-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Conseiller à la protection des données du responsable privé
- III. Conseiller à la protection des données auprès des organes fédéraux (art. 10 al. 4 LPD)
- Bibliographie
- Matériaux
En bref
L'art. 10 LPD règle la nomination et les tâches du conseiller à la protection des données ainsi que les conditions d'utilisation de la réglementation d'exception selon l'art. 23 al. 4 LPD. L'institution du conseiller à la protection des données permet aux entreprises privées de s'autoréguler. La nomination d'un conseiller à la protection des données est facultative pour le responsable privé, mais en cas de désignation, il peut bénéficier de la dérogation qui permet, sous certaines conditions, de renoncer à la consultation du PFPDT lors d'une analyse d'impact relative à la protection des données (AIPD).
I. Généralités
A. Introduction
1 L'art. 10 LPD règle la nomination et les tâches du conseiller à la protection des données ainsi que les conditions d'utilisation de la réglementation d'exception prévue à l'art. 23 al. 4 LPD. L'art. 23 OLPD concrétise les exigences posées à un responsable privé qui fait appel à un conseiller à la protection des données. L'institution du conseiller à la protection des données permet aux entreprises privées de s'autoréguler ou d'engager une personne chargée de piloter la protection des données dans l'entreprise.
2 Avec l'introduction de la nouvelle disposition relative au conseiller à la protection des données à l'art. 10 LPD, la consultation - obligatoire sous certaines conditions - du PFPDT dans le cadre d'une AIPD est désormais facilitée. Ainsi, un projet de traitement de données d'un responsable privé qui présente encore un "risque élevé" malgré la réalisation de la DSFA ne doit plus être soumis au PFPDT si le conseiller à la protection des données a déjà été consulté (art. 23 al. 4 LPD). Une entreprise qui a nommé un conseiller à la protection des données peut donc se baser uniquement sur le conseil interne en matière de protection des données, sans devoir consulter le PFPDT.
3 La nomination d'un conseiller à la protection des données est facultative pour le responsable privé. Sous l'ancien droit, la nomination d'un "responsable de la protection des données" (comparable dans sa conception) dispensait les entreprises de l'obligation de déclarer au PFPDT leurs fichiers, par ailleurs soumis à l'obligation d'enregistrement. Avec la révision, l'obligation d'enregistrement disparaît de manière générale pour les particuliers.
4 Alors que la désignation d'un conseiller à la protection des données est facultative pour le responsable privé, elle est obligatoire pour les organes fédéraux (art. 10 al. 4 LPD en relation avec les art. 25 ss OLPD). Le Conseil fédéral règle à l'art. 25 OLPD la nomination, à l'art. 26 OLPD les exigences et les tâches du conseiller à la protection des données des organes fédéraux. L'art. 27 OLPD définit les obligations des organes fédéraux envers le conseiller à la protection des données et l'art. 28 OLPD définit le conseiller à la protection des données comme point de contact avec le PFPDT.
B. Remarque de droit comparé
1. Obligation de désigner un délégué à la protection des données selon le DSGVO
5 Avec l'entrée en vigueur du DSGVO, l'Union européenne a introduit dans certains cas l'obligation de nommer un soi-disant délégué à la protection des données. L'art. 37 al. 1 RGPD mentionne trois groupes de cas dans lesquels un délégué à la protection des données doit être désigné.
6 Tout d'abord, selon l'art. 37 al. 1 let. a du RGPD, cette obligation s'applique aux autorités et aux organismes publics, à l'exception des tribunaux, dans la mesure où ils agissent dans le cadre de leur activité judiciaire. Il s'agit par exemple des autorités de construction, des fournisseurs d'eau et d'énergie ou des entreprises de transport.
