-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
En bref
L'art. 12 LPD décrit l'obligation pour les organes fédéraux et les responsables et sous-traitants privés de tenir un registre des activités de traitement. Les données doivent être enregistrées tout au long de leur cycle de vie dans l'entreprise. Un registre comprend au minimum :
l'identité des responsables
les catégories de données personnelles traitées
la finalité du traitement
si possible, la durée de conservation ou au moins les critères de détermination de cette durée
les destinataires des données traitées
les mesures conformes à la protection des données
les prescriptions relatives à la communication de données à l'étranger
Ne figurent pas dans le répertoire les catégories de données personnelles que l'entreprise ne traite pas du tout et les garanties pour la communication de données à l'étranger lorsqu'il n'y a pas d'exportation de données. De même, les données qui ne pourraient être obtenues en premier lieu qu'au prix d'efforts disproportionnés.
Enfin, les entreprises de moins de 250 collaborateurs (PME) sont légalement dispensées de l'obligation d'établir et de tenir un registre des traitements en raison de l'allégement administratif. Étant donné qu'un registre des activités de traitement sert à l'information interne de l'entreprise sur les données traitées ainsi qu'au respect des obligations de responsabilité et de diligence, il est recommandé à chaque entreprise de tenir un registre.
Le registre des activités de traitement, qui n'est soumis à aucune exigence de forme, est saisi au sein de l'entreprise et offre, entre autres, une possibilité d'autorégulation réglementée, parallèlement aux codes de conduite et aux certifications. D'une part, l'entreprise gagne en clarté sur les données qu'elle traite et, d'autre part, le PFPDT s'orientera lui aussi, dès l'entrée en vigueur de la LPD révisée, vers des registres de traitement des données afin de vérifier la conformité avec la protection des données.
I. Généralités
A. Aperçu
1 Conformément aux dispositions de la loi sur la protection des données (LPD), un registre des activités de traitement est un instrument important pour le respect des prescriptions en matière de protection des données. Il constitue un aperçu systématisé des activités de traitement des données et sert d'obligation aussi bien aux organes fédéraux qu'aux personnes privées. Il fournit des informations sur l'origine et la finalité des données, les aspects de conservation, ainsi que les mesures de sécurité appliquées et le transfert de données, éventuellement à l'étranger. La norme remplace l'art. 11a aLPD en relation avec l'art. 11 OPD. Art. 11 OLPD et précise et étend l'obligation de tenir un registre des fichiers. Les responsables doivent déterminer de manière autonome les données collectées en interne et les documenter de manière systématique. Le registre met ainsi davantage l'accent sur l'obligation de documentation et sur les processus de traitement des données. Un registre des activités de traitement doit toutefois être distingué d'un registre des fichiers et présente des exigences supplémentaires en termes de contenu (cf. N 6).
2 Grâce au registre des activités de traitement, les organisations disposent d'informations importantes sur leurs données numériques, elles ont une vue d'ensemble claire et actuelle. Ainsi, tant le PFPDT, dont le contrôle de la conformité d'une entreprise avec la protection des données est simplifié, que l'entreprise elle-même en profitent.
B. Historique
3 Conformément à l'art. 11a aLPD, le "préposé", c'est-à-dire le PFPDT, tenait un registre des fichiers ("registre") accessible au public. Alors que les organes fédéraux devaient déclarer tous leurs fichiers au PFPDT pour enregistrement (art. 11a, al. 1, aLPD), les particuliers n'étaient tenus de déclarer leurs fichiers que s'ils transmettaient régulièrement des données personnelles à des tiers (art. 11a, al. 3, let. b, aLPD) ou s'ils traitaient des profils de la personnalité ou des données sensibles (art. 11a, al. 3, let. aLPD). L'art. 11a al. 5 aLPD exemptait plusieurs maîtres de fichiers d'une obligation de déclaration au PFPDT, dont les titulaires d'une certification de protection des données ou les entreprises disposant d'un responsable de la protection des données.
4 L'art. 11a LPD ne précisait pas lui-même les exigences posées à un registre des fichiers, mais l'art. 11 OLPD les concrétisait. Selon cet article, le registre devait contenir des descriptions des structures organisationnelles internes et des procédures de traitement et de contrôle des données. Des justificatifs concernant la planification, la mise en œuvre et l'exploitation du fichier ainsi que les moyens informatiques utilisés devaient également y figurer. Ces précisions ne s'appliquaient qu'aux traitements de données soumis à déclaration.
