-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Personne soumise à l'obligation et point de rattachement (al. 1)
- III. Contenu de l'information (al. 2-4)
- IV. Modalités de l'information (al. 5 ; art. 13 OLPD)
- V. Conseils pratiques
- VI. Application et conséquences juridiques
- VII. Critique de la norme
- Bibliographie
- Matériaux
En bref
Le devoir d'information selon l'art. 19 LPD concerne les déclarations de protection des données importantes dans la pratique et doit concrètement augmenter la transparence des traitements de données. Elle complète le principe général de transparence et exige que les personnes concernées soient informées des points essentiels du traitement des données lors de chaque collecte de données personnelles. Le catalogue des informations minimales à communiquer est plus court que celui du RGPD et comprend les coordonnées, les finalités du traitement, les catégories de données traitées, les catégories de destinataires des données, des informations sur les transferts à l'étranger ainsi que des indications sur les décisions individuelles automatisées. Toutefois, l'art. 19 LPD va plus loin que le RGPD sur un point et exige en outre l'indication des pays destinataires, l'indication de groupes de pays ou de régions étant suffisante. Dans la plupart des cas, les informations ne doivent pas être communiquées activement aux personnes concernées et il suffit qu'elles soient mises à disposition de manière facilement accessible sur Internet. L'obligation d'information fait partie des faits punissables de la loi révisée sur la protection des données : Quiconque omet intentionnellement de fournir des informations ou fournit intentionnellement des informations fausses ou incomplètes peut être sanctionné par une amende. Compte tenu du fait que, dans la pratique, les déclarations de protection des données ne sont pratiquement jamais lues ou comprises dans le détail, il semble douteux que l'obligation d'informer permette réellement d'atteindre l'objectif poursuivi, à savoir accroître la transparence des traitements de données.
I. Généralités
A. But de la norme
1 L'art. 19 LPD réglemente le devoir d'information du responsable lors de la collecte de données personnelles. Il s'agit des avis de protection des données, importants dans la pratique, ou des déclarations de protection des données, très répandues dans la vie économique. Le devoir d'information fait partie des dispositions clés du droit de la protection des données, ce qui se traduit parfois par le fait qu'il compte parmi les dispositions de la nouvelle loi sur la protection des données qui sont passibles de sanctions.
2 L'objectif du devoir d'information est d'accroître la transparence des traitements de données. Un traitement transparent des données personnelles est un principe fondamental du droit de la protection des données et l'augmentation de la transparence était un objectif déclaré de la révision de la LPD. Les personnes concernées doivent savoir que des données les concernant sont traitées et elles doivent avoir la possibilité de connaître les points essentiels du traitement des données.
3 La transparence des traitements de données doit permettre aux personnes concernées de prendre une décision informée sur le recours à des offres et l'utilisation de services, et leur permettre d'exercer les droits que leur confère la législation sur la protection des données. L'obligation d'informer sert donc aussi indirectement à renforcer les droits des personnes concernées, ce qui correspond à un autre objectif de la révision.
4 Enfin, selon le message, l'obligation d'informer doit permettre de sensibiliser davantage la population à la protection des données et donc de promouvoir les questions de protection des données en général.
B. Historique
5 L'art. 19 LPD renforce l'obligation d'informer lors de la collecte de données personnelles qui figurait déjà dans l'ancienne LPD. Sous l'ancien droit, les personnes concernées ne devaient être informées qu'en cas de collecte de données personnelles sensibles ou de profils de la personnalité. Désormais, les responsables doivent en principe informer lors de chaque collecte de données personnelles. La nouvelle LPD élargit également de manière modérée le catalogue des informations obligatoires. La LPD révisée regroupe en outre les dispositions jusqu'ici dispersées dans plusieurs articles et crée une réglementation uniforme pour le traitement par des responsables privés et par des organes fédéraux.
6 L'augmentation de la transparence des traitements de données faisait partie des objectifs principaux de la révision de la LPD. De plus, la Convention 108 sur la protection des données, contraignante pour la Suisse, prescrit un devoir général d'information lors de la collecte de données personnelles, ce qui doit être transposé dans le droit national. La directive (UE) 2016/680, pertinente pour le domaine Schengen, connaît également une obligation d'information. L'extension du devoir d'information n'a donc pas été contestée dans le processus législatif. A quelques modifications près, le texte devenu loi correspond à la version du projet.
C. Classification et délimitation
7 L'art. 19 LPD complète le principe général de transparence de l'art. 6 LPD. Alors que le principe de transparence crée une transparence de base, l'obligation d'information, qui s'appuie sur ce principe, répond à un besoin d'information plus large. Le responsable doit non seulement s'assurer que la collecte de données est reconnaissable en tant que telle, mais aussi fournir aux personnes concernées certaines informations sur les finalités et les modalités du traitement. Illustration avec la comparaison de denrées alimentaires de David Rosenthal : les consommateurs doivent pouvoir reconnaître immédiatement qu'il s'agit d'une confiture de fraises (principe de transparence), tandis que la liste des ingrédients et d'autres détails ressortent de l'étiquette des denrées alimentaires, qui peut être consultée en cas d'intérêt (obligation d'information).
8 Contrairement au principe de transparence, le devoir d'information n'est pas une concrétisation du droit de la personnalité de l'art. 28 CC, mais est de nature publique. La violation du devoir d'information ne constitue donc pas une atteinte à la personnalité. Une violation ne peut donc pas non plus être justifiée en vertu de l'art. 31 LPD. Les exceptions et les limitations du devoir d'information sont définies de manière exhaustive à l'article 20 LPD.
9 L'art. 19 LPD est à son tour complété par l'art. 21 LPD, qui prévoit un devoir d'information particulier en cas d'automatisation complète de décisions importantes, et concrétisé par l'art. 13 OLPD, qui pose des exigences quant à la manière dont l'information doit être fournie.