7 En outre, l'art. 37 al. 1 RGPD prescrit à la let. b une obligation de désignation lorsque l'activité principale du responsable du traitement ou du sous-traitant consiste à effectuer des opérations de traitement qui, en raison de leur nature, de leur portée et/ou de leurs finalités, exigent une surveillance régulière et systématique étendue des personnes. Le considérant 97 du RGPD explique que l'activité principale d'un responsable du traitement se rapporte à "ses activités principales et non au traitement de données à caractère personnel en tant qu'activité secondaire". Le groupe de travail "Article 29" de la Commission européenne a publié des lignes directrices sur ce sujet dans les WP 243 concernant les délégués à la protection des données ("DPD"). L'"activité principale" est donc le flux de travail principal nécessaire pour atteindre les objectifs du responsable du traitement ou du sous-traitant. La surveillance est "régulière" si elle est continue ou périodique et "systématique" si elle suit une approche méthodique ou organisée ou si elle fait partie d'une stratégie plus large. On peut citer comme exemple les entreprises de sécurité privées qui surveillent les centres commerciaux privés et les lieux publics, ou les applications dont la fonctionnalité principale nécessite l'analyse de données de localisation (par exemple les applications sportives ou de navigation).
8 Enfin, l'article 37 al. 1 let. c du RGPD prévoit l'obligation de désigner un délégué à la protection des données dans les cas où l'activité principale du responsable du traitement ou du sous-traitant consiste en un traitement à grande échelle de catégories particulières de données à caractère personnel conformément à l'article 9 du RGPD ou de données à caractère personnel relatives à des condamnations pénales et à des infractions conformément à l'article 10 du RGPD. Le caractère étendu d'un traitement au sens de cette disposition doit être déterminé au cas par cas, en tenant compte par exemple de la quantité de données traitées ou du nombre de personnes concernées. On peut citer comme exemple le traitement de données de patients dans le cadre des activités habituelles d'un hôpital ou le traitement de données de clients dans le cadre des activités habituelles d'une compagnie d'assurance.
2. Obligation de désigner un délégué à la protection des données en vertu de la réglementation spécifique à chaque pays.
9 Les réglementations spécifiques aux Länder peuvent prévoir des dispositions plus étendues en vertu desquelles un délégué à la protection des données doit être désigné. Ainsi, la loi fédérale allemande sur la protection des données (BDSG) prévoit l'obligation de désigner un délégué à la protection des données si au moins 20 personnes sont employées en permanence pour le traitement automatisé de données à caractère personnel (article 38 al. 1, phrase 1 BDSG). Par ailleurs, la BDSG mentionne à l'article 38 al. 1, 2e phrase, deux autres scénarios dans lesquels les entreprises doivent désigner un délégué à la protection des données, quel que soit le nombre de personnes impliquées dans le traitement : D'une part, dans les cas où une DSFA est nécessaire en vertu de l'article 35 du DSGVO et, d'autre part, dans les constellations où elles traitent des données à caractère personnel à des fins commerciales pour les transmettre de manière anonyme ou à des fins d'études de marché ou d'opinion.
C. Notion
10 L'ancienne LPD utilisait en allemand le terme de "Datenschutzverantwortlicher" et en italien celui de "responsabile per la protezione dei dati", alors que la version française parle de "conseiller à la protection des données", c'est-à-dire de "Datenschutzberater" (art. 11a al. 5 let. e aDSG). Afin d'éviter toute confusion avec le "responsable" au sens de l'art. 5 let. i LPD ou avec le "responsabile", la révision de la LPD a introduit en allemand le terme de "Datenschutzberaterin und Datenschutzberater" ou en italien celui de "consulente per la protezione dei dati". La terminologie de l'article 10 LPD a ainsi été uniformisée dans les trois langues.
11 Parallèlement, il a été précisé que la responsabilité du traitement des données personnelles conforme à la protection des données n'incombe pas au conseiller à la protection des données, mais à l'entreprise responsable, le "responsable".
II. Conseiller à la protection des données du responsable privé
A. Nomination du conseiller à la protection des données (art. 10 al. 1 LPD)
1. Caractère volontaire de la nomination d'un conseiller à la protection des données
12 L'art. 10 al. 1 LPD stipule que la désignation d'un conseiller à la protection des données est facultative pour les responsables privés. Selon la LPD, le responsable privé est donc libre de désigner ou non un conseiller à la protection des données. Toutefois, une entreprise qui a désigné un conseiller à la protection des données conformément à l'art. 10 al. 3 LPD peut, après avoir effectué une AIPD, se fonder uniquement sur le conseil interne en matière de protection des données, même si le risque reste élevé, sans devoir en outre consulter le PFPDT (art. 23 al. 4 LPD).
13 Les entreprises actives au niveau international doivent toutefois respecter les dispositions du RGPD et sont donc souvent tenues de désigner un délégué à la protection des données conformément à l'art. 37 RGPD.