5 La notion de "liste des activités de traitement" va cependant au-delà d'un bref aperçu des données collectées. Il comprend en outre les informations sur ce qui est fait avec les données, comment elles sont collectées et où elles sont transmises. Le contenu des registres se recoupe certes avec celui d'un registre des activités de traitement, mais il se concentre davantage sur la structure, la planification et la gestion internes (de l'entreprise). La notion de registre des fichiers ne figure plus dans la LPD actuelle, car elle a été remplacée par la liste des activités de traitement.
6 L'article 12 LPD est plus complet et exige des informations supplémentaires telles que l'identité du responsable, le but du traitement, une catégorisation des données personnelles traitées et des destinataires prévus, la durée de conservation et des mesures concrètes pour garantir la sécurité des données. Bien que de nombreux points se recoupent avec l'article 11 OLPD, les exigences sont beaucoup plus détaillées, ce qui devrait également simplifier l'établissement d'un registre. L'ancienne obligation générale de documentation, c'est-à-dire l'obligation de déclarer les fichiers, est également remplacée par le registre des traitements de données.
7Avec l'entrée en vigueur de la nouvelle LPD, les personnes privées et les organes fédéraux doivent établir un registre des activités de traitement conformément à l'article 12 LPD. Toutefois, seuls les organes fédéraux doivent soumettre leur registre des traitements au PFPDT (art. 12, al. 4, LPD). L'obligation de tenir un registre s'applique en revanche également aux personnes privées. Le registre des activités de traitement permet de mieux contrôler ses propres données. Le registre des activités de traitement est désormais classé parmi les dispositions générales de protection des données.
C. Objectif de la norme
8 L'article 12 LPD est considéré comme une norme d'obligation pour les responsables du traitement et les sous-traitants. L'objectif de la norme est d'accroître la transparence lors du traitement des données. Cela est garanti par les exigences plus strictes posées au registre (art. 12 LPD) qu'à son ancien pendant, le registre des fichiers (art. 11a aLPD). Avec des indications minimales précises, les responsables disposent d'un cadre d'orientation clair pour savoir quelles données doivent figurer dans un registre. Les traitements de données sont ainsi enregistrés de manière uniforme. Il est plus facile pour le responsable interne de l'entreprise de garder une vue d'ensemble des données collectées. D'une part, il peut remplir de manière adéquate son devoir d'information et, d'autre part, satisfaire à son droit d'accès.
9 Une saisie systématique des données et des informations est généralement avantageuse pour les entreprises, et pas seulement dans le domaine des données personnelles. Un registre des matériaux ou une saisie des informations soumises à une obligation de confidentialité permettent à l'entreprise d'avoir un aperçu toujours actuel, correct et simplifié du flux d'informations interne. Ici aussi, le principe selon lequel la collecte et le relevé systématiques des données constituent une installation numérique importante s'applique.
10 Pour le PFPDT, la norme représente également une simplification. Il profite de l'uniformisation du répertoire, car il dispose désormais directement de toutes les catégorisations ou de tous les traitements pertinents. A l'avenir, le PFPDT demandera en premier lieu le répertoire lors d'une enquête. Néanmoins, le fait de ne pas tenir un registre n'entraîne pas de sanction immédiate. Le fait de fournir de faux renseignements ou de refuser son aide dans le cadre d'une enquête du PFPDT reste toutefois punissable, comme c'est déjà le cas dans le droit en vigueur.
II. Contenu
A. Contenu d'un registre des traitements
11 L'art. 12 prévoit pour ce répertoire quelques exigences minimales en matière de contenu, qui sont les suivantes :
Qui est responsable ?, art. 12, al. 2, let. a LPD.
Le responsable est la personne qui décide de la finalité et des moyens d'un traitement de données. S'il y a plusieurs responsables, ils doivent tous être mentionnés.
Quelle est la finalité du traitement, art. 12 al. 2 let. b LPD.
La finalité peut varier ; ce qui est déterminant, c'est l'objectif poursuivi par un traitement de données. En règle générale, c'est la personne à l'origine du traitement qui décide également de sa finalité.
Quelles personnes et quels types de données personnelles sont traités (catégorisations), art. 12 al. 2 let. c LPD.