10 Le devoir d'information doit être distingué du concept de consentement. Une déclaration de protection des données assure la transparence exigée par la loi, mais ne constitue pas un consentement en vertu du droit de la protection des données et ne légitime pas une action en vertu de l'art. 30 s. LPD. LPD qui doit être justifié. Il existe toutefois un lien entre le devoir d'information et les consentements dans la mesure où, d'une part, la déclaration de protection des données permet de créer la base d'information nécessaire à un consentement valable et où, d'autre part, le respect du devoir d'information et l'obtention d'un consentement peuvent coïncider dans un cas particulier (p. ex. lorsqu'une déclaration de consentement contient toutes les indications obligatoires exigées par l'art. 19 LPD).
D. Notes d'interprétation
11 L'obligation d'information de la loi révisée sur la protection des données s'inspire de l'obligation d'information contenue dans le RGPD. L'art. 19 LPD ne reprend toutefois pas simplement l'obligation d'information du RGPD, mais établit une réglementation qui s'écarte délibérément du RGPD sur certains points. Par exemple, la LPD prescrit moins d'informations minimales que le RGPD et accorde des exceptions plus larges à l'obligation d'information. Comme l'a montré Thomas Steiner, l'article 19 LPD doit donc être interprété de manière autonome et la pratique du RGPD ne doit être utilisée que pour confirmer et plausibiliser le résultat de l'interprétation suisse.
12 Avec David Vasella, il faut en outre se prononcer en faveur d'une interprétation réservée de l'obligation d'information : D'une part, l'art. 19 LPD est également une norme fondant une infraction pénale et le principe de légalité pénale exige donc une interprétation restrictive. D'autre part, l'exécution de l'obligation d'informer est liée à des dépenses considérables pour les entreprises, ce qui touche à la liberté économique selon l'art. 27 Cst. et n'est admissible que si l'intervention est proportionnée et limitée à la mesure nécessaire. Enfin, une certaine retenue dans l'interprétation s'impose également parce qu'une transparence de base est déjà garantie par le principe de transparence de l'article 6 LPD et que l'obligation d'informer ne protège qu'un besoin d'information allant au-delà.
II. Personne soumise à l'obligation et point de rattachement (al. 1)
A. Personne obligée
13 L'obligation d'informer s'adresse au responsable du traitement, c'est-à-dire à la personne privée ou à l'organe fédéral qui décide de la finalité et des moyens du traitement. Les sous-traitants soumis à des instructions ne sont pas soumis à l'obligation d'informer pour les traitements effectués sur mandat du responsable.
14 Le responsable n'est pas tenu d'exécuter lui-même l'obligation d'information. Il peut également déléguer l'information à un sous-traitant ou à un autre tiers (p. ex. à une agence web pour l'exploitation d'un site web). Même dans de tels cas, le responsable reste toutefois responsable de l'exécution correcte de l'obligation d'information.
B. Point de rattachement
15 L'obligation d'informer est déclenchée par toute collecte de données personnelles, indépendamment du fait que le responsable collecte les données directement auprès de la personne concernée ou indirectement. Le mode de collecte des données n'a d'importance que pour le moment de l'information. Il n'est pas non plus déterminant de savoir s'il s'agit d'une collecte durable ou répétée ou, comme dans le cas d'un jeu-concours isolé, d'une collecte unique de données. Dans les deux cas, l'information doit être fournie. Le fait d'utiliser des données personnelles déjà existantes dans un but nouveau ou supplémentaire constitue également une (nouvelle) collecte qui déclenche l'obligation d'informer.
16 Il n'est pas nécessaire d'informer le responsable lorsque des données personnelles lui parviennent par hasard ou sans qu'il ait à intervenir. Il s'agit par exemple de demandes de journalistes, de candidatures spontanées, de recommandations de collaborateurs ou de demandes non sollicitées par courrier électronique. L'information doit toutefois être fournie si ces données personnelles reçues involontairement doivent être utilisées à des fins nouvelles ou supplémentaires.
17 Le fait que l'obligation d'informer soit liée à l'événement de la collecte des données signifie, en termes de droit transitoire, que les personnes concernées ne doivent pas être informées, lors de l'entrée en vigueur de la nouvelle LPD, des traitements de données déjà en cours (dans la mesure où l'information n'a pas déjà été faite de toute façon à un moment antérieur). Une information des personnes concernées, par exemple des clients existants, doit cependant avoir lieu au plus tard lorsque de nouvelles données sont collectées, par exemple pour les abonnés à un service en ligne lors de leur prochaine connexion ou pour les participants à un programme de fidélisation de la clientèle lors de leur prochain achat.
III. Contenu de l'information (al. 2-4)
A. Informations obligatoires
1. Généralités
18 L'art. 19 LPD contient aux al. 2 à 4 une liste d'informations obligatoires qui doivent impérativement être communiquées aux personnes concernées : Coordonnées du responsable, finalités du traitement, destinataires des données ou catégories de destinataires, catégories de données traitées ainsi que pays destinataires en cas de transmissions à l'étranger et leur protection. Peu d'informations obligatoires supplémentaires figurent dans d'autres dispositions de la LPD, notamment à l'art. 21 LPD concernant les décisions individuelles automatisées et à l'art. 14 al. 3 LPD concernant la représentation en Suisse.
19 En comparaison avec le RGPD, le catalogue de la LPD est court. Il faut s'en féliciter et cela laisse tout de même la place, en dehors du champ d'application du RGPD, d'informer avec mesure et de lutter contre la "surcharge d'informations" qui sévit aujourd'hui. La réglementation flexible de la LPD permet de limiter l'information aux données pertinentes en fonction des risques et d'omettre les données inutiles.
2. Données de contact
20 Tout d'abord, le nom et les coordonnées du responsable doivent être indiqués. La loi ne précise pas quelles données de contact doivent être communiquées. Il est toutefois évident qu'il faut indiquer au moins une adresse postale et une adresse électronique. L'indication d'un numéro de téléphone est également envisageable, mais inhabituelle et plutôt déconseillée compte tenu de la possibilité de prises de contact importunes par des personnes mal intentionnées.
