-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Contenu
- III. Avis du PFPDT
- IV. Autorégulation selon l'article 40 du RGPD
- Bibliographie
- Matériaux
En bref
Les codes de conduite sont des règles de comportement, établies par des associations professionnelles, sectorielles ou économiques. Ils se sont établis dans l'économie en tant que code de conduite dans le cadre de la "bonne gouvernance d'entreprise" et doivent maintenant être étendus à la protection des données. Les directives et dispositions relatives à la protection des données sont concrétisées par des codes de conduite spécifiques à chaque secteur. Les organes fédéraux et les associations privées sont libres d'élaborer leur propre code de conduite.
Les codes de conduite peuvent être soumis au PFPDT. Le PFPDT examine la compatibilité des codes avec la LPD. La présentation n'est obligatoire que si le code doit être utilisé pour justifier une exportation de données conformément à l'art. 12 OLPD. Elle est toutefois recommandée en principe pour des raisons de diligence et de responsabilité.
L'article 11 peut être comparé à l'article 40 du RGPD, où les exigences et les conséquences juridiques des codes de conduite ou des "règles de conduite" (article 40 du RGPD) sont similaires. Les codes établis conformément à l'article 40 du RGPD constituent donc un bon point de repère pour une éventuelle mise en œuvre en Suisse. Si une approbation du code est souhaitée pour l'Union européenne, ses exigences sont déterminantes.
Par ailleurs, l'établissement de codes de conduite favorise l'internationalisation des entreprises et l'uniformisation de la protection des données au sein de certaines branches. Les codes de conduite ont été introduits depuis longtemps au niveau économique international et soutiennent une gestion d'entreprise transnationale, uniforme et efficace. Un code de conduite peut donc permettre à une entreprise de répondre à des exigences internationales, juridiques et sectorielles.
I. Généralités
A. Historique
1. Codes de conduite dans l'entreprise
1L'un des objectifs déterminants de la révision totale de la LPD était de développer et d'encourager certains aspects de l'autorégulation. Alors que l'art. 11 aLPD ne prévoyait qu'une procédure de certification (n. 22 s.), la nLPD la complète par l'instrument des codes de conduite. Ceux-ci doivent permettre aux associations de concrétiser la législation sur la protection des données de manière autonome, en fonction de leurs besoins. Le code de conduite introduit une notion d'économie et d'entreprise ("code of conduct") dans le droit de la protection des données. En tant que partie intégrante de la culture de conformité et de la "gouvernance d'entreprise", les codes de conduite sont déjà répandus depuis longtemps dans les entreprises. Désormais, ils sont prévus et définis par la loi pour soutenir, concrétiser et guider les systèmes de gestion de la protection des données.
2. Les meilleures pratiques
2Pour la mise en œuvre de la protection des données, la FF 2017 mentionne ce que l'on appelle les "meilleures pratiques" pour la mise en œuvre de la protection des données au sein de l'entreprise. Les "meilleures pratiques" sont courantes depuis longtemps dans le domaine de la gouvernance d'entreprise et décrivent divers modèles ou méthodes permettant d'optimiser systématiquement les procédures, processus ou pratiques au sein même de l'entreprise. Un processus est standardisé afin de parvenir à un déroulement optimal des affaires. La notion de "bonne pratique" est en outre expressément mentionnée à l'art. 58, al. 1, let. g LPD, selon lequel le PFPDT doit lui-même élaborer des instruments de travail pour la respecter.
3Les bonnes pratiques sont également représentées au niveau international ; l'art. 4, al. 3, de l'ordonnance sur les certifications en matière de protection des données (OCPD) renvoie aux normes internationales existantes, qui servent de référence pour les systèmes de gestion de la protection des données qui fonctionnent. Indirectement, il est également fait référence aux bonnes pratiques et aux codes de conduite. La Nouvelle-Zélande et l'Argentine qualifient en outre les codes de conduite de bonnes pratiques.
4En Suisse également, la question de savoir si le PFPDT devait lui-même édicter des "bonnes pratiques" en matière de protection des données a été discutée lors de la procédure de consultation, étant donné que le PFPDT a pour mission de conseiller les organes fédéraux et les particuliers et, dans ce cadre, de mettre à leur disposition des guides et des instruments de travail. Ces directives au sens de "best practices" auraient donc également influencé des codes de conduite. L'art. 58, al. 1, let. g LPD peut également être compris comme une compétence pour élaborer des guides similaires à des codes de conduite.
