-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. obligation de désigner un délégué à la protection des données (al. 1)
- III. fonction du délégué à la protection des données (al. 2)
- IV. désignation volontaire d'un délégué à la protection des données
- V. Communication du nom et de l'adresse (al. 3)
- Bibliographie
En bref
L'art. 14 LPD régit l'obligation de désigner un délégué à la protection des données en Suisse par les responsables privés ayant leur siège à l'étranger. Cette obligation n'existe que sous certaines conditions cumulatives et ne devrait s'appliquer en pratique qu'à un petit nombre de responsables. Cette représentation doit servir de point de contact pour les personnes concernées et le PFPDT afin de faciliter l'application de la LPD à l'égard de certains responsables du traitement à l'étranger. Les responsables du traitement doivent publier le nom et l'adresse de leur représentant, par exemple dans le cadre de la déclaration de confidentialité sur leur site web.
I. Généralités
A. Objectif
1 Les responsables de traitement qui n'ont pas leur siège en Suisse doivent désigner un représentant en Suisse sous certaines conditions, qui sont rarement remplies. La formulation de ces conditions entraîne une insécurité juridique quant au moment où elles sont remplies.
2 L'obligation peut être justifiée par le vaste champ d'application territorial de la LPD, car la LPD s'applique à toutes les affaires ayant des répercussions en Suisse, même si elles sont engagées à l'étranger (art. 3 al. 1 LPD). L'obligation de désigner un représentant vise à améliorer l'applicabilité pratique de la LPD, à l'instar de la représentation en matière de protection des données de l'UE prévue à l'art. 27 LPD.
B. Historique
3 La LPD a été complétée au cours des débats parlementaires par la représentation en matière de protection des données conformément aux articles 14 et 15 LPD. Ces deux articles forment, avec les "Dispositions générales", la section 2 "Traitement de données par des titulaires privés ayant leur siège ou leur domicile à l'étranger". La structure s'inspire de la représentation de l'UE en matière de protection des données selon l'art. 27 du DSGVO. Selon ce texte, le délégué à la protection des données peut être une personne morale ou une personne physique. Le règlement sur la protection des données (RGPD) ne mentionne pas la représentation.
4 La représentation en matière de protection des données touche aux revendications politiques concernant une juridiction obligatoire pour les grandes plateformes Internet étrangères, comme notamment les plateformes de médias sociaux, en matière de droit pénal et civil, mais ne les met pas en œuvre. Un projet de consultation du Conseil fédéral annoncé pour 2024 sur la réglementation des grandes plateformes de communication, selon lequel de telles plateformes doivent désigner un point de contact et un représentant juridique en Suisse, pourrait apporter une concrétisation possible de ces demandes d'élection de domicile obligatoire.
II. obligation de désigner un délégué à la protection des données (al. 1)
5 L'art. 14 al. 1 LPD définit les conditions dans lesquelles les responsables du traitement des données doivent exceptionnellement désigner un délégué à la protection des données en Suisse. Contrairement au représentant de la protection des données de l'UE selon l'art. 27 al. 1 et 2 RGPD, il n'existe pas d'obligation générale assortie d'exceptions. En conséquence, le nombre de responsables de données concernés devrait être faible.
6 Le PFPDT peut ordonner ou disposer de la désignation d'un représentant en tant que mesure administrative (art. 51 al. 4 LPD).
7 Le non-respect de l'obligation de désigner un représentant ne tombe pas sous le coup des dispositions pénales des articles 60 et suivants LPD. LPD. Le non-respect d'une injonction du PFPDT de désigner un représentant peut être sanctionné par une amende (art. 63 LPD).
A. champ d'application personnel
8 L'obligation de désigner un représentant s'applique aux responsables privés de données (art. 5 let. j LPD) ayant leur siège ou leur domicile à l'étranger s'ils traitent des données de personnes en Suisse (art. 5 let. a et b LPD) et si le traitement remplit les conditions cumulatives de l'art. 14 al. 1 let. a-d LPD. Contrairement à la représentation de la protection des données de l'UE, l'obligation en Suisse ne s'applique qu'aux responsables du traitement des données et non pas également aux personnes traitant les données.
B. champ d'application matériel
1. en relation avec l'offre de biens ou de services ou avec l'observation du comportement de personnes en Suisse (let.)