21 Les responsables domiciliés à l'étranger doivent également publier le nom et les coordonnées d'un représentant en Suisse éventuellement désigné en vertu de l'art. 14 LPD (art. 14 al. 3 LPD).
22 La mention des coordonnées d'un éventuel conseiller à la protection des données désigné est facultative. Ceci à la différence du RGPD, où les coordonnées du conseiller à la protection des données doivent obligatoirement être communiquées. La LPD incite toutefois (un peu) à publier les coordonnées du conseiller à la protection des données en ce sens que les responsables privés ne peuvent se prévaloir de l'exception à la notification du PFPDT qu'en cas de risques résiduels élevés après avoir effectué une analyse d'impact relative à la protection des données. Pour cela, il suffit de publier une boîte aux lettres fonctionnelle (p. ex. datenschutz@unternehmen.ch) ; il n'est pas nécessaire de mentionner le nom du conseiller à la protection des données.
3. Finalités du traitement
23 Le responsable du traitement doit indiquer les finalités pour lesquelles les données personnelles sont traitées. Les personnes concernées doivent donc pouvoir savoir dans quel but leurs données sont traitées.
24 Le degré de détail avec lequel les finalités du traitement sont décrites est laissé à l'appréciation du responsable. Des désignations courtes telles que "communication", "exécution de contrats", "développement de produits" ou "marketing" sont en principe autorisées. Des descriptions plus détaillées ou des exemples explicatifs sont toutefois plus utiles, ce qui est également recommandé au regard du principe de finalité, car des formulations peu claires seraient, en cas de doute, interprétées de manière restrictive au détriment du responsable du traitement, conformément au principe de confiance.
25 Outre les finalités actuelles du traitement, il est également possible de mentionner les éventuelles finalités futures du traitement. Cela est également admissible lorsque les traitements concernés ne sont pas encore concrètement prévus, mais ne constituent qu'une possibilité. Compte tenu du principe de finalité de l'article 6, al. 3, LPD, de nombreuses entreprises seront tentées de rédiger de tels avis de protection des données excessifs afin de se réserver autant que possible de nouvelles utilisations des données, ce qui ne favorise toutefois pas la clarté des avis de protection des données.
4. Destinataires des données
26 Il convient ensuite d'indiquer les catégories de destinataires auxquels les données personnelles sont transmises. La mention "le cas échéant" dans le texte de loi n'a guère d'importance pratique, étant donné que les sous-traitants engagés par le responsable du traitement font également partie des destinataires et que, de nos jours, rares sont les responsables du traitement qui peuvent se passer entièrement de sous-traitants. Les responsables conjoints sont également considérés comme des destinataires, tout comme les "tiers" proprement dits. Les sociétés du même groupe sont également des destinataires, mais pas les entités appartenant à la même entité juridique, telles que les départements ou les succursales.
27 Les catégories peuvent être définies par le responsable comme il l'entend, la loi ne donne aucune indication à ce sujet. On pourrait par exemple imaginer des catégories assez étroitement définies comme "prestataire de services informatiques", "entreprise de logistique" ou "prestataire de services de recouvrement", mais des catégories plus sommaires comme "sous-traitant" sont également autorisées.
28 Au lieu de catégories de destinataires, il est également possible de mentionner des destinataires individuels. La mention de destinataires individuels est toutefois facultative, l'indication de catégories suffit. Dans la pratique, on renonce généralement à indiquer des destinataires individuels, car la plupart des entreprises disposent d'un grand nombre de destinataires (surtout des sous-traitants) et la mise à jour d'une liste correspondante serait fastidieuse. L'indication de destinataires concrets s'est quelque peu répandue dans le domaine en ligne, où les outils de tiers utilisés sont parfois mentionnés individuellement en relation avec les cookies et autres technologies similaires.
5. Données personnelles traitées
29 Il convient ensuite d'indiquer les catégories de données personnelles traitées. Ici aussi, le responsable est libre de définir les catégories comme il l'entend et de choisir le degré de détail qui lui semble judicieux et approprié pour une information suffisante des personnes concernées. On pourrait par exemple imaginer des catégories telles que "données de base", "données de comportement" ou "données de préférence". Des catégories telles que "données personnelles sensibles" ou "données relatives à la santé" sont également possibles. En règle générale, il est en outre utile de concrétiser les catégories parfois peu saisissables par des exemples de types de données (p. ex. "nom", "adresse électronique", "lieu de résidence") et de les rendre plus tangibles. Il est également utile, mais pas nécessaire, d'affecter les différentes catégories de données à des fins de traitement concrètes.
30 Conformément à l'art. 19 al. 3 LPD, les catégories de données traitées ne doivent être indiquées que si les données ne sont pas collectées directement auprès de la personne concernée. L'idée sous-jacente est que la personne concernée n'a besoin d'être informée que dans ce cas. En revanche, si elle communique elle-même ses données personnelles (p. ex. en remplissant un formulaire en ligne ou un bulletin de participation à un jeu-concours ou en transmettant une candidature à un emploi), elle connaît déjà les données traitées par le responsable du traitement.
31 Suivant cette idée, la limitation doit être interprétée de manière stricte et se limiter aux cas où la personne concernée communique sciemment des données. En revanche, les catégories de données traitées doivent également être indiquées, par exemple, lorsque les données sont certes collectées directement auprès de la personne concernée, mais que cela se fait sans son intervention active et qu'elle n'a donc éventuellement pas conscience que des données la concernant sont traitées. C'est par exemple le cas lors de la collecte automatisée de données de transaction lors d'achats dans des magasins ou dans le commerce en ligne ou lors du webtracking sur Internet. Pour les mêmes raisons, les catégories de données traitées doivent également être indiquées lorsque le responsable du traitement déduit de nouvelles données à partir de celles reçues de la personne concernée, par exemple des informations sur les intérêts et affinités personnels.
6. États destinataires
32 En cas de communication de données personnelles à l'étranger, les États destinataires doivent être indiqués. Selon l'art. 5 let. e LPD, on entend par communication, outre la transmission, tout accès à des données personnelles depuis l'étranger. De telles transmissions à l'étranger sont très fréquentes dans le monde des entreprises, par exemple lors de l'utilisation de services basés sur le cloud.