14 En outre, il est dans l'intérêt de chaque entreprise de garantir une protection des données efficace et effective au sein de son organisation, dans le sens d'une conformité appropriée. Il est donc souvent recommandé de désigner au moins un service de protection des données en interne et de lui confier des tâches relatives à la protection des données. Cette personne ne doit pas remplir les exigences de l'art. 10 al. 3 LPD. Toutefois, si elle ne remplit pas les exigences de l'art. 10 al. 3, l'entreprise ne peut pas non plus bénéficier des allégements de l'art. 24 al. 3 LPD.
15 En cas de désignation d'une telle personne ou d'un tel service, il convient d'éviter toute ambiguïté quant à l'intitulé de sa fonction, son statut, sa position et son champ d'action. La désignation de la fonction au sein de l'entreprise ainsi qu'à l'égard du PFPDT et des personnes concernées devrait donc déjà indiquer clairement qu'il ne s'agit pas d'un conseiller à la protection des données au sens de l'art. 10 al. 3 LPD. Il est recommandé de choisir une autre désignation pour cette fonction, par exemple service de protection des données, personne de contact pour la protection des données, coordinateur de la protection des données ou privacy officer. L'entreprise responsable est libre de répartir les tâches comme elle l'entend. Les tâches doivent néanmoins être clairement définies dans un cahier des charges.
2. Désignation d'un conseiller interne ou externe en matière de protection des données.
16 L'entreprise responsable peut désigner comme conseiller à la protection des données une personne interne ou une personne ou un service externe.
17 Le conseiller à la protection des données interne est un employé ou un service d'une entreprise qui s'occupe de manière ciblée de la protection des données dans l'entreprise concernée. Dans les grandes entreprises, il est régulièrement assisté, à un niveau hiérarchique inférieur, par ce que l'on appelle des gestionnaires de la protection des données ou des propriétaires de données (data owners), qui sont responsables de la protection des données dans leur domaine respectif, par exemple pour l'établissement et la tenue du registre des activités de traitement (art. 12 LPD).
18 Les conseillers à la protection des données externes sont en revanche des personnes physiques ou morales qui proposent la prestation de protection des données (Data Protection as a Service) et agissent sur la base d'un contrat de mandat. Dans ce cas également, il convient de désigner en interne une personne de contact qui servira d'interlocuteur à l'entreprise et aux collaborateurs pour les questions de protection des données.
19 L'avantage d'un conseiller interne en matière de protection des données est son intégration dans l'entreprise elle-même, ce qui lui permet d'avoir une meilleure vue d'ensemble des processus internes. Il peut en outre vérifier directement et influencer le fait que la protection des données est "vécue" dans la culture de l'entreprise et n'existe pas seulement sur le papier. En revanche, le fait d'être trop proche de l'entreprise et des collaborateurs peut être un inconvénient, car cela peut entraîner des conflits d'intérêts. Souvent, les ressources et le savoir-faire correspondants font également défaut ou il existe des conflits d'intérêts pour garantir une protection adéquate des données dans l'entreprise. Dans de telles situations, il est judicieux de confier le mandat du conseiller à la protection des données à l'extérieur.
3. Désignation d'un conseiller à la protection des données commun pour un groupe d'entreprises
20 Pour un groupe d'entreprises, il est possible de désigner un conseiller à la protection des données commun. Celui-ci doit cependant être facilement accessible aux personnes concernées et au PFPDT en tant qu'interlocuteur interne à l'organisation par le biais de canaux de communication appropriés. Il doit être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle compétentes. Il n'y a toutefois pas d'obligation d'être établi en Suisse tant que le conseiller à la protection des données peut exercer ses fonctions de manière efficace. Néanmoins, la connaissance d'une langue nationale devrait être nécessaire.
B. Tâches du conseiller à la protection des données (art. 10 al. 2)
1. être le point de contact pour le PFPDT et les autres autorités compétentes en matière de protection des données en Suisse, ainsi que pour les personnes concernées.
21 Le conseiller à la protection des données est un interlocuteur important en ce qui concerne les traitements de données effectués par l'entreprise responsable. Il/elle est intégré(e) dans les processus de l'entreprise visant à respecter la protection des données. Un interlocuteur spécialisé peut ainsi être directement identifié, ce qui facilite l'exercice des droits du PFPDT ou des personnes concernées.