5Lors de la consultation, les milieux économiques ont notamment critiqué le fait que le PFPDT outrepasserait ses compétences exécutives, car de telles directives ont indirectement un effet similaire à celui d'une loi. C'est pourquoi on a finalement renoncé à accorder ces compétences supplémentaires au PFPDT. En lieu et place, on mise sur les mesures autorégulatrices et individualisées des codes de conduite, qui ont été largement plébiscitées lors de la consultation. Les "meilleures pratiques" peuvent ensuite être inscrites dans le code de conduite lui-même.
B. Objectif de la norme
6Le but de la norme et l'objectif du législateur sont de créer un cadre d'orientation ainsi qu'une sécurité juridique pour les parties prenantes et les associations économiques. Par une mesure d'autorégulation, une association peut concrétiser des directives de protection des données et les adapter de manière flexible aux nouveaux développements en matière de protection des données.
1. Promotion de la conformité à la protection des données
7Les codes de conduite doivent promouvoir la conformité en matière de protection des données à deux niveaux : au premier niveau, ils constituent un cadre qui offre une sécurité juridique aux différents groupements et associations économiques. Les mesures relevant du droit de la protection des données peuvent désormais être réglementées de manière uniforme. Une concrétisation autonome offre également des possibilités d'adaptations spécifiques aux professions et de flexibilité par rapport aux évolutions de la protection des données. Cette dernière devrait notamment s'avérer particulièrement importante, étant donné que les progrès technologiques s'installent à une vitesse fulgurante. Bien entendu, ces libertés doivent toujours tenir compte des dispositions de la LPD elle-même et être respectées. Ainsi, la nouvelle loi sur la protection des données pourra être mieux appliquée à long terme. Les destinataires doivent être incités à adopter un comportement conforme à la loi.
8Au deuxième niveau, la loi représente un allègement pour le PFPDT. Il apparaît ainsi que l'adoption de codes par les responsables entraînera une uniformisation des directives de protection des données dans les différentes branches. Lors d'un éventuel contrôle d'un responsable, le PFPDT pourra se baser sur le code déjà approuvé et n'aura plus qu'à vérifier si celui-ci est respecté. Il n'est désormais plus nécessaire de chercher et de rassembler des règles de protection des données éparpillées dans les règlements et les statuts, ce qui peut prendre beaucoup de temps. Les contrôles d'admissibilité de la conformité à la protection des données ne sont plus ponctuels et axés sur des cas particuliers, mais s'appuient sur un ensemble uniforme de règles définies par un code de conduite.
2. L'autorégulation réglementée
9Dans le cadre de la numérisation et de l'interconnexion mondiale, les prestataires de services intermédiaires et les exploitants de réseaux acquièrent une influence toujours plus grande sur la collecte et le traitement des données personnelles. De plus, le législateur ne peut généralement réagir qu'après qu'une technologie donnée a acquis une importance sociale et juridique.
10 L'"autorégulation réglementée" jette un pont entre les normes juridiques de l'État ("hard law") et les guides de droit privé spécifiques au secteur. Les codes de conduite en sont un exemple parfait. D'une part, les codes de conduite sont prévus par la loi et leur présentation a certaines conséquences juridiques (n. 30 s.), d'autre part, le législateur laisse aux associations une marge de manœuvre considérable quant à la manière dont elles souhaitent les élaborer en fonction de leur propre environnement. L'exemple du code de protection des données du Gesamtverband der Deutschen Versicherungswirtschaft, qui repose sur la réglementation analogue du RGPD, illustre la manière dont cela est organisé concrètement dans la pratique. Il établit des règles pour le traitement des données personnelles dans les activités typiques de l'assurance telles que les statistiques, le calcul des tarifs et des primes. Les règles relatives à la transmission de données à différentes catégories de personnes spécifiques au secteur, telles que les réassureurs, les intermédiaires, les concurrents, etc. sont également définies plus précisément. En revanche, pour le traitement des données de solvabilité, il est renvoyé à la loi sans édicter de règles plus détaillées.
11A l'intérieur du cadre fixé par la loi, les associations et les organes fédéraux peuvent s'orienter eux-mêmes et réglementer de manière spécifique à chaque branche. Les connaissances et la conscience de la protection des données augmentent au sein de l'entreprise. Des codifications de comportement contextualisées et précises conduisent à une plus grande sécurité juridique. Les normes spécifiques devraient également être mieux comprises et acceptées dans le secteur concerné. Offrir aux entreprises de telles mesures axées sur la pratique est indispensable pour un droit de la protection des données moderne, dynamique et surtout conforme.