33 Avec l'obligation d'indiquer les pays destinataires, la LPD est sans nécessité plus stricte que le RGPD, où seules les informations sur la communication à l'étranger elle-même doivent être fournies, mais pas celles sur les pays destinataires. La LPD ne tient pas compte du caractère international des échanges de données. Toujours est-il que la LPD n'impose pas non plus de dresser une liste des différents pays, ce qui serait difficilement praticable dans la pratique. Il suffit d'indiquer des groupes de pays ou des régions, par exemple "UE/EEE" ou "Europe". Il est également possible d'indiquer "mondial". Pour les personnes concernées, il est évident que leurs données peuvent en principe être traitées dans n'importe quel pays du monde.
34 Si, parmi les pays destinataires, se trouvent des États ne disposant pas d'un niveau de protection des données adéquat, des indications supplémentaires doivent être fournies : Dans de telles constellations, il faut communiquer les garanties prises conformément à l'art. 16 al. 2 LPD pour assurer une protection des données appropriée ou l'exception revendiquée conformément à l'art. 17 LPD. Dans ce cas, il suffit par exemple de mentionner la conclusion des clauses contractuelles standard reconnues par la Commission européenne et le PFPDT, qui sont de loin l'instrument le plus courant pour garantir les transferts à l'étranger.
7. Décisions individuelles automatisées
35 Dans la mesure où le responsable utilise des décisions individuelles automatisées, il doit en informer les personnes concernées ainsi que de la possibilité de soumettre la décision à un examen humain à la demande de la personne concernée (art. 21 LPD). Sont considérées comme décisions individuelles automatisées les décisions qui sont entièrement automatisées et qui ont des conséquences juridiques pour les personnes concernées ou qui les affectent considérablement d'une autre manière. L'obligation d'informer ne s'applique donc qu'aux décisions entièrement automatisées ; il n'est pas nécessaire d'informer sur les décisions qui ne sont que partiellement automatisées ou qui sont prises par ordinateur.
B. Autres informations
36 Dans la pratique, de nombreuses entreprises iront au-delà des informations obligatoires présentées ci-dessus et s'inspireront généralement du catalogue plus complet du DSGVO. Ce sont surtout les grandes entreprises à vocation internationale (mais pas seulement) qui aspirent à des mentions de protection des données "conformes au RGPD", que ce soit sur une base volontaire ou parce que leurs traitements de données relèvent du champ d'application (extraterritorial) du RGPD. Le catalogue du DSGVO prévoit notamment aussi des indications sur la durée de conservation, la base juridique applicable, les intérêts légitimes poursuivis le cas échéant, les droits des personnes concernées et le droit de recours.
37 Toutefois, l'inclusion de telles informations supplémentaires n'est généralement pas prescrite par la LPD. Les informations allant au-delà du catalogue minimal ne doivent être fournies que si elles sont nécessaires dans le cas concret pour garantir un traitement des données suffisamment transparent (art. 19 al. 2 LPD). Cela ne sera que rarement le cas et il est d'autant plus probable que les données traitées sont sensibles, que le traitement est important, que les modalités du traitement sont critiques, que la criticité de la finalité du traitement est grande et que les technologies utilisées pour le traitement sont nouvelles. Conformément à l'art. 19 al. 2 LPD, la ligne directrice est ce que les personnes concernées doivent savoir pour pouvoir faire valoir leurs droits.
38 Le catalogue du DSGVO devrait constituer une sorte de limite supérieure. Il n'est guère possible d'imaginer des cas dans lesquels il serait nécessaire, en vertu de la LPD, d'aller encore plus loin que les informations exigées par le RGPD.
39 La réglementation de la LPD laisse théoriquement la possibilité de concrétiser dans un code de conduite selon l'article 11 LPD l'application de l'obligation d'information pour une branche déterminée. De tels codes de conduite spécifiques à un secteur n'ont toutefois pas encore réussi à s'imposer dans la pratique et ne joueront probablement qu'un rôle secondaire à l'avenir.
IV. Modalités de l'information (al. 5 ; art. 13 OLPD)
A. Moment
40 Selon que les données personnelles sont collectées directement auprès de la personne concernée ou indirectement, l'information doit être fournie à des moments différents. Il y a collecte directe lorsque la personne concernée communique de son propre chef ses données au responsable (p. ex. en remplissant un formulaire ou en créant un compte d'utilisateur) ou lorsque le responsable collecte lui-même les données par observation ou de manière automatisée (p. ex. en enregistrant des transactions d'achat ou en collectant des données de mouvement au moyen d'un tracker de fitness). En revanche, il y a collecte indirecte lorsque le responsable recueille des données à partir de sources publiques (p. ex. rapports des médias ou registres publics), les obtient de tiers (p. ex. d'un commerçant d'adresses ou d'une agence de renseignements économiques) ou déduit de nouvelles données à partir de bases de données existantes (p. ex. déduction de préférences par l'analyse de données de transaction).
41 En cas d'acquisition directe, l'information doit être fournie en même temps que l'acquisition. Dans la pratique, cela signifie que les informations requises doivent être facilement accessibles au moment de la collecte, par exemple sur le site web du responsable. L'information immédiatement après la première collecte de données, qui était encore autorisée sous l'ancien droit, ne l'est plus sous le nouveau droit. En revanche, une information préalable à la collecte est possible, pour autant que le lien entre l'information et la collecte soit suffisamment reconnaissable pour les personnes concernées.