Les catégories de personnes concernées sont des groupes typiques tels que les "consommateurs" ou les "employés". Les catégories de "données personnelles traitées" désignent les types de données traitées, par exemple les données personnelles particulièrement sensibles.
Qui est le destinataire des données traitées, art. 12 al. 2 let. d LPD.
Les destinataires des données personnelles traitées sont également catégorisés, par exemple les autorités de surveillance.
Combien de temps les données personnelles sont-elles conservées ou comment cette durée peut-elle être déterminée, art. 12 al. 2 let. e LPD ?
Il s'agit notamment des délais d'archivage des données collectées. S'il n'existe plus de base légale ou de but défini pour la conservation des données personnelles collectées, celles-ci doivent être effacées ou rendues anonymes (art. 6 al. 4 LPD).
Quelles sont les mesures prises pour garantir la sécurité des données conformément à l'art. 8, art. 12 al. 2 let. f LPD ?
Il est fait référence aux principes fondamentaux de la protection et de la sécurité des données. Il s'agit notamment de l'intégrité des données collectées, de mesures techniques et organisationnelles appropriées et de "privacy by default" et "privacy by design".
Quelles mesures doivent être prises pour communiquer des données à l'étranger ?, art. 12, al. 2, let. g LPD.
Outre les mesures légales (cf. art. 16 ss LPD), ces mesures comprennent également des clauses contractuelles standard dans les contrats et des normes sectorielles fixées au niveau international (cf. à ce sujet l'art. 11 LPD en relation avec l'art. 12 OLPD).
12L'article 12 est rédigé de manière très précise et détaillée, tout en permettant une certaine marge de manœuvre. La liste ne doit par exemple contenir que des informations dont le contenu est suffisamment certain. Une description ne doit être faite que si les activités peuvent être décrites de manière suffisamment concrète. Parfois, il n'est pas possible de déterminer la durée exacte de conservation. Ainsi, seuls les critères relatifs à la durée de conservation doivent être définis. En raison de cette conception large, il serait souhaitable d'élaborer des guides sectoriels qui pourraient être appliqués de manière uniforme dans les différentes branches. Tant le travail des entreprises que celui du PFPDT s'en trouveraient facilités. L'élaboration de guides sectoriels, qui pourraient être appliqués de manière uniforme dans les différentes branches, permettrait de concrétiser cette conception large. Cela aiderait tant les responsables que le PFPDT à faciliter leur travail. Les guides donneraient des instructions claires aux responsables et les aideraient à mieux comprendre et à mettre en œuvre les exigences en matière de protection des données dans leur secteur. Parallèlement, il permettrait au PFPDT de procéder à un examen et à une mise en œuvre plus uniformes de la protection des données dans différents secteurs.
B. Forme d'un registre
13L'article 12 LPD ne règle pas dans le détail la manière exacte dont les traitements de données sont systématisés dans le registre des activités de traitement. Il n'y a pas non plus de prescriptions de forme. Un registre peut prendre la forme d'un simple document Word ou Excel, mais aussi d'une solution informatique complexe. Le registre peut être tenu de manière décentralisée et sa tenue peut même être déléguée.
C. Obligations des personnes privées
1. Exigences légales
14En principe, toutes les entreprises et autres responsables privés sont tenus de tenir un registre des activités de traitement. Cela découle du fait que presque toutes les personnes privées collectent et traitent également des données personnelles dans le cadre de leur activité économique ou d'utilité publique.
2. Le sous-traitant
15La liste des activités de traitement doit être tenue par le responsable du traitement et le sous-traitant (art. 12, al. 1, LPD). Par sous-traitant, on entend une personne qui traite des données pour le compte du responsable (art. 5 let. k LPD). Un exemple est le prestataire de services informatiques qui héberge un site web ou un employé qui prend les coordonnées des clients. Un responsable est en revanche la personne qui décide de la finalité et des moyens du traitement des données (art. 5 al. j LPD).