II. Contenu
A. Code de conduite
1. Un code de conduite en général
12Un code de conduite est un document formel contenant un ensemble de normes. Il doit définir concrètement le comportement souhaité dans l'entreprise. Il jouit d'une bonne réputation dans la culture d'entreprise et est considéré comme un pilier important de la bonne gouvernance d'entreprise et est devenu un élément indispensable de la culture d'entreprise.
13Un code de conduite ne fait toutefois pas partie d'un ordre juridique contraignant. Les entreprises décident elles-mêmes si elles souhaitent ou non adhérer à un code de l'association. Il s'agit d'un engagement volontaire. Une fois que l'entreprise s'est engagée, le code est en principe contraignant. C'est à l'association de décider comment et si elle veut imposer le respect de son code. L'objectif d'un tel code est de guider le comportement des collaborateurs et des cadres, tant au sein de l'entreprise que vis-à-vis de tiers extérieurs. Pour ce faire, il uniformise et systématise les actions quotidiennes et les normes de comportement à l'intérieur et à l'extérieur de l'entreprise.
14 Ainsi, un code de conduite protège l'entreprise de l'intérieur et de l'extérieur. A l'extérieur, les collaborateurs sont confortés dans leurs décisions et l'entreprise peut mieux se protéger contre les attaques externes en démontrant la conformité juridique, la compliance et la diligence par le biais du code de conduite. En interne, un code de conduite contribue à une culture d'entreprise saine et favorable en définissant des normes, par exemple dans le domaine de la communication, auxquelles les collaborateurs doivent se conformer. Cela renforce la confiance entre les collaborateurs.
15Pour élaborer un code de conduite en général, il est utile de s'orienter sur des questions directrices. Il convient notamment de clarifier les points suivants :
Comment dois-je me comporter ?
Qu'est-ce que je peux faire et qu'est-ce qui est interdit ?
Quand dois-je intervenir face au comportement d'un tiers ?
Qui est mon interlocuteur si j'ai des questions, des doutes ou des incertitudes ?
Que se passe-t-il si je ne respecte pas le code de conduite ?
16Les points réglementés représentent pour les collaborateurs eux-mêmes une information importante sur les comportements souhaités. Il est donc important de formuler un code de conduite de manière claire et compréhensible et de l'adapter à l'entreprise. Les directives de comportement correspondantes sont en outre axées sur les risques spécifiques à l'entreprise ou au secteur d'activité de l'entreprise individuelle. Un code de conduite valable est régulièrement mis à jour et confirmé par la direction.
2. Codes de conduite en matière de protection des données
17Les codes de conduite en matière de protection des données se réfèrent aux normes de la LPD, les développent et les adaptent spécifiquement à la branche concernée. Ils comprennent par exemple des modèles de déclarations de protection des données, des traitements de données à haut risque dans l'entreprise ou des instructions pour une anonymisation correcte des données. Vous trouverez ci-dessous une liste de questions directrices sur les domaines de réglementation possibles. Ces questions ne sont ni exhaustives ni obligatoires. Elles offrent toutefois un aperçu de ce qui devrait figurer dans un code de conduite spécifique à la protection des données.
Les données que je traite sont-elles correctes ?
Qui est concerné par ce traitement de données ?
Quelles données à caractère personnel sont collectées ?
Quelles sont les données qui présentent un risque particulier ?
Le cryptage des données peut-il être garanti de manière adéquate ?
Les personnes concernées disposent-elles d'un droit d'accès ?
L'entreprise dispose-t-elle de mesures techniques et organisationnelles de protection des données ?
Conditions pour une transmission de données personnelles à l'étranger et garantie des garanties suisses en matière de protection des données
Modalités procédurales en cas de conflit entre les personnes concernées et le responsable du traitement.
18De telles questions directrices peuvent servir de point de départ aux associations. Toutefois, pour répondre aux exigences individuelles d'un secteur donné, des explications plus précises sont nécessaires, ainsi qu'une documentation et une réflexion minutieuses sur les données collectées au quotidien dans le secteur en question. Il convient de tenir compte des besoins des entreprises membres de l'association, c'est-à-dire des collaborateurs, des actionnaires, de la clientèle, etc.
3. Concrétisation et autorégulation
19Le code de conduite selon l'art. 11 LPD applique donc les normes de la loi sur la protection des données à un état de fait concret. Les formulations générales sont concrétisées, précisées et rendues compréhensibles également pour les collaborateurs.