22 Il ou elle sert donc de point de contact pour le PFPDT et les autres autorités compétentes en matière de protection des données en Suisse (par exemple la FINMA ou les autorités cantonales de protection des données) en cas de questions liées au traitement de données personnelles dans l'entreprise. Il sert également de point de contact pour les personnes concernées, par exemple en cas de demande de renseignements selon les articles 25 et suivants de la LPD. LPD.
2. Formation et conseil du responsable privé en matière de protection des données (al. 2 let. a)
23 Afin de garantir une protection efficace des données dans l'entreprise concernée, le conseiller à la protection des données doit former, instruire et sensibiliser le responsable privé ou ses collaborateurs en conséquence. Il faut au moins impliquer tous les collaborateurs qui sont en contact avec des données personnelles. L'accent devrait être mis sur les principes de la protection des données (art. 6 LPD). D'autres thèmes de formation sont par exemple les directives relatives à la communication à l'étranger ainsi que le traitement des données personnelles sensibles au sein de l'entreprise. En outre, les collaborateurs doivent également être formés aux exigences en matière de sécurité des données (art. 8 LPD).
24 La formation des collaborateurs en matière de protection et de sécurité des données par le conseiller à la protection des données devrait être répétée à intervalles réguliers, de préférence chaque année. Grâce à une sensibilisation régulière, le thème de la protection des données reste présent dans l'esprit des collaborateurs. De plus, les nouveautés actuelles, par exemple en ce qui concerne l'environnement informatique de l'entreprise, peuvent être transmises en temps réel aux collaborateurs.
25 Dans sa fonction de conseiller, le conseiller à la protection des données a pour mission de conseiller sur le respect des dispositions légales en matière de protection des données lors des traitements de données, de mettre en évidence les faits pertinents de la question relevant de la protection des données et de présenter des alternatives de décision sur la base de ces faits.
3. Participer à l'application des dispositions relatives à la protection des données (al. 2 let. b).
26 Une autre tâche du conseiller à la protection des données est sa participation à l'application des dispositions relatives à la protection des données. Cela implique notamment de participer à l'adoption de conditions d'utilisation et de règles de protection des données. En outre, il ou elle doit vérifier le traitement des données personnelles et recommander des mesures correctives lorsqu'une violation des dispositions relatives à la protection des données est constatée. En outre, elle ou il doit aider les responsables privés à établir des DSFA et à vérifier leur exécution. En outre, il est important que le conseiller à la protection des données soit perçu comme un interlocuteur au sein de l'institution et qu'il fasse partie des groupes de travail concernés par les activités de traitement des données au sein de l'entreprise. Le conseiller à la protection des données du responsable privé n'a toutefois pas pour mission de signaler au PFPDT ou aux personnes concernées les violations de la sécurité des données. Bien qu'il soit souvent utile d'impliquer le conseiller à la protection des données en cas de violation de la sécurité des données, la loi ne le prescrit pas.
27 Le conseiller à la protection des données doit être considéré comme un organe de soutien et non comme un organe de surveillance. En ce qui concerne l'examen des traitements de données et la recommandation de mesures correctives, il ne s'agit donc pas d'introduire une obligation d'examen actif ou de prescrire des contrôles systématiques de tous les traitements de données. Il suffit plutôt qu'il soit actif si, par exemple, le responsable demande l'examen d'un traitement de données ou si des informations lui parviennent selon lesquelles les prescriptions en matière de protection des données ont été violées. Bien entendu, le responsable reste libre d'exiger que le conseiller à la protection des données vérifie de manière proactive les traitements de données. Il est envisageable et fréquent dans la pratique qu'il effectue une fois par an un audit de protection des données.