9 L'article 14 al. 1 let. a LPD se fonde sur les conditions alternatives pour le champ d'application territorial de la LPD par l'offre ou l'observation d'un comportement (article 3 al. 2 LPD), plutôt que sur le principe de l'effet selon l'article 3 al. 1 LPD. Selon ce principe, l'exigence ne s'applique que si une offre ou une observation de comportement a un effet sur un état de fait en Suisse. Un simple lien avec une offre ou une observation du comportement n'est pas suffisant.
10 La première exigence cumulative de l'art. 14 al. 1 let. a LPD est remplie, d'une part, si le traitement de données personnelles est en rapport avec l'offre de biens et de services à des personnes en Suisse. Selon le considérant 80 relatif à l'art. 27 al. 3 RGPD, une offre gratuite ou non est suffisante.
11 La seule accessibilité des offres, par exemple dans une application sur une plateforme de médias sociaux ou via un site web, n'est pas suffisante. Il faut des indices concrets montrant qu'une offre s'adresse effectivement à des personnes en Suisse. Les indices possibles sont par exemple des contenus dans les langues nationales suisses, des possibilités de livraison en Suisse, des indications de prix en francs suisses, des prix avec indication de la TVA suisse, la publication d'un numéro de téléphone suisse ou l'utilisation d'un domaine de premier niveau suisse (.ch ou .swiss).
12 En revanche, la première exigence cumulative de l'art. 14 al. 1 let. a LPD est remplie si le traitement est effectué dans le cadre de l'observation du comportement de personnes en Suisse en tant qu'alternative à l'offre ou en même temps que l'offre. Le terme "observation du comportement" est utilisé au sens de l'art. 3 al. 2 du DSGVO. Le simple enregistrement de l'accès à un service en ligne ou à un site web ne suffit donc pas. Il faut qu'il y ait un ciblage effectif de personnes en Suisse ou que l'observation conduise à un profilage par rapport aux personnes concernées en Suisse. Ainsi, la disposition devrait s'appliquer aux fournisseurs de plateformes Internet comme ByteDance, Google et Meta, mais pas, par exemple, aux exploitants de boutiques en ligne, tant que leur modèle commercial n'est pas centré sur les données et que le profilage des utilisateurs n'est effectué que dans une mesure habituelle à des fins de marketing propres.
2. traitement global (let. b)
13 La deuxième condition cumulative selon l'art. 14 al. 1 let. b LPD est remplie lorsque le traitement de données personnelles est de grande ampleur. La loi n'explique pas ce qu'il faut entendre par "traitement à grande échelle".
14 L'art. 22 al. 2 let. a LPD cite comme exemple de traitement de données à risque le traitement à grande échelle de données personnelles sensibles, mais n'explique pas non plus ce qu'est un "traitement à grande échelle". Des critères possibles seraient un grand nombre de personnes concernées en Suisse ou une grande quantité de données sur des personnes en Suisse.
3. traitement régulier (let. c)
15 La troisième exigence cumulative de l'article 14 al. 1 let. c LPD est remplie s'il y a un traitement régulier de données personnelles. La loi n'explique pas ce qu'il faut entendre par "traitement régulier".
16 Il est évident qu'il n'y a pas de régularité lorsque les responsables du traitement ne traitent les données à caractère personnel qu'occasionnellement ou pendant une période limitée. En revanche, il devrait y avoir régularité lorsqu'un responsable du traitement traite régulièrement des données à caractère personnel afin d'exercer son activité (exemple : offre par le biais d'une boutique en ligne) ou poursuit un modèle commercial centré sur les données (exemple : surveillance par le biais d'une plateforme de médias sociaux).
4. risque élevé pour la personnalité des personnes concernées (let. d).
17 La quatrième condition cumulative selon l'art. 14 al. 1 let. d LPD est remplie lorsque le traitement comporte un risque élevé pour la personnalité des personnes concernées. Cette exigence correspond à l'approche basée sur les risques de la LPD, mais sans mention des droits fondamentaux des personnes concernées (voir p. ex. aussi l'art. 5 let. g LPD : profilage à haut risque ; art. 22 al. 1 et al. 2 LPD : analyse d'impact relative à la protection des données ; art. 24 al. 1 LPD : notification des violations de la sécurité des données). L'absence de mention des droits fondamentaux des personnes concernées est probablement un oubli législatif, compte tenu des autres mentions de la LPD.