16Chaque entreprise est exclusivement responsable des données qu'elle traite en interne. Un sous-traitant (processor), n'est pas tenu de tenir un registre de traitement pour les responsables. Les données du responsable, également appelé "contrôleur", ne doivent pas y figurer. Cela incombe uniquement au responsable lui-même, qui est responsable des données qu'il a collectées - par exemple les données des clients. Dans le cas contraire, cela entraînerait une saisie excessive de données personnelles. Cette exigence serait quasiment impossible à mettre en œuvre pour les entreprises. Il faudrait saisir l'ensemble des données personnelles du client pour chaque prestation. Il faudrait s'attendre à une prolifération des répertoires et à une perte de vue d'ensemble des données saisies. Le registre du sous-traitant contient donc moins d'informations que celui du responsable du traitement. En revanche, ce registre assure la transparence de la relation contractuelle entre le responsable du traitement et le sous-traitant, en exigeant que les deux parties soient clairement identifiables. Les conditions-cadres déterminantes sont fixées à l'article 9 LPD, qui clarifie le traitement des données par un sous-traitant.
3. Exceptions légales : PME
17L'article 12 al. 5, prévoit une exception pour les entreprises qui emploient moins de 250 personnes et ne traitent pas de données à risque. Celles-ci sont exemptées de l'obligation de tenir un registre des activités de traitement. Les traitements de données à risque sont ceux qui ont une probabilité plus élevée d'entraîner une atteinte à la personnalité (atteinte à la sphère intime, données médicales, orientation sexuelle, confession et bien d'autres). Cette exception est également mentionnée à l'article 24 de l'ordonnance sur la protection des données (OPD). L'article 24 ne contient toutefois pas de dispositions plus détaillées sur l'exception légale. Il se contente de répéter que les PME sont exemptées de l'obligation de tenir un registre, sauf si elles traitent à grande échelle des données personnelles sensibles (let. a) ou si elles pratiquent un profilage à haut risque (let. b). La notion de risque élevé est utilisée de manière analogue à celle de l'art. 22, al. 2 LPD.
18L'objectif de cette exception est d'alléger la charge administrative des petites entreprises. Il n'est pas seulement tenu compte de la taille de l'entreprise, mais aussi des données qui sont traitées et des risques qui y sont liés. Les PME sont également concernées par les sanctions prévues par la LPD et le respect des principes de protection des données est exigé des PME. Il en résulte pour les entreprises, bien qu'elles ne soient pas légalement tenues d'établir un registre des traitements, une obligation indirecte de documentation. En effet, qu'il existe ou non un registre des activités de traitement, le PFPDT s'occupera des mesures de protection des données au sein d'une PME. La PME doit donc de toute façon présenter les données traitées. Un registre permet de mieux protéger l'entreprise en termes de responsabilité civile et de devoir de diligence.
19Si la moitié de toutes les données traitées sont à risque, elles tombent sous le coup des exigences des obligations de documentation renforcées, mais il se peut que la loi ne les oblige pas à figurer dans un registre des activités de traitement. La responsabilité et le risque d'éventuelles infractions à la législation sur la protection des données incombent toujours au responsable. Il est donc recommandé d'établir un registre des traitements lorsque des traitements de données à haut risque sont effectués, quelle que soit leur ampleur.
4. Exigences contractuelles
20Il est également possible de prévoir contractuellement la tenue d'un registre. Bien qu'une telle obligation soit dispositive, elle pourrait prendre de l'importance selon le secteur. En effet, la tenue d'un registre des traitements permet à une entreprise de se prémunir non seulement contre le PFPDT et les exigences légales, mais aussi contre d'autres entreprises qui peuvent être aussi bien des partenaires que des clients. Si un responsable sait comment le sous-traitant traite et conserve les données et avec quels moyens, cela favorise la confiance et la collaboration entre les deux parties. En outre, la mise en œuvre d'une pratique de contractualisation des répertoires permet d'élaborer de manière autonome des répertoires adaptés aux secteurs économiques concernés et répondant aux enjeux spécifiques de la protection des données dans les domaines d'activité concernés.
21Lors de la contractualisation des annuaires, certains aspects doivent être pris en compte et différents obstacles peuvent survenir. La mise en œuvre d'une telle pratique permet aux entreprises de créer de manière autonome des annuaires qui répondent aux exigences et aux défis spécifiques en matière de protection des données de leurs secteurs économiques respectifs.
22L'un des obstacles consiste à rédiger les contrats de manière à ce qu'ils répondent aux exigences précises de la législation sur la protection des données. Des accords clairs doivent être conclus sur le type de données collectées, la finalité du traitement des données, la durée de conservation, les mesures de sécurité et d'autres aspects pertinents de la protection des données. Il est important de s'assurer que les accords contractuels sont conformes aux dispositions légales et que les droits des personnes concernées sont protégés de manière adéquate.