28 D'autres tâches du conseiller à la protection des données peuvent être envisagées :
Elaboration et contrôle de la mise en œuvre de mesures de sécurité des données (art. 8 LPD) ;
Vérification du traitement effectué par le sous-traitant (art. 9 LPD) ;
Elaboration et vérification des registres des activités de traitement (art. 12 LPD) ;
Examen de la communication de données à l'étranger (art. 16 ss. LPD) ;
Soutien dans l'accomplissement des obligations d'information (art. 19 ss. LPD) ;
Élaboration et mise en œuvre de processus pour le traitement des demandes des personnes concernées (art. 25 LPD) ;
Élaboration de processus appropriés pour la défense des droits des personnes concernées et le respect des prescriptions en matière de protection des données (art. 25 ss. LPD) ;
Réalisation d'évaluations des risques (par exemple, risque de transmission, de suppression ou de traitement involontaire/non autorisé des données, de perte de données ou d'erreur technique, etc.), par exemple dans le cadre d'une DSFA ;
établissement de rapports annuels sur les activités à l'attention du responsable.
4. Digression : pas de responsabilité du conseiller à la protection des données
29 On suppose souvent que le conseiller à la protection des données est responsable de la protection des données et de son respect dans l'entreprise. Or, le conseiller à la protection des données n'a aucune compétence d'action découlant de la LPD elle-même, au-delà de sa fonction de formation, de conseil et de participation. Le seul pouvoir de décision - et donc la seule responsabilité pour un traitement des données personnelles conforme à la protection des données - revient à l'entreprise responsable. Le conseiller à la protection des données devrait être subordonné au niveau de management le plus élevé de l'entreprise concernée. La situation ne serait différente que si le conseiller à la protection des données agissait en tant qu'organe de fait et participait ainsi de manière déterminante à la formation de la volonté du responsable, en décidant des moyens et de la finalité des traitements. En raison de l'indépendance professionnelle et de l'absence d'instructions exigées par l'art. 10 al. 3 LPD, cela ne serait toutefois pas admissible. Si un conseiller à la protection des données décide néanmoins de la finalité et des moyens d'un traitement de données, une responsabilité (obligatoire et/ou pénale) serait possible.
30 Si le conseiller à la protection des données émet des recommandations, l'entreprise devrait veiller à ce que ces recommandations soient mises en œuvre. Si elle ne le fait pas et que la recommandation était justifiée, l'entreprise peut subir un préjudice d'image non négligeable si un tel incident devait être rendu public. Le cas échéant, cela peut même conduire à des sanctions à l'encontre d'un collaborateur. Si la recommandation était fausse ou erronée, le conseiller à la protection des données est responsable dans le cadre de son contrat de travail ou de son mandat.
C. Exigences posées au conseiller à la protection des données (al. 3)
31 Pour qu'une entreprise soit dispensée de consulter le PFPDT lorsqu'un risque élevé subsiste malgré la réalisation de la DSFA (art. 23 al. 4 LPD), le conseiller à la protection des données doit remplir les conditions de l'art. 10 al. 3 LPD.
1. être professionnellement indépendant et ne pas être soumis à des instructions (let. a)
32 Le conseiller à la protection des données doit être suffisamment indépendant dans l'exercice de son activité pour que ses tâches ne soient pas soumises à des instructions et qu'il ne puisse pas être sanctionné par l'entreprise en raison de son activité. Cela signifie qu'il ne doit pas recevoir d'instructions sur la manière de procéder dans une situation donnée, par exemple sur le résultat à obtenir, sur la manière de traiter une plainte ou sur l'opportunité de consulter le PFPDT. En outre, il ne doit pas être chargé de défendre un point de vue particulier sur une question relevant de la protection des données (par exemple en ce qui concerne l'interprétation d'une loi).
33 En outre, il faut garantir que le conseiller à la protection des données puisse formuler librement ses recommandations - même si elles peuvent parfois être désagréables - sans craindre de subir des préjudices. Cette indépendance implique également que le conseiller à la protection des données puisse s'adresser à la direction supérieure (par exemple le conseil d'administration d'une société anonyme) pour les questions importantes (art. 23 let. c OLPD). En principe, il devrait donc également être directement subordonné à la direction, voire au conseil d'administration du responsable du traitement.
2. Pas d'incompatibilité avec d'autres tâches (let. b)
34 Pour que le conseiller à la protection des données puisse exercer ses fonctions au sein de l'entreprise, il ne doit pas exercer d'autres activités incompatibles avec ses tâches. Le conseil en matière de protection des données doit être exercé séparément des tâches de l'entreprise. Il convient d'éviter tout conflit d'intérêts. Il pourrait en exister un, par exemple, si le conseiller à la protection des données est membre de la direction, chef de la division opérationnelle ou chef du département informatique, ou s'il exerce des fonctions de gestion des ressources humaines ou des systèmes d'information (par exemple, responsable informatique). Le conseiller à la protection des données ne peut pas occuper simultanément une fonction dans laquelle il décide lui-même des moyens et des finalités des traitements de données effectués par le responsable du traitement ou a un intérêt dans ces traitements. Il est également recommandé de ne pas mélanger le conseil en matière de protection des données avec les autres activités de conseil et de représentation juridiques.
