-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
En bref
L'art. 20 LPD contient une série d'allègements de l'obligation d'informer : d'une part, des exceptions pour lesquelles l'obligation d'informer est entièrement supprimée, par exemple lorsque la personne concernée dispose déjà des informations correspondantes ou que le traitement est effectué en exécution d'une obligation légale. D'autre part, la disposition contient des restrictions dans lesquelles l'obligation d'informer subsiste, mais où l'information peut être limitée, différée ou suspendue dans un cas particulier, par exemple lorsqu'une information ferait échouer le but du traitement ou lorsque des intérêts prépondérants s'opposent à une information. L'article 20 LPD sert de correctif à une obligation d'information globale et veille à ce que l'obligation d'information ne devienne pas une charge excessive pour les responsables et reste limitée aux cas où elle est nécessaire pour la protection des personnes concernées.
I. Généralités
A. But de la norme
1 L'article 20 LPD prévoit une série d'allègements de l'obligation d'information. Cette disposition vise à garantir que l'obligation d'informer s'applique là où elle est nécessaire pour un traitement transparent des données et pour la protection des personnes concernées, et qu'elle ne s'applique pas dans les cas où elle serait superflue ou disproportionnée. Elle est l'expression de la volonté du législateur de trouver un équilibre entre les intérêts en présence et de créer des allègements ciblés. En comparaison avec le RGPD, la liste des exceptions de l'article 20 LPD est assez vaste.
B. Historique
2 L'art. 20 LPD regroupe les exceptions et restrictions réparties dans différents articles de l'ancien droit (art. 9, art. 14 al. 4 et 5, art. 18a et art. 18b aDSG) et les complète de manière modérée. L'art. 20 LPD n'a pas été contesté dans son principe lors des débats parlementaires, une partie du Parlement estimant toutefois que l'exception en cas de charges disproportionnées allait trop loin. Le privilège de groupe selon l'art. 20 al. 4 LPD a été ajouté lors des débats parlementaires.
C. Systématique
3 La disposition distingue d'une part les exceptions, dans lesquelles l'obligation d'informer est totalement supprimée, et d'autre part les restrictions, dans lesquelles l'obligation d'informer subsiste en principe, mais où le responsable peut limiter, différer ou suspendre l'information dans un cas particulier. L'art. 20 LPD s'applique aussi bien aux responsables privés qu'aux organes fédéraux, mais fait parfois la distinction entre les particuliers et les organes fédéraux en ce qui concerne les différentes exceptions et restrictions.
4 Les exceptions et restrictions contenues dans l'article 20 LPD sont exhaustives. Une violation du devoir d'information ne peut pas non plus être justifiée en vertu de l'article 31 LPD, car le devoir d'information de l'article 19 LPD est de nature publique et non une concrétisation des principes de traitement selon l'article 6 LPD.
D. Notes d'interprétation
5 Les exceptions prévues à l'art. 20 LPD vont parfois assez loin et comprennent également des cas dans lesquels le traitement des données est certes reconnaissable (base légale, al. 1 let. b) ou la confidentialité des données personnelles traitées est garantie (obligation légale de garder le secret, al. 1 let. c), mais où le besoin d'information de la personne concernée, protégé par le devoir d'information, n'est pas satisfait. Il convient donc d'interpréter les faits constitutifs de manière plutôt restrictive et de les mettre en conformité avec l'objectif du devoir d'information.
II. Exceptions (al. 1 et 2)
A. Généralités
6 L'art. 20 LPD définit aux al. 1 et 2 un total de six situations dans lesquelles le responsable est totalement dispensé de l'obligation d'informer les personnes concernées. Dans ces situations, la personne concernée ne doit pas non plus être informée de l'applicabilité de l'exception elle-même. Il ne lui reste qu'à exercer son droit d'accès, sachant que la personne concernée n'a souvent aucune raison de demander des informations sur ses données si elle n'est pas au courant de leur traitement et que le droit d'accès est lui-même soumis à des restrictions similaires (article 26 LPD).