20Elle doit être au moins aussi stricte que la LPD, avec éventuellement des directives plus strictes, spécifiques à la branche. L'association procède elle-même à des précisions. L'autorégulation et la responsabilité individuelle doivent ainsi être encouragées. Les interventions de l'État doivent être minimisées. De plus, une autonomie autorégulatrice favorise le sens des responsabilités des responsables.
21L'État ne doit pas intervenir activement dans les activités des différentes branches ou autres associations, mais leur laisse le soin de concrétiser les clauses générales de la LPD en fonction de leurs besoins. Il en résulte une clarté de la situation juridique et des formulations précises.
B. Délimitation par rapport à la certification
22L'article 13 LPD introduit des certifications de protection des données qui attestent de la conformité des systèmes, produits et services d'une entreprise avec la protection des données. Les organismes de certification agissent ici de manière indépendante dans le cadre des directives du PFPDT. Ainsi, contrairement aux codes de conduite, le PFPDT ne contrôle pas lui-même, mais n'exerce qu'une influence indirecte en édictant des réglementations sur la reconnaissance d'une certification (art. 13 LPD). L'OCPD sert de référence en la matière, puisqu'elle détaille et précise les exigences auxquelles doivent répondre les organismes de certification.
23Les certifications en matière de protection des données servent à évaluer ponctuellement la conformité d'un système ou de certaines opérations de traitement avec la protection des données. Les codes de conduite, en revanche, décrivent toutes ou la plupart des exigences relatives aux activités de traitement d'une entreprise ou la manière dont elles doivent être traitées en fonction du secteur. En d'autres termes, les codes de conduite fournissent un cadre général d'orientation, tandis que les certifications de protection des données confirment la conformité d'une opération individuelle. Les certifications sont essentielles pour la mise en œuvre de la conformité en matière de protection des données dans la pratique. Alors que les codes de conduite définissent le comportement souhaité de manière analogue à la loi en théorie, la certification sert d'instrument dans la mise en œuvre des règles au quotidien.
24Les certifications et un code de conduite ne s'excluent donc en aucun cas. Il semble ainsi qu'une entreprise puisse atteindre ses objectifs si, en plus d'un code de conduite, elle obtient des certifications ponctuelles en matière de protection des données auprès d'organismes qualifiés. Cela vaut surtout lorsque le traitement concret des données semble atypique, nouveau ou particulièrement risqué pour l'entreprise concernée.
III. Avis du PFPDT
25Les associations professionnelles, sectorielles et économiques qui sont habilitées par leurs statuts à défendre les intérêts économiques de leurs membres sont légitimées à élaborer un code qui peut être soumis au PFPDT pour examen.
26Les responsables individuels ou les sous-traitants ne peuvent pas soumettre leurs codes de conduite. Cela se justifie par le fait que l'article 11 LPD vise une certaine uniformisation au sein de certaines branches.
27 En revanche, par analogie avec l'article 89 CPC, les associations et organisations qui ont une certaine importance au niveau national ou au moins régional sont autorisées à déposer une demande. Une association cantonale remplira régulièrement cette condition.
28La forme juridique de l'association n'est en principe pas déterminante. Toutefois, certaines entreprises, notamment les sociétés anonymes, sont exclues, car elles ne disposent pas de membres. Pour la même raison, les fondations n'ont pas le droit de présenter une demande. Les organisations de consommateurs et les associations de personnes concernées ne remplissent pas les conditions nécessaires pour représenter les intérêts économiques de leurs membres.
29Les organes fédéraux ont toujours le droit de saisir la justice. Cela s'explique par les nombreuses dispositions légales et les différentes tâches qui incombent aux différents organes.
A. Portée juridique d'une saisine
30Selon l'article 11 LPD, la présentation d'un code de conduite est en principe facultative pour les associations et les entreprises. Ce principe est relativisé par l'article 12 OLPD. Celui-ci prévoit l'obligation de soumettre le code au PFPDT pour approbation si une exportation de données doit être justifiée par le code (art. 12 OLPD). Le principe du volontariat, qui s'applique tant à l'élaboration des codes de conduite qu'à leur présentation au PFPDT, est désormais rompu par cette constellation de transferts de données à l'étranger. Cela peut se justifier par un standard de sécurité plus élevé, qui découle presque automatiquement de l'échange international de données, beaucoup plus risqué. Il s'agit ainsi de s'assurer que le code de conduite garantit une protection suffisante des données. Cela est souligné par une obligation "contraignante et exécutoire" du responsable du traitement ou du sous-traitant dans l'État tiers de respecter le code de conduite (article 12, paragraphe 3, du RGPD). Elle devient contraignante par des mesures conformes au droit applicable dans l'État tiers concerné, comme par exemple l'inscription des codes dans les statuts du responsable.