35Un éventuel conflit d'intérêts doit donc être évité dès le départ grâce à la position organisationnelle du conseiller à la protection des données. En principe, il convient de veiller à ce qu'aucune responsabilité hiérarchique ne soit liée au poste de conseiller à la protection des données. Il est donc recommandé à une entreprise d'attribuer la fonction de conseiller à la protection des données à un poste d'état-major par exemple. Il est important qu'il ne s'agisse pas d'une fonction exécutive dans un secteur d'activité. Une autre possibilité serait de regrouper la tâche du conseiller à la protection des données avec celle du responsable de la sécurité de l'information.
36 Les conflits d'intérêts étant difficilement évitables dans la pratique, le conseiller à la protection des données devrait en règle générale être un prestataire de services externe, sauf dans les grandes entreprises disposant de leur propre service de protection des données.
3. Connaissances spécialisées requises (let. c)
37 Pour pouvoir assumer ses tâches en toute indépendance, le conseiller à la protection des données doit disposer des compétences professionnelles nécessaires. Il ou elle doit avoir des connaissances suffisantes dans tous les domaines pour pouvoir évaluer les recommandations et les mesures proposées et les apprécier dans le cadre de la stratégie de protection des données de l'entreprise.
38 Les exigences ne portent pas seulement sur les connaissances dans le domaine de la protection et de la sécurité des données, mais aussi sur les connaissances techniques spécifiques à l'entreprise. S'il est possible qu'il ait des connaissances moins développées dans certains domaines, il doit au moins avoir la possibilité d'accéder à de telles connaissances. Des connaissances interdisciplinaires, en particulier dans les domaines de l'informatique et du droit, sont nécessaires. Les systèmes de gestion doivent être compris.
4. Publication des coordonnées (let. d)
39 Il incombe au responsable de publier les coordonnées du conseiller à la protection des données et de les communiquer au PFPDT. Le PFPDT a créé un portail de communication à cet effet. Comme pour le responsable privé, il n'est pas nécessaire que l'entreprise publie le nom du conseiller à la protection des données. Il suffit par exemple d'indiquer l'adresse électronique de l'organe compétent sur le plan technique. Le service compétent peut également être une équipe entière ou une entreprise. Le conseiller à la protection des données est une personne de contact importante en ce qui concerne les traitements de données effectués par l'entreprise en question. La publication des données de contact garantit que les personnes concernées ou le PFPDT peuvent s'adresser directement au conseiller à la protection des données.
40 Il n'est pas nécessaire que l'entreprise publie le nom du conseiller à la protection des données. Il suffit d'indiquer, par exemple, l'adresse électronique du service compétent sur le plan technique.
D. Obligations du responsable privé (art. 23 RGPD)
41 Pour qu'une entreprise soit dispensée de consulter le PFPDT si un risque élevé subsiste malgré la réalisation de la DSFA (art. 23 al. 4 LPD), le responsable privé doit également remplir certaines obligations. Le contenu de ces obligations correspond aux anciennes dispositions de la législation sur la protection des données ; seule la terminologie a été adaptée à la nouvelle LPD.
1. Mise à disposition des ressources nécessaires (let. a)
42 Conformément à l'art. 23 let. a OLPD, le responsable privé doit mettre à la disposition du conseiller à la protection des données les ressources nécessaires - le plus souvent sous forme de temps de travail - pour qu'il puisse accomplir ses tâches. Les exigences varient certes en fonction de la taille de l'entreprise, mais il ou elle doit toujours disposer de ressources suffisantes pour pouvoir assumer sa fonction de manière adéquate. Cela signifie que plus les opérations de traitement des données sont complexes et/ou sensibles, plus les ressources mises à la disposition du conseiller à la protection des données doivent être importantes.
