steiner Thomas, Zwischen Autonomie und Angleichung: Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz: Rechtliche Schnittstellen, Zürich 2023, S. 51-138.
Steiner Thomas/Laux Christian, Kommentierung zu Art. 30 und 31 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Streiff Ullin/von Kaenel Adrian/Rudolph Roger, Arbeitsvertrag, Praxiskommentar zu Art. 319-362 OR, 7. Aufl., Zürich 2012.
Uttinger Ursula/Geiser Thomas, Das neue Datenschutzrecht, Basel 2023.
Vasella David, Kommentierung zu Art. 3 Abs. 1 lit. o UWG, in: Heizmann Reto/Loacker Leander D., UWG Kommentar, Zürich et al. 2018.
Vasella David, Zur Freiwilligkeit und zur Ausdrücklichkeit der Einwilligung im Datenschutzrecht, Jusletter 16.11.2015 (zit. Einwilligung).
Vasella, EDÖB: Schlussbericht und Empfehlungen iS Once Dating, datenrecht.ch, 19.6.2023, abrufbar unter https://datenrecht.ch/edoeb-schlussbericht-und-empfehlungen-is-once-dating, besucht am 14.10.2023 (zit. Once Dating).
Matériaux
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 14.10.2023 (zit. Botschaft 2017).
Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8.11.2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19.2.2003, BBl 2003 S. 2101 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2003/267/de, besucht am 14.10.2023 (zit. Botschaft 2003).
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II S. 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 14.10.2023 (zit. Botschaft 1988).
Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung (Weiterentwicklung des Schengen-Besitzstands), BBl 2017 S. 7193 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2058/de, besucht am 14.10.2023 (zit. Entwurf DSG).