42 En cas de collecte indirecte, l'information ne doit pas être donnée immédiatement, mais dans un délai d'un mois à compter de la réception des données (art. 19 al. 5 LPD). Le délai de carence d'un mois présuppose toutefois que les données personnelles ne sont pas communiquées à un autre destinataire par le responsable. En revanche, si le responsable communique les données personnelles avant l'expiration du délai, le délai de carence ne s'applique pas et l'information doit avoir lieu au plus tard au moment de la communication. Comme les communications aux sous-traitants sont également concernées (par ex. un stockage dans le cloud), le report de l'information n'a que peu d'importance pratique et il faut généralement informer directement, même en cas d'acquisition indirecte, ce qui nécessite souvent une communication active. Si cela s'avère impossible à mettre en œuvre, le responsable n'a d'autre choix que de recourir à un cas d'exception selon l'article 20 LPD.
B. Forme
43 La LPD ne contient pas de prescriptions de forme pour la communication des informations. Une information orale est également suffisante, par exemple sous la forme d'annonces enregistrées. Dans la pratique, la forme textuelle est toutefois généralement recommandée, ne serait-ce que pour des raisons de preuve.
44 Dans la pratique, le moyen le plus répandu pour remplir l'obligation d'information est la déclaration de protection des données ("Privacy Notice" ou "Privacy Policy"). Il est courant de décrire dans une déclaration générale de protection des données une large palette de traitements de données (des opérations avec les clients à la collaboration avec les partenaires commerciaux en passant par le recrutement de personnel) et de la compléter de manière ciblée par des déclarations de protection des données spécifiques à des produits ou à des services. Dans la pratique, les déclarations de protection des données en ligne ("Cookie Notice" ou "Cookie Policy") sont également très répandues pour les traitements de données liés à la visite d'un site web ou d'une application.
45 Les déclarations de protection des données constituent une information unilatérale du responsable du traitement et peuvent, en tant que telles, être adaptées de manière flexible, notamment pour tenir compte de la nature dynamique de nombreux traitements de données. D'un point de vue pratique, l'information unilatérale signifie en outre qu'aucune confirmation ou acceptation active de la déclaration de protection des données par les personnes concernées n'est nécessaire et qu'il est donc possible, dans la plupart des cas, de renoncer aux cases à cocher que l'on trouve souvent dans les formulaires en ligne ou les processus de commande.
46 Il est également envisageable d'inclure des informations sur la protection des données dans les conditions générales (CG). Toutefois, contrairement aux déclarations de protection des données, les informations relatives à la protection des données contenues dans les conditions générales font partie intégrante du contrat et ne peuvent donc être modifiées que par le biais d'une adaptation du contrat, ce qui s'avère souvent trop lourd dans la pratique. En outre, les conditions générales ne permettent de satisfaire à l'obligation d'information qu'à l'égard des partenaires contractuels (et non des autres personnes concernées). Il n'est donc pas recommandé d'intégrer des informations sur la protection des données dans les CGV et il convient d'inclure dans les CGV uniquement un renvoi à la déclaration de protection des données. Des dispositions supplémentaires en matière de protection des données dans les CG se justifient tout au plus si des consentements en matière de protection des données doivent être obtenus, même si les consentements obtenus par le biais de CG sont parfois considérés de manière critique.
47 Les mentions relatives à la protection des données sont interprétées selon la règle de l'inhabituel et de l'ambiguïté, c'est-à-dire qu'il convient d'attirer l'attention sur les éléments inhabituels et que les formulations peu claires sont interprétées au détriment de leur auteur. Il en va de même lorsque les mentions relatives à la protection des données sont conçues comme une déclaration de protection des données ou comme une information unilatérale, du moins dans la mesure où elles ne sont pas purement informatives et où elles peuvent également avoir des effets juridiques, par exemple en définissant les finalités du traitement ou en servant de base d'information pour d'éventuels consentements. Les informations sur la protection des données intégrées dans les conditions générales sont en outre soumises au contrôle des abus conformément à l'article 8 de la LCD.
C. Mise à disposition
48 Les informations obligatoires doivent être facilement accessibles aux personnes concernées (article 13 RGPD). Il n'est pas nécessaire que les personnes concernées prennent effectivement connaissance des informations. Ce n'est pas le principe d'accès qui s'applique, mais il suffit que les personnes concernées aient la possibilité d'accéder aux informations sans grand effort. L'accès à l'information peut donc supposer une participation de la personne concernée, notamment parce qu'une transparence de base est déjà garantie par le principe de transparence et que l'obligation d'information ne sert qu'un besoin d'information plus large.
49 Les démarches à entreprendre par la personne concernée pour prendre connaissance doivent cependant être raisonnables. La simple désignation d'une personne de contact ou l'envoi de la déclaration de protection des données uniquement sur demande ne seraient par exemple plus facilement accessibles et donc insuffisants. En revanche, la mise à disposition d'informations sur la protection des données sur un site web est très répandue. L'information sur Internet est suffisante tant qu'il est garanti que les indications relatives à la protection des données sont facilement trouvables sur le site web et accessibles en quelques clics. Dans la pratique, une sous-page spécifique pour la déclaration de protection des données et son lien permanent dans ce que l'on appelle le pied de page, c'est-à-dire dans la zone située en bas d'une page web, ont fait leurs preuves.
50 Une information sur Internet est en principe suffisante, même si le traitement des données a lieu hors ligne. Les personnes concernées sont aujourd'hui habituées à trouver des informations sur la protection des données sur le site web de l'entreprise, et elles le supposent même. Les informations sur la protection des données mises à disposition sur Internet offrent en outre divers avantages, tels qu'une navigation simplifiée et des possibilités étendues de présentation conviviale. Le changement de support vers Internet est donc acceptable dans la plupart des cas. Ce n'est que dans des cas particuliers, par exemple lorsqu'il s'agit d'un traitement délicat de données personnelles sensibles, que l'on s'adresse de manière ciblée à des groupes de personnes plus âgées ou que la consultation d'une page Internet n'est pas raisonnablement exigible en termes de temps en raison de la situation, qu'il peut être nécessaire, à titre exceptionnel, que les personnes concernées puissent accéder à toutes les informations obligatoires selon l'art. 19 LPD sans devoir changer de média.