23En outre, l'élaboration de répertoires spécifiques au secteur peut s'avérer difficile. Différents secteurs économiques ont des exigences différentes en matière de protection des données et des domaines d'activité spécifiques qui peuvent poser des défis particuliers en matière de protection des données. Les entreprises doivent être en mesure d'identifier ces exigences spécifiques et de les intégrer dans leurs répertoires afin de se conformer aux règles de protection des données.
24La coopération entre les parties concernées, telles que les entreprises, les experts en protection des données et, le cas échéant, les autorités de contrôle, peut être utile pour mettre en œuvre avec succès les accords contractuels et l'élaboration d'inventaires spécifiques au secteur.
D. Obligations des organes fédéraux (art. 12, al. 4, LPD)
25Selon l'article 5 lettre i LPD, sont considérés comme organes fédéraux non seulement les autorités ou les services administratifs centraux, mais aussi toute autorité ou service de la Confédération, ainsi que les personnes qui accomplissent des tâches publiques de la Confédération.
26Les organes fédéraux ont l'obligation, en vertu de l'art. 12, al. 4, LPD, de déclarer leurs listes d'activités de traitement au PFPDT. Conformément à l'art. 56 LPD, le PFPDT tient lui-même un registre des activités de traitement des organes fédéraux, qui est publié.
27Déjà avant la révision de la loi sur la protection des données, les organes fédéraux étaient tenus de consigner les structures organisationnelles et les procédures de traitement des données dans un registre des fichiers. Cela impliquait implicitement d'indiquer le nom et l'adresse de l'organe fédéral responsable, une désignation du fichier, l'organe compétent pour le droit d'accès ainsi que la base juridique et le but. Les catégories de données personnelles traitées, les destinataires et les personnes participant au fichier devaient être saisies (art. 11a de l'ancienne LPD). Les registres de fichiers devaient également être déclarés au PFPDT pour enregistrement, conformément à l'art. 11a de l'ancienne LPD. D'une manière générale, les organes fédéraux étaient soumis à des exigences plus strictes. Le Conseil fédéral avait en outre la compétence de définir des règles particulières pour la protection des données (art. 16, al. 2, aLPD).
28Il n'y a donc pas de modification importante des obligations des organes fédéraux. L'art. 12 LPD agit plutôt comme une extension aux personnes privées des obligations qui ne s'appliquaient auparavant qu'aux organes fédéraux. Un registre des activités de traitement doit donc être tenu sans exception par les organes fédéraux. Un registre déjà existant, correctement tenu à jour, répond déjà à de nombreuses exigences d'un registre, raison pour laquelle la mise en œuvre de la loi actuelle sur la protection des données ne nécessite souvent que peu ou pas de modifications. Le changement le plus important est qu'au lieu de distinguer les fichiers, on distingue désormais les traitements de données.
E. Mise en œuvre de la conformité avec la protection des données
29En principe, un registre des activités de traitement n'est pas destiné aux personnes concernées, mais sert principalement au contrôle interne d'une entreprise ainsi qu'à l'examen par le PFPDT. L'établissement d'un registre des activités de traitement permet aux responsables d'être au clair sur leurs propres activités de traitement des données. La tenue d'un registre simplifie la mise en œuvre de certaines obligations et le respect des droits des personnes concernées, comme le droit d'accès (art. 25 LPD).
1. Obligations d'information
30L'art. 19 LPD prévoit une obligation d'information pour le responsable du traitement et le sous-traitant lors de la collecte de données personnelles. L'identité et le contact du responsable, le but du traitement et, le cas échéant, les destinataires des données personnelles collectées doivent au moins être communiqués. Avec la révision de la protection des données, l'obligation d'informer a été étendue de manière générale. Avant la révision, elle ne s'appliquait qu'à la collecte de données sensibles ou de profils de la personnalité, alors qu'elle existe désormais pour toute collecte de données personnelles.