B. Connaissance préalable des informations (al. 1 let. a)
7 L'obligation d'informer ne s'applique pas si la personne concernée dispose déjà des informations en question. Les personnes concernées ne doivent pas être informées de choses qu'elles connaissent déjà, ce qui est évident. Une exception comparable à l'obligation d'information se trouve également dans le DSGVO. Dans l'ancienne LPD, l'exception était encore un peu plus restreinte et se référait au processus d'information et non à l'existence de l'information en soi (art. 14, al. 4, et art. 18a, al. 3, aDSG : "si la personne concernée a déjà été informée").
8 Cette exception signifie tout d'abord que les personnes concernées ne doivent pas être informées à nouveau lors de collectes de données ultérieures si elles ont déjà été informées à l'occasion d'une collecte précédente. La condition est que les collectes soient matériellement liées et qu'elles ne soient pas trop éloignées dans le temps. On peut penser par exemple à des commandes individuelles dans une boutique en ligne, si l'information a déjà été donnée lors de la création du compte, ou à des traitements médicaux ultérieurs, si une information a déjà été donnée dans le cadre du premier traitement.
9 Un autre cas d'application de l'exception est celui où la personne concernée a consenti à un traitement de données, car un consentement valable selon l'art. 6 al. 6 LPD présuppose par définition une information suffisante. Les informations exigées par l'art. 19 LPD peuvent donc également être communiquées au moyen d'une déclaration de consentement.
10 Selon le message, les situations dans lesquelles la personne concernée transmet ses données personnelles au responsable du traitement sans l'intervention de ce dernier doivent également tomber sous le coup de l'exception. Cela va assez loin, car la connaissance de la personne concernée se limite ici au fait de la collecte. Il existe cependant un intérêt légitime à être informé sur d'autres circonstances du traitement des données, par exemple, dans l'exemple cité par le message d'une candidature à un emploi, si (et pendant combien de temps) les documents de candidature sont également conservés pour de futurs emplois, à qui ils sont éventuellement transmis et où ils sont stockés.
11 Enfin, les cas dans lesquels il est établi que la personne concernée a renoncé aux informations visées à l'art. 19 LPD ou qu'elle n'a pas d'intérêt à être informée relèvent également de l'exception. Cela doit toutefois se limiter à des cas clairs et ne peut en tout cas pas être supposé dès lors que la personne concernée a rendu ses données personnelles accessibles au public (p. ex. sur un profil de média social).
C. Traitements prescrits par la loi (al. 1 let. b)
12 L'obligation d'informer ne s'applique pas non plus lorsque le traitement des données est prévu par la loi. La réflexion est que dans ces cas, le législateur a déjà défini les points clés du traitement des données en mettant en balance les différents intérêts en jeu et que l'information des personnes concernées n'offrirait donc pas de protection supplémentaire importante. Le RGPD contient une exception similaire, mais limitée au cas d'une collecte indirecte et liée à la condition que la norme légale régisse expressément le traitement des données et prévoie des mesures appropriées pour protéger les intérêts légitimes des personnes concernées.
13Pour bénéficier de l'exception, soit le traitement des données lui-même doit être prescrit par la loi, soit le traitement des données doit être indispensable à l'exécution d'une obligation légale. En ce qui concerne les responsables privés, une base suffisamment précise dans une loi au sens matériel suffit. Pour les organes fédéraux, le critère de l'article 34 LPD s'applique et une loi au sens formel est nécessaire lorsqu'il s'agit du traitement de données personnelles sensibles, du profilage ou d'une atteinte grave aux droits fondamentaux.
14 Les traitements de données exigés par la loi sont nombreux dans l'ordre juridique et l'exception a donc une grande importance pratique. On peut citer comme exemple : La tenue du registre des actions ainsi que la convocation et la tenue de l'assemblée générale dans le cas des sociétés anonymes ; les obligations d'identification et la détermination de l'ayant droit économique dans le cadre de la lutte contre le blanchiment d'argent ; les obligations de déclaration en matière de santé publique en rapport avec les maladies transmissibles ; le paiement du salaire et l'établissement de certificats par l'employeur dans le cadre des rapports de travail ; les obligations de décompte en matière de fiscalité et d'assurances sociales.