18 Le traitement de données présentant un risque élevé pour la personnalité des personnes concernées devrait être rare dans la pratique. Il est donc rare que les analyses d'impact relatives à la protection des données révèlent un risque élevé ou qu'un tel risque soit éliminé par des mesures appropriées.
III. fonction du délégué à la protection des données (al. 2)
19 Le préposé à la protection des données sert de point de contact pour les personnes concernées et le PFPDT. Les personnes concernées et le PFPDT peuvent s'adresser à la représentation, mais ne sont pas tenus de le faire. La représentation est juridiquement considérée comme ayant le droit de notifier.
20 La représentation est donc un point de contact alternatif pour les personnes concernées et le PFPDT en tant qu'autorité particulière à côté de l'entité responsable. Si l'entité responsable a désigné un délégué à la protection des données, il existe au total trois points de contact alternatifs différents (art. 10 al. 1 et 2 LPD).
21 Le délégué à la protection des données d'un responsable du traitement des données ne peut pas agir en même temps comme délégué à la protection des données du même responsable du traitement des données. La représentation serait incompatible avec l'indépendance du conseiller à la protection des données (art. 10 al. 3 let. a et b LPD).
22 Pour les personnes concernées, la représentation en tant que point de contact présente l'avantage particulier de leur permettre de s'adresser directement au service responsable en Suisse pour les questions relevant de la protection des données, notamment dans le cadre de leurs droits au sens des art. 25 ss. LPD. Dans le cas des maîtres de fichiers sans représentation en Suisse, les personnes concernées doivent par exemple adresser leurs demandes de renseignements aux maîtres de fichiers respectifs ou à leurs délégués à la protection des données à leur siège ou domicile à l'étranger.
23 Pour le PFPDT, la représentation en tant que point de contact présente notamment l'avantage de ne pas devoir atteindre les responsables du traitement des données à l'étranger par le biais de l'entraide judiciaire internationale.
24 La loi ne précise pas dans quelles langues les personnes concernées peuvent contacter la représentation. Dans le cas d'une représentation liée à l'offre, les personnes concernées devraient au moins pouvoir s'adresser à la représentation dans la langue de l'offre ou dans l'une des langues de l'offre. La limitation aux langues nationales ne semble pas appropriée. Le PFPDT devrait pouvoir contacter la représentation dans l'une des quatre langues officielles suisses (art. 33a LPO par analogie).
IV. désignation volontaire d'un délégué à la protection des données
25 Le responsable du traitement des données peut également désigner un délégué à la protection des données en Suisse sans y être obligé par l'article 14 al. 1 LPD. Le responsable du traitement des données peut également confier au représentant volontaire et au représentant obligatoire des tâches qui dépassent les obligations prévues aux art. 14 s. LPD.
V. Communication du nom et de l'adresse (al. 3)
26 Le maître du traitement des données doit communiquer le nom et l'adresse de son délégué à la protection des données. Dans le cas d'une personne morale en tant que préposé, la raison sociale correspond au nom. La publication d'une adresse électronique ou d'un numéro de téléphone n'est pas expressément requise. Toutefois, en cas de publication dans l'espace numérique, il est évident de proposer un moyen de contact numérique, notamment une adresse électronique. En comparaison, l'art. 13 al. 1 let. a du DSGVO prévoit non seulement l'"adresse", mais aussi les "données de contact".
27 Pour remplir sa fonction de point de contact (article 14 al. 2 du DSGVO), le nom et l'adresse du représentant doivent être publiés sous une forme facilement repérable et accessible. Il est logique de publier ces informations dans le cadre de la déclaration générale de protection des données sur le site web du responsable ou, le cas échéant, dans les mentions légales.
28 Contrairement aux obligations d'information selon l'art. 13 f. RGPD, le nom et l'adresse de la représentation en Suisse ne relèvent pas de l'obligation d'information selon l'art. 19 f. LPD.
29 Contrairement au préposé à la protection des données (art. 10 al. 3 let. d LPD), il n'existe pas d'obligation de notification au PFPDT pour la représentation. Le PFPDT doit déduire des informations publiées si un responsable des données a désigné un représentant ou se renseigner directement auprès de ce dernier.
Bibliographie
Husi-Stämpfli Sandra, Kommentierung zu Art. 14 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023. (zit. SHK-Husi-Stämpfli, Art. 14 DSG).
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter).
Lang Markus, Kommentierung zu Art. 27 DSGVO, in: Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Taeger/Gabel, Bearbeiter/-in).