31Un modèle s'avère avantageux du point de vue du devoir de diligence et de la responsabilité civile au sein des entreprises représentées. En effet, seul un avis officiel officiel peut prouver de manière suffisante que le code est conforme à la législation sur la protection des données. Un code de conduite confirmé est une preuve directe que l'entreprise suit des règles claires en matière de protection des données qui satisfont à la LPD.
32Dans la mesure où les codes de conduite sont des mesures autorégulatrices qui agissent sur les branches et les professions respectives pour lesquelles ils ont été élaborés, ils représentent une concrétisation juridique pour la pratique. Ils offrent donc également la possibilité que des directives de comportement généralement reconnues se forment dans un domaine particulier. Cela simplifie considérablement le respect de la protection des données par les entreprises, qui disposeraient ainsi d'un guide concret et d'un point de repère pour leur propre domaine d'activité.
B. Conséquences de l'avis
33Le PFPDT est tenu d'émettre un avis. L'avis n'est pas une décision, mais un acte réel et n'est donc en principe pas contraignant. Néanmoins, une confirmation du PFPDT peut avoir différentes conséquences.
34On peut toujours s'attendre à un avis positif lorsque le code prévoit le respect de toutes les dispositions de la LPD. Le critère de l'avis est donc la loi. Le PFPDT peut assortir l'avis de propositions d'amélioration et de recommandations, notamment en cas d'absence de concrétisation ou d'application incorrecte de la loi. Conformément à l'art. 59 LPD, un émolument est perçu auprès des personnes privées pour une prise de position. Conformément à l'art. 44, al. 1 et 2, OLPD, les émoluments se calculent en principe en fonction du temps consacré, le tarif horaire étant de 150 à 250 CHF, selon la fonction du personnel chargé de l'exécution.
35On peut partir du principe, après un avis positif, que le comportement conforme au code n'entraînera pas de sanctions ou de mesures administratives, c'est-à-dire que les traitements de données conformes au code sont conformes à la protection des données.
36En outre, il est possible de renoncer à une analyse d'impact sur la protection des données (AIPD) si le PFPDT émet un avis positif et si le code de conduite se fonde sur une AIPD encore actuelle qui protège la personnalité et les droits fondamentaux de la personne concernée (art. 22 al. 5 let. a et b LPD). Un code de conduite approuvé constitue une alternative ou une exception à l'obligation d'établir une analyse d'impact. Pour les analyses de risques d'une entreprise, il est judicieux de coupler les DSFA et les codes de conduite afin de minimiser autant que possible un éventuel risque lié à la protection des données.
37Les conséquences d'une prise de position erronée posent question. Dans ce cas, la personne privée est persuadée que son propre code de conduite est conforme à la protection des données. Les traitements qui s'y fondent n'entraîneront donc pas de mesures administratives ou de sanctions. Si la personne privée viole malgré tout la protection des données en raison de renseignements erronés, elle risque malgré tout des sanctions dans certaines circonstances. En effet, les conditions d'une protection valable de la confiance sont strictes. Pour que celle-ci soit acceptée, il faut notamment que le code contienne des formulations suffisamment concrètes et que les faits survenus soient congruents avec ce qui est prévu.
38 L'article 11 ne prévoit pas de réglementation pour le cas où différentes associations fixent des règles différentes dans leurs codes pour des situations identiques ou qui se recoupent. Dans la mesure où les projets concurrents remplissent en eux-mêmes les conditions susmentionnées, le PFPDT donnera un avis favorable aux codes. Il est toutefois libre de signaler les contradictions dans son avis, étant donné que l'uniformisation des règles de protection des données est incluse dans l'objectif de la norme.
39Il peut ainsi arriver qu'un responsable de traitement membre de différentes associations s'engage à respecter des codes de conduite contradictoires. Comme le PFPDT n'émettra un avis positif que si les exigences légales de la LPD sont remplies, il n'entrera pas en conflit avec la loi de ce fait. Néanmoins, il est recommandé de n'adhérer qu'à un seul code de conduite afin de maintenir la rigueur des principes de protection des données internes à l'entreprise.