15 L'exception peut également être invoquée lorsque le responsable a lui-même provoqué l'obligation légale, par exemple les obligations d'identification prévues par le droit du blanchiment d'argent en initiant la relation commerciale ou les traitements indiqués par le droit du travail en concluant le contrat de travail.
16 Si le traitement des données va au-delà de l'obligation légale (par exemple, si les données collectées dans le cadre de la lutte contre une pandémie doivent également être utilisées à des fins de marketing), l'exception ne s'applique pas et il convient d'informer. De même, les traitements de données qui ne se déroulent qu'à un niveau général dans un cadre défini par la loi, mais qui sont effectués volontairement, ne sont pas exemptés de l'obligation d'informer. Dans le domaine des collaborateurs, une information est donc régulièrement nécessaire, par exemple sous la forme d'une déclaration de protection des données des collaborateurs. Même si le cadre fixé par l'article 328b CO n'est pas dépassé, les traitements de données dans le domaine des collaborateurs vont généralement au-delà de ce qui est effectivement prescrit par la loi.
17 Dans le cas des organes fédéraux, le traitement de données personnelles en vertu de l'article 34 LPD repose dans la plupart des cas sur une base légale. Les dispositions légales correspondantes sont toutefois souvent formulées de manière assez générale et ne peuvent souvent pas garantir à elles seules la transparence visée par l'obligation d'informer. De l'avis correct, l'al. 1 let. b ne dispense donc les organes fédéraux de l'obligation d'informer que si le traitement des données est expressément prévu par la loi et décrit de manière suffisamment précise. Les art. 69f et 69g LRTV en relation avec l'art. 6 de la loi sur la radio et la télévision peuvent servir d'exemple de traitement de données décrit de manière précise dans la loi. Les art. 67 et 67a ORTV peuvent être cités. En revanche, exempter les organes fédéraux de l'obligation d'informer sur la base de l'al. 1 let. b pour chaque traitement fondé sur la loi mettrait excessivement à mal la transparence des traitements de données effectués par l'Etat fédéral et rendrait largement obsolète l'applicabilité de l'art. 19 LPD aux organes fédéraux en tant que tels ainsi que les restrictions prévues à l'art. 20 al. 3 LPD spécialement pour les organes fédéraux.
D. Obligations légales de garder le secret (al. 1 let. c)
18 Les personnes physiques soumises à une obligation légale de garder le secret sont exemptées de l'obligation d'informer. On pense notamment aux groupes professionnels mentionnés à l'art. 321 CP, comme les ecclésiastiques, les avocats, les pharmaciens et les médecins. L'exception ne vaut que (mais tout de même) pour le domaine d'activité protégé par le secret, mais pas pour d'autres activités éventuelles d'une personne appartenant à ces groupes professionnels. Ainsi, si l'avocate ou le médecin de famille traite par exemple des données personnelles pour l'acquisition de clients (invitation à des manifestations ou envoi d'informations à la clientèle) ou pour la mise à disposition de son site web, elle est soumise à l'obligation d'informer pour ces activités.
19 La personne morale qui emploie éventuellement la personne tenue au secret ou pour laquelle elle travaille n'est pas concernée par l'exception. Une corporation d'avocats ou un centre médical doit donc également informer sur les traitements de données effectués dans le domaine d'activité protégé par le secret (p. ex. sur les prestations d'avocats dans le domaine du monopole ou sur les prestations de santé). L'exception ne s'applique pas non plus aux organes fédéraux.