51 Un moyen utile pour faciliter le changement de support est la présentation de codes QR qui peuvent être scannés avec un téléphone portable et qui mènent à la déclaration de protection des données sur Internet. Ces codes QR sont de plus en plus fréquents dans la pratique (par exemple pour la signalisation de la vidéosurveillance), mais ils ne sont pas juridiquement nécessaires.
52 Une information à plusieurs niveaux est non seulement admissible, mais aussi généralement adaptée aux besoins des personnes concernées : dans un premier temps, seul un aperçu initial du traitement des données est donné, l'information complète n'intervenant qu'à un autre niveau. Le responsable peut en principe définir à sa guise quelles informations doivent être fournies à quel niveau. Il n'existe pas d'"informations de base" qui doivent obligatoirement être fournies au premier niveau.
53 L'établissement d'une version ou d'une date de la déclaration de protection des données peut être utile, mais n'est pas exigé par la loi, pas plus que l'archivage et la mise à disposition de versions antérieures que l'on rencontre parfois dans la pratique.
D. Communication
54 La mise à disposition des informations nécessaires est généralement suffisante et aucune communication active aux personnes concernées n'est nécessaire. De même, les références à la déclaration de protection des données que l'on trouve parfois dans la pratique sur les formulaires, dans les signatures de courriers électroniques, sur le papier à lettres ainsi que dans les conversations téléphoniques et autres communications similaires ne sont pas nécessaires selon le point de vue défendu ici ; même dans les contrats, une référence explicite à la déclaration de protection des données semble souvent superflue. En cas de vidéosurveillance, un pictogramme bien visible dès l'entrée dans la surface de vente suffit généralement à établir la transparence de base nécessaire, dans la mesure où l'exploitant est reconnaissable au vu des circonstances. Dans de tels cas, on peut raisonnablement attendre des personnes intéressées qu'elles consultent le site web si elles souhaitent s'informer plus en détail sur les traitements de données effectués par l'entreprise concernée. Ils le feront intuitivement et considéreront comme allant de soi que les informations relatives à la protection des données sont disponibles sur le site web.
55 Une communication active aux personnes concernées n'est nécessaire que si la personne concernée ne sait pas (et ne doit pas savoir) que l'entreprise en question traite des données la concernant. C'est souvent le cas lorsque les données personnelles ne sont pas collectées directement auprès de la personne concernée, mais aussi dans les cas de collecte directe lorsque les données sont collectées à l'insu des personnes concernées (par exemple lorsque les personnes qui pénètrent dans un lieu public sont enregistrées de manière automatisée et que les parcours sont tracés). Dans de tels cas, les personnes concernées doivent être activement informées de la déclaration de protection des données (ce qui peut être fait par exemple en indiquant l'URL ou en mettant à disposition un code QR), sinon elles n'auront même pas l'idée d'aller sur le site web de l'entreprise pour s'informer sur le traitement des données.
56 Pour les mêmes raisons, les modifications apportées à la déclaration de protection des données dans les contrats de longue durée doivent être communiquées aux clients existants, en tout cas lorsque les finalités du traitement sont élargies et que la modification équivaut donc à une nouvelle acquisition. Sinon, les personnes concernées n'auraient aucun indice que la déclaration de protection des données a pu être modifiée et qu'il pourrait donc être indiqué de consulter le site web. Dans la pratique, une telle information est généralement envoyée par e-mail ou par l'affichage de bannières pop-up dans une boutique en ligne ou lors de la connexion à un compte client. Une indication dans un envoi de facture est également envisageable.
V. Conseils pratiques
A. Procédure et outils
57 L'élaboration de notes d'information sur la protection des données devrait se faire en étroite collaboration avec les responsables commerciaux et techniques des secteurs qui effectuent les traitements de données, car ces fonctions sont les mieux placées pour savoir quelles données sont utilisées, comment et à quelles fins. Souvent, les détenteurs des connaissances pertinentes se trouvent dans les départements de l'entreprise responsables des traitements intensifs de données, comme par exemple les départements marketing, data analytics et RH. Dans la pratique, une procédure participative basée sur des ateliers et impliquant ces détenteurs de connaissances a fait ses preuves. La collecte d'informations par le biais de questionnaires structurés ou d'entretiens est également possible.
58 Le registre des traitements conformément à l'article 12 LPD ou à l'article 30 DSGVO donne également un premier aperçu des processus de traitement et constitue souvent une bonne base pour identifier les traitements de données pertinents. En outre, le registre des traitements contient dans la plupart des cas des informations qui peuvent être utilisées pour préparer les données obligatoires, comme par exemple des indications sur les types de données traitées, le but du traitement et les (catégories de) destinataires.
59 Dans la pratique, il existe différents outils qui aident les entreprises à rédiger des avis de protection des données, notamment des modèles de déclarations de protection des données qui peuvent être utilisés comme point de départ et adaptés à leurs propres besoins. On peut citer par exemple les offres suivantes, largement utilisées :
Modèle de déclaration générale de protection des données, qui couvre de nombreuses activités de traitement standard et s'aligne aussi bien sur la LPD suisse que sur le DSGVO, élaboré par deux cabinets d'avocats suisses renommés et disponible sur https://dsat.ch/download/ (gratuit) ;
Générateur de protection des données de Datenschutzpartner pour l'élaboration d'une déclaration de protection des données pour les sites web avec des formulations types pour de nombreux outils web courants, disponible sur https://www.datenschutzpartner.ch/angebot-datenschutz-generator/ (payant) ;
Modèle de déclaration de protection des données du professeur d'université allemand Thomas Hoeren pour les exploitants de sites web, disponible sur https://www.itm.nrw/wp-content/uploads/Musterdatenschutzerkaerung-nach-der-DSGVO_Stand_September_2022-1.docx (gratuit).
60 Selon la conception courante de la gouvernance, la validation du contenu de la déclaration de protection des données devrait être effectuée par les organes de direction responsables des traitements de données, par exemple la direction. Le rôle du délégué à la protection des données ou du conseiller à la protection des données, ainsi que d'autres fonctions juridiques et de conformité, devrait se limiter à une fonction de coordination et de conseil, notamment au regard du régime des sanctions.