31Un registre des activités de traitement permet d'informer la personne concernée de manière efficace et uniforme sur la collecte de ses propres données. En outre, la finalité, les moyens et, dans certaines circonstances, la durée de conservation peuvent être communiqués avec précision, puisque ces informations sont déjà contenues dans le registre. En ce sens, le répertoire représente un allègement administratif pour les entreprises, grâce auquel les processus d'information externes vis-à-vis des personnes concernées ou du PFPDT peuvent être organisés de manière plus simple et plus efficace. Plusieurs avantages découlent de cette conception plus efficace. Premièrement, le responsable réduit la charge administrative, car il ne doit plus établir et envoyer une notification séparée pour chaque traitement de données. Au lieu de cela, il peut faire référence au registre qui contient déjà toutes les informations nécessaires. Deuxièmement, la communication avec les personnes concernées est uniformisée. Comme toutes les informations sont contenues dans l'annuaire, toutes les personnes concernées reçoivent les mêmes informations sur la finalité, les moyens et la durée de conservation, ce qui permet une communication plus cohérente et plus transparente. Troisièmement, le registre facilite également la collaboration avec des parties externes, comme le Préposé fédéral à la protection des données et à la transparence (PFPDT). Lorsque le PFPDT demande des informations sur le traitement des données, l'entreprise peut simplement fournir le registre au lieu de devoir établir des rapports séparés pour chaque traitement de données.
2. Le droit d'accès
32Le droit d'accès prévu à l'article 25 LPD est un droit de la personne concernée qu'un particulier peut faire valoir dans le cadre de la législation sur la protection des données. Le droit d'accès permet de vérifier la légalité d'un traitement de données et la personne concernée a le droit d'exiger l'autorisation ou la suppression des données. Conformément à l'article 25 de la LPD, la personne concernée reçoit toutes les informations sur ses propres données personnelles afin de pouvoir faire valoir ses droits, notamment l'identité du responsable du traitement, la finalité du traitement et les données personnelles traitées elles-mêmes. Les droits qui peuvent ensuite être exercés sont par exemple le droit à la rectification des données personnelles collectées de manière erronée ou à la suppression de ces dernières (art. 32 LPD).
33Un registre des activités de traitement garantit et soutient le droit d'accès, car il comprend l'ensemble des informations qui doivent être communiquées à la personne concernée conformément à l'article 25 LPD. Un registre bien tenu permet à la personne concernée d'obtenir des informations complètes, uniformes et correctes sur les données collectées. Une information adéquate est garantie et la sécurité est accrue pour les deux parties, car l'entreprise a déjà en principe une meilleure vue d'ensemble des données collectées et court moins de risques d'enfreindre les dispositions légales en matière de protection des données. Si le registre n'est pas correct, cela peut conduire le responsable à ne pas collecter correctement les informations sur le traitement des données ou à prendre des mesures de sécurité insuffisantes. Cela comporte un risque de violation de la protection des données et peut entraîner des conséquences juridiques.
F. Données à l'étranger (art. 12, paragraphe 2, point g))
34Selon l'art. 12, al. 1, let. g LPD, le pays concerné doit être indiqué en cas de communication de données à l'étranger, ainsi que les garanties prévues à l'art. 16, al. 2 LPD. Ces dispositions garantissent que la personne concernée est informée de la transmission de ses données personnelles à l'étranger et que des mesures de protection appropriées sont prises pour la protection des données. Le registre des activités de traitement peut inclure ces exigences en indiquant le but précis du transfert de données à l'étranger et en désignant le pays de destination. En outre, la liste devrait également contenir des informations sur les garanties mises en place conformément à l'article 16, paragraphe 2, LPD, afin de rassurer la personne concernée sur l'existence de mesures de protection adéquates. Il est important que la personne concernée soit informée de manière claire et compréhensible du fait que ses données sont transférées à l'étranger et des mesures de protection qui ont été prises à cet égard. Cela permet de garantir le droit d'accès de la personne concernée et de protéger sa vie privée. Elles renforcent les exigences en matière de protection des données lors d'un traitement et d'une communication transfrontaliers de données. En principe, les données personnelles ne peuvent être communiquées à l'étranger que si le Conseil fédéral a décidé que ce pays garantit lui-même une protection adéquate des données. Une liste de l'état de la protection des données dans le monde a été publiée par le PFPDT. La Russie, une grande partie des pays africains et sud-américains ainsi que toute l'Asie (à l'exception d'Israël), entre autres, offrent une protection insuffisante.