20 Selon le message, l'exception prévue à l'al. 1 let. c permet de régler un éventuel conflit de normes entre l'obligation de garder le secret et l'obligation d'informer, ce qui n'est toutefois pas convaincant : même dans le domaine d'activité protégé par le secret, la mise à disposition des informations exigées à l'art. 19 LPD ne révélerait aucune donnée personnelle et donc aucun secret. Un avocat pourrait par exemple sans autre informer de manière générale que les données personnelles contenues dans un acte juridique seront transmises à la partie adverse et au tribunal compétent. De la même manière, un médecin pourrait informer de la transmission de données personnelles à l'assurance-maladie à des fins de facturation. Le secret professionnel ne serait pas touché dans de tels cas. Si un conflit devait néanmoins exister dans un cas particulier, il pourrait être résolu par l'une des restrictions prévues à l'al. 3 (par ex. en cas d'intérêts prépondérants).
21 L'exception générale au devoir d'information pour les personnes soumises à l'obligation de garder le secret est également surprenante parce que la confidentialité des données personnelles traitées est certes garantie en cas d'obligation légale de garder le secret, mais le besoin d'information protégé par le devoir d'information ne disparaît pas pour autant sans autre. Par exemple, la question de savoir à quelles fins le détenteur du secret traite les données personnelles reste ouverte, p. ex. si le médecin ou l'avocat pratique également le profilage et utilise les données collectées à des fins de marketing.
22 Le RGPD contient une exception comparable pour le cas où les données personnelles collectées sont soumises à un secret professionnel. Elle est à la fois plus large et plus étroite que l'exception de la LPD : l'exception du RGPD n'est pas limitée aux personnes privées, mais ne s'applique qu'en cas de collecte indirecte.
E. Privilège des médias (al. 1 let. d)
23 Une autre exception concerne l'activité de recherche des médias en vue de la publication d'un travail journalistique et de la protection des sources. Dans les mêmes conditions que celles selon lesquelles un renseignement peut être refusé, il est également possible de renoncer à une information : L'art. 20 al. 1 let. d LPD renvoie à l'art. 27 LPD. Cette exception protège la fonction d'information et de contrôle des médias. Si les personnes qui font l'objet d'une recherche d'investigation devaient en être informées et les sources d'information divulguées, le travail journalistique serait rendu impossible et les médias ne pourraient pas remplir la fonction démocratique qui leur est dévolue.
24 L'exception de l'al. 1 let. d n'est disponible que pour les traitements de données personnelles en vue d'une publication dans la partie rédactionnelle d'un média à parution périodique (p. ex. un journal ou un magazine en ligne). L'exception ne peut pas être invoquée pour les "publireportages" et autres publications à caractère essentiellement publicitaire, ni pour les activités de recherche en vue d'un film documentaire ou d'un autre média non périodique. Le cas échéant, il est toutefois possible de recourir à un autre motif d'exception ou de restriction pour de telles activités de recherche, par exemple à l'art. 20 al. 3 let. b LPD (entrave à la finalité).
F. Impossibilité d'informer (al. 2 let. a)
25 Si les données personnelles ne sont pas collectées directement auprès de la personne concernée, c'est-à-dire indirectement, l'obligation d'informer tombe également si l'information n'est pas possible. En cas de collecte directe, l'exception n'est pas disponible, ce qui est logique. Logiquement, la collecte directe de données auprès de la personne concernée ne peut pas être possible, mais son information impossible.
26L'impossibilité de procéder à l'information existe par exemple lorsque la personne concernée ne peut pas du tout être identifiée. Dans l'exemple de la photo d'une personne inconnue cité dans le message, cela ne peut pas être supposé sans autre au vu des possibilités technologiques actuelles. L'exception n'a pas non plus de pertinence pratique : En cas d'impossibilité d'identification, le lien avec la personne des données concernées fait généralement défaut et la question du devoir d'information ne se pose même pas.
G. Effort disproportionné (al. 2 let. b)
27 Enfin, l'obligation d'informer ne s'applique pas lorsque les données personnelles sont collectées indirectement et que l'information des personnes concernées exigerait un effort disproportionné. Là encore, l'exception ne peut pas être invoquée en cas de collecte directe. On peut raisonnablement attendre de celui qui collecte des données personnelles directement auprès de la personne concernée qu'il l'informe de la collecte.