B. Préparation et conception
61 L'ordonnance d'exécution de la loi sur la protection des données exige une information précise et compréhensible (art. 13 OLPD). Il ne s'agit toutefois guère de critères justiciables (ni même punissables) et, dans la pratique, ce sont toujours les textes coulants d'apparence juridique qui dominent. De nombreuses entreprises sont manifestement d'avis qu'il est difficile d'obtenir un positionnement positif avec la protection des données et qu'il ne vaut donc pas la peine d'investir des ressources importantes dans une préparation conviviale des informations sur la protection des données.
62 Le fait que le droit de la protection des données incite à considérer les informations relatives à la protection des données en premier lieu comme un instrument défensif et non comme une communication centrée sur le client n'aide pas non plus : d'une part, les entreprises s'efforcent, compte tenu du renforcement des moyens et des sanctions en matière de droit de surveillance, d'intégrer des formulations ouvertes et des clauses générales et de se protéger ainsi contre le reproche d'informations inexactes ou incomplètes sur la protection des données. D'autre part, les entreprises ne veulent pas se priver d'une marge de manœuvre eu égard au principe de finalité et ne mentionner dans les avis de protection des données que les futures finalités possibles du traitement.
63 Malgré cette structure d'incitation malheureuse, il existe dans la pratique différentes approches prometteuses pour rendre les informations sur la protection des données plus faciles à lire et mieux adaptées aux besoins des destinataires :
Une information à plusieurs niveaux ("layered approach"), dans laquelle les principaux aspects pertinents du traitement des données sont d'abord présentés de manière claire et les informations détaillées ne sont fournies qu'à un niveau ultérieur. Une information à plusieurs niveaux comprend également des textes dépliants et des exemples tangibles pour illustrer les explications parfois plutôt abstraites.
Utilisation de pictogrammes de protection des données qui permettent aux personnes concernées de se faire rapidement une première idée de la manière dont leurs données sont traitées. Les pictogrammes standardisés publiés par l'association Privacy Icons, qui permettent de reconnaître en un coup d'œil certains aspects typiquement pertinents pour les personnes concernées et qui sont déjà utilisés par différentes entreprises suisses de premier plan, en sont un exemple.
Tableaux de bord de protection des données, qui offrent un accès facile et permettent aux personnes concernées de définir elles-mêmes des priorités et d'obtenir des informations ciblées sur les points essentiels.
Des vidéos explicatives qui introduisent les personnes concernées au sujet et leur présentent les contenus les plus importants de manière facilement compréhensible.
Des éléments de gamification qui permettent aux personnes concernées de comprendre les aspects centraux du traitement des données de manière ludique.
64 De telles approches de "Legal Design" peuvent considérablement améliorer l'accessibilité et la lisibilité des informations sur la protection des données et doivent donc être saluées dans le sens d'un traitement transparent des données. Il n'existe toutefois pas d'obligation légale de recourir à de telles approches conviviales, même sous le régime du RGPD.
VI. Application et conséquences juridiques
A. Droit administratif
65 Si les personnes concernées n'ont pas été informées correctement du traitement des données, le PFPDT peut ouvrir une enquête et ordonner la mise en place d'une information conforme à la loi en tant que mesure administrative (art. 51 al. 3 let. c LPD). Le PFPDT peut agir d'office ou sur dénonciation.
66 L'interdiction du traitement des données ou l'ordre d'une adaptation par le PFPDT est également envisageable en principe (art. 51 al. 1 LPD). Dans la plupart des cas, une mesure aussi radicale ne devrait toutefois pas être proportionnelle au seul fait que l'information n'a pas été effectuée dans les règles.
B. Droit pénal
67 L'obligation d'informer fait partie des obligations de la LPD qui sont assorties de sanctions pénales. Quiconque omet de fournir l'information prévue à l'art. 19 LPD ou fournit des informations fausses ou incomplètes peut être puni d'une amende pouvant atteindre 250 000 CHF (art. 60 al. 1 LPD). L'obligation d'informer est une obligation à fort impact externe et la menace de sanction a donc le potentiel d'être utilisée de manière ciblée comme moyen de pression contre une entreprise, les employés ou les décideurs responsables.
68 Certains se demandent si l'art. 19 LPD satisfait au principe de précision du droit pénal de l'art. 1 CP et si une violation de l'obligation d'informer peut donc être sanctionnée par le droit pénal. En tout état de cause, il faut exiger qu'en ce qui concerne l'exhaustivité, on se base exclusivement sur les informations obligatoires selon l'art. 19 al. 2-4 LPD. Les éventuelles informations supplémentaires à fournir en vertu de la clause générale de l'art. 19 al. 2 ne doivent pas être prises en compte.
69 En principe, ce n'est pas l'entreprise qui est punissable, mais la ou les personnes physiques responsables de la violation (art. 64 al. 1 LPD en relation avec l'art. 6 DPA). Il peut s'agir de dirigeants qui ont l'obligation légale d'assurer la conformité en matière de protection des données ou de personnes qui ont la responsabilité opérationnelle des processus au sein de l'entreprise et qui sont habilitées à prendre des décisions sur les questions relatives à l'obligation d'informer. En revanche, celui qui se contente d'apporter son soutien est un complice et, en tant que tel, reste impuni. Dans certains cas, il est également possible de ne pas punir la personne physique et d'infliger une amende à l'entreprise. C'est le cas lorsque l'identification de la personne fautive nécessiterait des mesures d'enquête disproportionnées et qu'une amende de 50 000 CHF au maximum peut être envisagée (art. 64 al. 2 LPD en relation avec l'art. 7 DPA).
70 Seuls les actes intentionnels sont punis. Le dol éventuel, c'est-à-dire l'acceptation de l'acte, en fait également partie. En revanche, la commission par négligence n'est pas punissable. Celui qui oublie une indication, formule quelque chose de manière imprécise ou omet délibérément quelque chose parce qu'il estime que cela ne fait pas partie des indications obligatoires, n'agit pas intentionnellement et reste impuni. Afin d'exclure autant que possible tout acte intentionnel, les décisions prises dans le cadre de l'obligation d'information devraient être documentées de manière compréhensible, par exemple en indiquant les raisons pour lesquelles on a renoncé à une information ou omis une donnée.