2. l'octroi d'un accès à tous les renseignements, documents, registres des activités de traitement et données personnelles (let. b)
43 Pour pouvoir exercer sa fonction, le conseiller à la protection des données doit avoir accès, sur demande, à tous les renseignements, documents, listes d'activités de traitement et données personnelles dont il a besoin pour accomplir ses tâches. Outre l'accès, cela implique également qu'il ou elle ait connaissance de tous les traitements de données effectués au sein de l'entreprise. Pour ce faire, il est nécessaire de disposer d'un droit de regard étendu sur les documents, d'un droit de présentation des systèmes de traitement des données et d'un droit d'accès à toutes les personnes responsables des traitements de données. Il serait recommandé d'introduire une obligation de notification au sein de l'entreprise, ce qui signifie que tous les traitements de données doivent être notifiés au conseiller à la protection des données.
44 L'accès aux informations est toutefois limité dans la mesure où il ne s'applique qu'aux documents dont le conseiller à la protection des données a effectivement besoin pour accomplir ses tâches. Si le conseiller à la protection des données examine par exemple de manière générale les prescriptions internes en matière de protection des données ou les processus de traitement des données, il n'aura en général pas besoin de consulter les données personnelles.
3. l'octroi du droit d'informer l'organe supérieur de direction ou d'administration dans les cas importants (let. c).
45 L'art. 23 let. c OLPD a introduit la possibilité pour les conseillers à la protection des données d'informer, dans les cas importants, l'organe supérieur de direction ou d'administration, c'est-à-dire l'organe qui assume également la responsabilité du respect des prescriptions de protection des données dans l'entreprise. En effet, le conseiller à la protection des données n'a pas de pouvoir de décision propre, mais dépend du niveau de gestion le plus élevé de l'entreprise concernée.
46 La disposition établit un droit d'escalade pour le conseiller à la protection des données. Cela permet au conseiller à la protection des données de ne pas devoir se fier uniquement aux documents dont il dispose lors des contrôles internes de l'entreprise concernant le respect des dispositions légales en matière de protection des données, mais de pouvoir imposer l'obtention d'informations et de documents supplémentaires. En outre, cela garantit que le conseiller à la protection des données puisse, en cas de situations complexes et de violations particulièrement graves, faire rapport aux organes supérieurs du responsable ou du sous-traitant et obtenir une décision. Dans la pratique, l'information de l'organe supérieur de direction ou d'administration devrait également se faire par l'établissement de rapports trimestriels et annuels sur les activités du conseiller à la protection des données.
III. Conseiller à la protection des données auprès des organes fédéraux (art. 10 al. 4 LPD)
A. Nomination (art. 25 OLPD)
47 Dans le domaine Schengen, les organes fédéraux sont tenus, en vertu de l'article 32 de la directive (UE) 2016/680, de désigner un conseiller à la protection des données. Les règles relatives à la désignation du conseiller à la protection des données par les organes fédéraux ne se trouvent toutefois pas dans la LPD, mais ont été laissées au Conseil fédéral (art. 10 al. 4 LPD).
48 Selon l'art. 25 OLPD, plusieurs organes fédéraux peuvent désigner ensemble un conseiller à la protection des données. Cette réglementation doit avant tout permettre aux petits organes fédéraux ou aux départements disposant d'une structure organisationnelle centralisée d'exploiter des synergies utiles et permettant d'économiser des ressources. On peut en revanche attendre des offices fédéraux plus importants qu'ils désignent un conseiller à la protection des données pour eux seuls. Les organes fédéraux sont également libres de désigner plusieurs conseillers à la protection des données.
B. Exigences et tâches (art. 26 OLPD)
49 L'art. 26 al. 1 OLPD contient les exigences auxquelles doit satisfaire le conseiller à la protection des données : il doit disposer des connaissances spécialisées nécessaires et exercer sa fonction à l'égard de l'organe fédéral de manière professionnellement indépendante et en étant lié par des instructions. Cette réglementation est analogue à celle prévue à l'art. 10 al. 3 LPD pour les responsables privés, raison pour laquelle il peut y être fait référence.