28 Il convient de déterminer au cas par cas quel effort est encore proportionné et se base sur l'effort du responsable par rapport à l'intérêt des personnes concernées à être informées. Ce qui est déterminant à cet égard, ce n'est pas l'intérêt concret à être informé de certaines personnes, mais un intérêt général à être informé. Plus les données traitées sont sensibles, plus le traitement est important, plus les modalités du traitement sont critiques, plus la criticité du but du traitement est grande et plus les technologies utilisées pour le traitement sont nouvelles, plus on peut exiger des efforts importants du responsable.
29 Le message cite comme exemple de charge disproportionnée le traitement de données personnelles à des fins d'archivage. Dans le cas d'un grand nombre de personnes, l'information serait liée à une charge de travail élevée, alors que l'intérêt des personnes concernées à être informées devrait régulièrement rester limité dans de tels cas. La disposition d'exception analogue du RGPD cite comme autres exemples le traitement à des fins de recherche scientifique ou historique ainsi qu'à des fins statistiques. L'information des personnes concernées peut également être disproportionnée lorsque de très grandes quantités de données sont utilisées pour l'entraînement de Large Language Models et de modèles d'IA similaires, par exemple lorsque l'intelligence artificielle est entraînée avec "l'ensemble de l'Internet". Dans la pratique, il est recommandé de documenter à chaque fois les considérations pour lesquelles une information de la personne concernée n'est plus jugée proportionnée.
30 L'état de fait de l'al. 2 let. b est conçu comme une exception, mais une limitation aurait été plus appropriée. Si une information est disproportionnée, par exemple en raison du grand nombre de personnes concernées, une omission totale de l'information ne semble pas appropriée. Un moyen plus doux (et évident) dans de tels cas serait de mettre à disposition une déclaration de protection des données sur le site web de l'entreprise concernée en renonçant à une notification individuelle.
III. Restrictions
A. Généralités
31 L'article 20 LPD contient à l'al. 3 un total de cinq constellations dans lesquelles l'information peut être limitée, différée ou suspendue. Contrairement aux exceptions visées aux al. 1 et 2, l'obligation d'informer ne disparaît pas complètement dans ces cas et l'information ne peut être limitée que dans la mesure où le motif correspondant l'exige dans le cas particulier. Si le motif de la restriction disparaît ultérieurement, l'information doit être complétée. Comme pour les exceptions, la personne concernée ne doit pas être informée de l'application et de l'étendue de la restriction conformément à l'al. 3 et il ne lui reste plus qu'à faire valoir son droit d'accès.
32 Les possibilités de restriction de l'information se basent en grande partie sur une pesée des intérêts, lors de laquelle le motif concret d'une restriction doit être mis en relation avec le besoin d'information des personnes concernées. En revanche, dans le cas des exceptions, c'est le plus souvent l'existence d'un fait précis (par exemple le fait que la personne concernée dispose déjà de l'information) qui permet de déterminer s'il peut être fait usage de l'exception ou non.
B. Intérêts prépondérants de tiers (al. 3 let. a)
33 Il existe une possibilité de limiter l'information si celle-ci est nécessaire en raison d'intérêts prépondérants de tiers. La formulation "tiers" à l'al. 3 let. a ne doit pas être comprise exclusivement au pluriel et l'intérêt prépondérant d'un seul tiers suffit également pour pouvoir restreindre l'information. Cette possibilité de limitation existe aussi bien pour les responsables privés que pour les organes fédéraux.
34 La limitation peut être utilisée dans les cas où des tiers ont un intérêt à ce que l'information ne soit pas transmise à la personne concernée et que cet intérêt l'emporte sur le besoin d'information de la personne concernée. Cela est surtout envisageable dans des constellations où la personne concernée obtiendrait également des informations sur des tiers par le biais de l'information et où leurs intérêts au maintien du secret seraient ainsi lésés. Dans la pratique, de tels cas de figure ne devraient toutefois que rarement se présenter, car l'information en tant que telle ne révèle généralement pas de données à caractère personnel.