IV. Autorégulation selon l'article 40 du RGPD
40Le RGPD connaît également une norme d'autorégulation et de concrétisation de la protection des données. L'article 40 du RGPD parle de "l'élaboration de règles de conduite" par des fédérations ou des associations similaires. Ici aussi, on mise sur des mesures autorégulatrices des entreprises. Les règles doivent être considérées comme un complément et non comme un substitut aux dispositions légales.
41Les exigences et les conséquences juridiques des codes de conduite et celles des règles de conduite sont similaires. Ainsi, les codes de conduite sont également soumis à une autorité de surveillance pour avis, qui est également publié. Le responsable doit respecter les principes de la protection des données conformément à l'obligation générale de rendre compte visée à l'article 5 al. 2 du RGPD et être en mesure de le prouver. La rédaction de règles de conduite facilite cette démarche. L'article 40 du RGPD précise les exigences relatives aux codes de conduite (al. 2 let. a à k) et prévoit différentes procédures pour assurer une protection sûre des données dans tous les États membres, notamment par le biais d'actes d'exécution de la Commission.
42Le RGPD promet également aux entreprises des avantages et des facilités de preuve si elles se soumettent volontairement à des codes de conduite approuvés.
43Contrairement à la Suisse, une règle de conduite qui a été soumise au Comité européen de la protection des données par l'autorité de surveillance nationale (article 63 du RGPD) et confirmée par ces dernières peut également avoir des effets au niveau de l'Union. Par le biais d'une déclaration de validité générale, les règles de conduite peuvent être déclarées valables dans toute l'Union (art. 40, al. 9 RGPD). Un code de conduite qui s'inspire uniquement de la LPD et qui n'a été soumis qu'au PFPDT n'a aucune garantie de conformité à la protection des données au niveau transnational. Il semble préférable que les associations (suisses) actives dans l'Union soumettent également leurs codes aux organes compétents de l'UE ou que les responsables reprennent des codes de conduite déjà approuvés. Cela facilite l'accès au marché et entraîne en même temps une augmentation de l'efficacité, car moins de temps et de ressources doivent être consacrés aux processus bureaucratiques et réglementaires. En outre, il en résulte une harmonisation des normes, ce qui profite notamment aux entreprises actives à la fois en Suisse et dans l'UE.
Bibliographie
Amacher Michel/Hajdini Lorian, Straf- und Strafprozessrecht/Geheime Überwachungsmassnahmen im digitalen Zeitalter, in: Alexandra Dal Molin-Kränzlin/Anne Mirjam Schneuwly/Jasna Stojanovic (Hrsg.), Digitalisierung - Gesellschaft - Recht, Zürich/St. Gallen 2019, S. 386.
Baeriswyl Bruno, Geschichten aus dem Wilden Westen - Der Datenschutz im privatrechtlichen Bereich geht seine eigenen Wege: Der Grundrechtsschutz bleibt auf der Strecke., digma 2011, S. 140 ff.
Drittenbass Joel, Regulierung von autonomen Robotern, Zürich 2021, S. 309 ff.
Gasser Dominik/Rickli Brigitte, Schweizerische Zivilprozessordnung (ZPO), Kurzkommentar, Zürich et al. 2014.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Zürich 2021, S. 315 ff.
Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutzgrundverordnung BDSG, München 2020.
Kunz Laura, Kommentierung zu Art. 11 DSG in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Lepperhoff Niels, Kommentierung zu Art. 40 DS-GVO in: Gola/Heckmann (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., Königswinter et al. 2022.
Paal Boris P./Pauly Daniel A., Datenschutzgrundverordnung, Beck’sche Kompakt-Kommentare, 3. Auf., München 2021.
Portmann Wolfgang/Meier Anne (Hrsg.), Jahrbuch des Schweizerischen Arbeitsrechts 2021, Bern 2021, S. 57 ff. (zit. JAR 2021).
Richter Julia, Soft Law als Brückenbauer zwischen Wirtschaft und dem Schutz der Gesundheit?, Archiv des Völkerrechts 2014/52, S. 545 ff.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020; Stirnimann Sonja, Der Verhaltenskodex aus praxistauglicher Perspektive, EF 10/22 2022, S. 460 ff.
Rothkegel Tobias, Verhaltensregeln und Zertifizierungen, in: Moos Flemming/Schefzig Jens/Arning Marian Alexander (Hrsg.), Praxishandbuch DSGVO, Frankfurt am Main 2021, S. 879 ff.
Wind Christian, Leitfaden Compliance, Zürich et al. 2018, S. 111 ff.
Matériaux
Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.