50 Le rôle du conseiller à la protection des données auprès des organes fédéraux, qui sont habituellement hiérarchisés, a été renforcé et institutionnalisé par la révision afin qu'il puisse exercer efficacement ses fonctions. L'indépendance s'exprime par le fait que le conseiller à la protection des données peut, dans des cas importants - comme le prévoit l'art. 23 let. c OLPD pour les particuliers - s'adresser à la direction suprême de l'organe fédéral. L'indépendance du conseiller à la protection des données doit être garantie en premier lieu par des mesures organisationnelles : il s'agit avant tout d'éviter que l'activité de conseiller à la protection des données n'ait des répercussions négatives sur l'entretien d'évaluation.
51 L'art. 26 al. 2 OLPD contient les tâches du conseiller à la protection des données d'un organe fédéral. Elles ont été harmonisées, sur le plan terminologique, avec la disposition applicable aux responsables privés (art. 10, al. 2, LPD), raison pour laquelle on peut également renvoyer aux explications qui y sont données. Il participe à l'application des prescriptions en matière de protection des données, notamment en examinant le traitement des données personnelles et en recommandant des mesures correctives (let. a). Si une violation des prescriptions de protection des données est constatée, il ou elle conseille le responsable et vérifie leur exécution (let. b). En outre, elle ou il forme et conseille les collaborateurs de l'organe fédéral sur les questions de protection des données (let. c). Enfin, elle ou il sert de point de contact pour les personnes concernées (let. d).
C. Obligations de l'organe fédéral (art. 27 OLPD)
52 L'organe fédéral donne au conseiller à la protection des données accès à tous les renseignements, documents, registres des activités de traitement et données personnelles dont il a besoin pour accomplir ses tâches (art. 27 al. 1 let. a OLPD) et veille à ce qu'il soit informé d'une violation de la sécurité des données (art. 27 al. 1 let. b OLPD).
53 L'art. 27 al. 1 let. a OLPD est donc identique à la réglementation concernant les responsables privés à l'art. 23 let. b OLPD. On peut se référer par analogie aux explications qui y sont données. Cette obligation s'applique par ailleurs à toutes les violations de la sécurité des données, et pas seulement à celles qui doivent être notifiées au PFPDT conformément à l'art. 24 LPD. L'information sur la violation de la sécurité des données selon l'art. 27 al. 1 let. b OLPD peut par exemple être assurée par le fait que l'organe fédéral oblige les collaborateurs, par le biais de directives, à informer le conseiller à la protection des données en cas de violation de la sécurité des données. Le conseiller à la protection des données conseille le responsable sur la question de savoir si la violation est soumise à une obligation de notification au sens de l'article 24 LPD. L'organe fédéral veille à ce qu'il ou elle soit informé(e) d'une violation de la sécurité des données. La notification elle-même incombe toutefois à l'organe fédéral. C'est lui qui décide si et quelles violations doivent être notifiées au PFPDT.
54 Enfin, l'organe fédéral publie sur Internet les coordonnées du conseiller à la protection des données et les communique au PFPDT (art. 27, al. 2, OLPD). Comme pour le responsable privé, il n'est pas nécessaire que l'entreprise publie le nom du conseiller à la protection des données. Il suffit par exemple d'indiquer l'adresse électronique du service compétent sur le plan technique. Le service compétent peut également être une équipe entière ou une entreprise.
D. Point de contact du PFPDT (art. 28 OLPD)
55 Le conseiller à la protection des données sert de point de contact au PFPDT pour les questions liées au traitement de données personnelles par l'organe fédéral concerné. Il est donc, puisqu'il dispose des connaissances techniques et internes nécessaires, l'interlocuteur technique direct du PFPDT.
Bibliographie
Frey Marco, Kommentierung zu Art. 11a DSG (altes DSG), in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG-Bearbeiter:in).
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020 (zit. Rosenthal, Jusletter 2020).
Rosenthal, David/Jöhri, Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. HK-Rosenthal/Jöhri).
Ehrensberger Jennifer/Bersler Urs, Kommentierung zu Art. 11a DSG (altes DSG), In: von Maurer-Lambrou, Urs/Blechta, Gabor-Paul (HrsG.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014 (zit. BK-Bearbeiter:in).
Matériaux
Leitlinien in Bezug auf Datenschutzbeauftragte («DSB») der Datenschutzgruppe nach Art. 29 der Richtlinie 95/46/EG, angenommen am 13. Dezember 2016, zuletzt überarbeitet und angenommen am 5.4.2017.