C. Détournement de la finalité (al. 3 let. b)
35La limitation de l'information pour les responsables privés et les organes fédéraux est également possible si l'information fait échouer le but poursuivi par le traitement des données. L'art. 20 al. 3 let. b LPD ne précise pas si une simple atteinte à la finalité du traitement suffit à limiter l'information ou s'il doit y avoir un empêchement complet. Selon le message, les dispositions de l'art. 20 al. 3 LPD doivent être interprétées de manière restrictive, raison pour laquelle il faut partir du principe que l'empêchement doit être total.
36 Dans le cas de plusieurs finalités poursuivies par un traitement de données, l'information à la personne concernée doit faire échouer la finalité principale proprement dite, qui doit en outre revêtir une importance considérable selon le message. La possibilité de restreindre l'information est également limitée par le fait que les intérêts purement économiques n'entrent généralement pas dans le champ d'application de la restriction selon l'al. 3 let. b. Dans la pratique, il n'y aura donc que peu de cas où les responsables privés pourront faire usage de cette restriction. Les possibilités d'application sont plus larges pour les organes fédéraux, surtout dans le domaine de la poursuite pénale, mais dans ce cas, la possibilité de restriction de l'al. 3 let. d ch. 2 devrait également s'appliquer.
37 Les activités de recherche en rapport avec le journalisme d'investigation, qui ne tombent pas sous le coup de l'exception de l'art. 20 al. 1 let. d LPD, par exemple parce que la recherche est effectuée pour un documentaire et non pour un média à parution périodique, constituent un exemple d'application de la restriction. Un ajournement de l'information sur la base de l'al. 3 let. b peut également se justifier lorsque des données personnelles sont traitées dans le cadre d'une conservation de preuves pour un procès ultérieur et que l'information de la personne concernée rendrait impossible la collecte de ces preuves. Il est tout aussi envisageable de différer l'information lors de la réalisation d'études comportementales dans lesquelles les personnes concernées doivent adopter un comportement aussi naturel que possible et où une information avant la réalisation de l'étude fausserait les résultats. De même, dans le cas d'une filature justifiée d'une personne par un détective privé, l'information à la personne observée ferait échouer son objectif.
D. Intérêts prépondérants du responsable du traitement (al. 3 let. c)
38 La possibilité de limiter l'information en raison des intérêts prépondérants du responsable n'est ouverte qu'aux responsables privés. Les organes fédéraux ne peuvent pas se prévaloir de cette possibilité.
39 Contrairement à l'al. 3 let. b, les intérêts économiques tels que la promotion des ventes ou le développement de produits entrent également en ligne de compte. Comme la possibilité de restriction ne s'adresse qu'aux responsables privés, il s'agira dans de nombreux cas précisément de tels intérêts économiques. La limitation effective de l'information doit toutefois être précédée d'une mise en balance entre les intérêts du responsable et le besoin d'information des personnes concernées. Il s'agit d'un critère assez ouvert et il est donc conseillé aux responsables de documenter les raisons pour lesquelles leurs propres intérêts prévalent.
40 La condition préalable à une limitation de l'information selon l'al. 3 let. c est en outre qu'aucune communication de données ne soit faite à des tiers. On entend par là les communications à des responsables indépendants, par exemple à des partenaires de coopération ou à des réseaux publicitaires, mais les autorités sont également concernées. En revanche, les communications à des sous-traitants, qui effectuent le traitement des données sur ordre du responsable, ainsi qu'à des responsables conjoints, sont inoffensives. Si les communications aux sous-traitants et aux responsables conjoints doivent également être couvertes, la LPD parle généralement de "destinataires" plutôt que de "tiers".
41 De même, selon l'al. 4, les communications de données à des sociétés du groupe sont généralement inoffensives, et ce même si le destinataire interne au groupe est lui-même un responsable. En cas de communication de données personnelles au sein du propre groupe, par exemple dans le domaine des RH, les conditions de la possibilité de restriction restent donc remplies. Ce privilège de groupe n'était pas prévu à l'origine dans le projet de loi et a été ajouté au cours des débats parlementaires. L'exclusion de la possibilité de restriction de l'al. 3 let. c ne concerne donc que les communications à des responsables distincts en dehors du propre groupe de sociétés.