35L'art. 16 al. 2 LPD exige soit un traité international, soit des clauses contractuelles de protection des données, soit des garanties spécifiques approuvées par le PFPDT, soit des clauses de protection standard, soit des directives internes contraignantes en matière de protection des données, également approuvées par le PFPDT (art. 16 let. a-e LPD). Celles-ci s'appliquent désormais lors d'une communication de données non seulement lorsque le pays lui-même ne garantit pas une protection suffisante, mais aussi lors de toute communication à l'étranger.
III. Comparaison avec le droit de l'UE
36L'art. 12 LPD, comme d'autres articles après la révision totale, présente quelques parallèles avec les conditions du RGPD. Ainsi, l'article 12 a été conçu de manière analogue à l'article 30 du RGPD. Tant l'article 30 du RGPD que l'article 12 de la LPD imposent aux organes publics et aux personnes privées de tenir un registre. L'identité du responsable du traitement et du sous-traitant doit y être indiquée. Les deux dispositions exigent des informations sur le but du traitement, les catégories de données personnelles traitées et les destinataires, les garanties de transfert à l'étranger, la durée de conservation et les mesures techniques et organisationnelles relatives à la mise en œuvre de la sécurité des données. L'exception à l'établissement d'un registre de traitement des données est également conservée tant à l'article 30 RGPD qu'à l'article 12 LPD. L'expression "si possible" (al. 1, let. f et g) permet, comme dans la loi suisse sur la protection des données, une certaine flexibilité. Le contenu d'un registre n'est pas fixé de manière stricte et identique pour chaque entreprise, mais s'oriente en fonction de la précision avec laquelle les données traitées peuvent être décrites. Ainsi, il n'est pas toujours possible de dire avec certitude quand les données seront effacées, et toutes les entreprises suivent des mesures techniques et organisationnelles analogues et généralement reconnues. Ici aussi, un registre de données doit pouvoir s'adapter à l'activité concernée.
37Des différences entre les dispositions apparaissent sporadiquement dans les formulations et les explications. Comme le PFPDT en Suisse, l'autorité de surveillance de la protection des données dans l'UE assume des fonctions similaires de contrôle du respect du RGPD ou de la LPD. L'art. 30 du RGPD exige en outre que l'identité du délégué à la protection des données soit indiquée dans le registre, s'il en existe un dans l'entreprise. Le transfert à l'étranger doit être spécifiquement indiqué selon le RGPD et la forme d'un répertoire doit être écrite. Les institutions publiques ou les personnes privées ont également l'obligation, en vertu du droit de l'Union, de mettre le registre des activités de traitement à la disposition de l'autorité de contrôle, à sa demande. Une coopération de bonne foi avec les autorités publiques est en principe requise.
38 Outre l'article 30 du RGPD, l'article 24 de la directive 2016/680 précise le contenu d'un registre des activités de traitement. Il convient seulement de mentionner ici que l'article 24 de la directive prévoit également l'utilisation du profilage (article 24 al. 1 let. e)) et l'indication de la base juridique des transferts de données à caractère personnel (article 24 al.1 let. g) dans un registre de traitement. Cela n'est pas prévu dans la réglementation suisse, mais peut être couvert par des indications complémentaires dans la finalité du traitement ou des catégorisations de données personnelles traitées.
Bibliographie
Baeriswil Bruno, Kommentierung zu Art. 12 DSG in: Baeriswil Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpfli Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Bucheli Bernadette, Datenschutz im Mietverhältnis: Ausgangslage und Revision des DSG, mp 2020, S. 383 ff.
Pärli Kurt/Eggmann Jonas, Das Auskunftsrecht im Privatrecht, digma 2020, S. 140 ff.
Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter 17.6.2019 (zit. Rosenthal, Controller oder Processor)
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. Rosenthal, Datenschutzgesetz)
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 2021, S. 52 ff. Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri), S. 304 ff.-
Steiner Thomas, Neues DSG: Umsetzung und Anwendung in Anwaltskanzleien, Anwaltsrevue 2022, S. 417 ff.
Sury Ursula, Neues Datenschutzgesetz und Dokumentation von Unternehmen, SJZ 2021, S. 458 ff.
Trüeb Hans Rudolf/Zobl Martin, Steuerdaten in der Cloud?, digma 2016, S. 102 ff.
Vasella David, Das neue Datenschutzgesetz und seine Umsetzung, TREX 2021, S. 272 ff.
Matériaux
Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.