71 L'art. 60 al. 1 LPD est un délit poursuivi sur plainte. Une violation de l'obligation d'informer n'est donc poursuivie que sur plainte, et non d'office. Toute personne concernée peut déposer une plainte pénale, mais pas le PFPDT.
C. Droit civil
72 La violation de l'art. 19 LPD, en tant que disposition de droit public, n'entraîne pas en soi d'atteinte à la personnalité et ne peut donc pas être invoquée par les personnes concernées par voie d'action.
73 Les personnes concernées peuvent toutefois, le cas échéant, faire valoir une violation du principe général de transparence en tant que principe de traitement et porter plainte sur cette base auprès du tribunal civil compétent.
D. DSGVO
74 Dans le champ d'application du RGPD, les violations de l'obligation d'information peuvent être sanctionnées par des amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial total (art. 83 al. 5 RGPD). Il s'agit du cadre d'amende le plus élevé des deux prévus par le RGPD. Contrairement à ce qui se passe sous la LPD, l'amende du RGPD est dirigée en premier lieu contre l'entreprise et non contre les personnes physiques agissant pour le compte de l'entreprise.
75 Sous le RGPD, une violation de l'obligation d'information peut également, le cas échéant, faire disparaître la base juridique nécessaire au traitement et rendre ainsi le traitement des données illégal.
VII. Critique de la norme
76 L'obligation d'information est l'expression d'une conception fondamentale du droit de la protection des données basée sur l'autodétermination en matière d'information. L'idée de base est que les personnes concernées s'informent sur un traitement de données et prennent sur cette base une décision informée, à savoir si elles sont d'accord avec le traitement correspondant de leurs données et si elles souhaitent exercer l'un des droits de protection des données qui leur sont accordés.
77 Dans le monde numérisé et basé sur les données d'aujourd'hui, les limites de cette compréhension de base sont de plus en plus visibles. Le traitement des données personnelles concerne aujourd'hui tous les domaines de la vie et les personnes concernées sont sans cesse confrontées à des informations complètes sur la protection des données, pour lesquelles elles n'ont souvent pas le temps ni les connaissances techniques nécessaires. Il en résulte une surcharge d'informations ("information overload") et un surmenage constant. Pour de nombreuses personnes, il est économiquement rationnel de s'épargner cet effort et de rester non informées.
78 La question se pose donc de savoir si l'obligation d'informer atteint encore l'objectif qui lui est assigné et si elle justifie les dépenses qui lui sont liées. Son fondement conceptuel remonte aux débuts de la protection des données, lorsque le traitement des données était encore plus simple. Depuis lors, notre monde a considérablement évolué sur le plan technologique et les traitements de données modernes sont souvent complexes. C'est un peu comme si l'on exigeait d'une compagnie aérienne qu'elle publie des informations techniques complètes et qu'elle attende des passagers potentiels qu'ils se fassent ainsi une idée de l'aptitude de l'avion à voler. Ici comme ailleurs, ce n'est ni réaliste ni efficace. Il vaudrait la peine de développer de nouvelles approches de la protection des données qui ne soient pas fondées sur une transparence de façade.
Bibliographie
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised and adopted on 11 April 2018, abrufbar unter https://ec.europa.eu/newsroom/article29/items/622227/en, besucht am 25.5.2023.
Bäcker Matthias, Kommentierung zu Art. 13 und 14 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bergt Matthias, Kommentierung zu Art. 83 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bieri Adrian/Powell Julian, Informationspflicht nach dem totalrevidierten Datenschutzgesetz, AJP 2020, S. 1533 ff.
Bühlmann Lukas/Lagler Marion, Informationspflichten und Auskunftsrecht nach dem neuen Datenschutzrecht, SZW 2021, S. 16 ff.
Bühlmann Lukas/Schüepp Michael, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, in: Jusletter 15. März 2021.
Ettlinger Claudius, Die Informationspflicht gemäss neuem Datenschutzgesetz, in Jusletter IT 16. Dezember 2021.
Franck Lorenz, Kommentierung zu Art. 13 DSGVO, in: Gola Peter/Heckmann Dirk (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2022.
Kohlmeier Astrid/Klemola Meera, Das Legal Design Buch, Hürth 2021.
Maric Antonio, Legal Design im Kontext von Datenschutzerklärungen, in: Jusletter IT 20. Juli 2023.
Paal Boris/Hennemann Moritz, Kommentierung zu Art. 13 DSGVO, in: Paal Boris/Pauly Daniel (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 19 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Rampini Corrado/Fuchs Philippe, Kommentierung zu Art. 14 DSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 2021, S. 52 ff.
Schweikard Christine/Vasella David, Datenschutzerklärungen und AGB, digma 2020, S. 88 ff.
Steiner Thomas, Zwischen Autonomie und Angleichung: Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz: Rechtliche Schnittstellen, Zürich 2023, S. 51 ff.
Thouvenin Florent, Datenschutz auf der Intensivstation, digma 2019, S. 206 ff. (zit. Intensivstation).
Thouvenin Florent, Informationelle Selbstbestimmung: Intuition, Illusion, Implosion (noch nicht erschienen) (zit. Informationelle Selbstbestimmung).
Thouvenin Florent/Glatthaar Matthias/Hotz Juliette/Ettlinger Claudius/Tschudin Michael, Privacy Icons: Transparenz auf einen Blick, in: Jusletter 30. November 2020.
Vasella David, Zu den Anforderungen an die Erfüllung der Informationspflicht nach dem revDSG, datenrecht.ch, 28. Oktober 2022, abrufbar unter https://datenrecht.ch/zu-den-anforderungen-an-die-erfuellung-der-informationspflicht-nach-dem-revdsg, besucht am 25.5.2023 (zit. Informationspflicht).
Matériaux
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).