42 L'al. 3 let. c offre une marge de manœuvre considérable pour l'application pratique d'une limitation de l'information, car un intérêt prépondérant du responsable peut être invoqué pour un grand nombre de traitements de données. En règle générale, on peut supposer qu'il existe des intérêts prépondérants, par exemple dans le cas de traitements de données à bas seuil tels que de simples mesures de fidélisation de la clientèle, pour lesquels les circonstances ainsi que la manière dont les données sont traitées sont évidentes et pour lesquels une information complète n'apporterait donc aucune valeur ajoutée aux personnes concernées.
E. Intérêts publics prépondérants (al. 3 let. d ch. 1)
43 Pour les organes fédéraux, il est possible de limiter une information si cela est nécessaire pour protéger des intérêts publics prépondérants. Pour les responsables privés, il n'est pas possible de fonder une limitation de l'information sur l'al. 3 let. d.
44 Ce qu'il faut entendre par intérêt public est défini de manière assez large. La norme cite à titre d'exemple les intérêts de la sécurité intérieure ou extérieure de la Suisse, ce qui peut être pertinent en particulier dans le contexte des activités de renseignement. Mais les intérêts publics sont également concernés lorsqu'il s'agit par exemple de respecter des obligations de droit international public, de poursuivre des objectifs diplomatiques ou d'entretenir des relations avec l'étranger. Un organe fédéral pourrait donc limiter l'information, par exemple, si la communication aux personnes concernées devait nuire aux relations de politique étrangère avec un autre pays.
45 Ici aussi, l'intérêt public doit "prévaloir" et une pesée des intérêts est donc nécessaire pour qu'un organe fédéral puisse faire usage de la possibilité de restriction. Une pesée qui compare le besoin d'information des personnes (individuellement) concernées avec les intérêts nationaux de sécurité devrait toutefois souvent être en faveur de la possibilité de restriction.
F. Mise en danger de la procédure (al. 3 let. d ch. 2)
46 Enfin, l'al. 3 let. d ch. 2 prévoit encore une possibilité de restriction lorsque l'information aurait pour conséquence de mettre en danger une enquête, une instruction ou une procédure administrative ou judiciaire. Cette possibilité n'est également ouverte qu'aux organes fédéraux et ne peut pas être utilisée par des responsables privés. Les responsables privés doivent recourir à un autre motif d'exception ou de restriction dans les cas où la procédure est menacée.
47 Cette possibilité a un contenu proche de la limitation de l'information lorsque celle-ci ferait échouer le but même du traitement des données. Contrairement à l'al. 3 let. b, pour lequel la finalité doit être effectivement mise en échec, une mise en danger suffit toutefois pour la possibilité de restriction selon l'al. 3 let. d. Il n'est donc pas nécessaire que la mise en danger se réalise effectivement ; le risque suffit.
Bibliographie
Bieri Adrian/Powell Julian, Informationspflicht nach dem totalrevidierten Datenschutzgesetz, AJP 2020, S. 1533 ff.
Bühlmann Lukas/Lagler Marion, Informationspflichten und Auskunftsrecht nach dem neuen Datenschutzrecht, SZW 2021, S. 16 ff.
Cottier Bertil, Transparence des traitements de données personnelles opérés par les organes fédéraux: un pas en avant, deux en arrière, SZW 2021, S. 65 ff.
Ettlinger Claudius, Die Informationspflicht gemäss neuem Datenschutzgesetz, in Jusletter IT 16. Dezember 2021.
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 19 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Vasella David, Zu den Anforderungen an die Erfüllung der Informationspflicht nach dem revDSG, datenrecht.ch, 28. Oktober 2022, abrufbar unter https://datenrecht.ch/zu-den-anforderungen-an-die-erfuellung-der-informationspflicht-nach-dem-revdsg, besucht am 25.5.2023 (zit. Informationspflicht).
Matériaux
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 18.5.2023 (zit. Botschaft DSG).