-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Contenu
- III. Violation de l'obligation de procéder à une AIPD
- IV. Défis et pertinence pratique
- V. Comparaison avec le droit de l'UE
- Bibliographie
- Matériaux
En bref
L'art. 22 LPD régit les conditions de réalisation d'une analyse d'impact relative à la protection des données (AIPD). L'article s'inspire des dispositions des art. 35 f. DSGVO. A l'aide de l'analyse des risques en matière de protection des données, une évaluation de ces risques doit être effectuée au préalable lors d'un traitement de données prévu qui entraînera vraisemblablement des risques élevés pour la personnalité ou les droits fondamentaux des personnes concernées. Ainsi, des mesures appropriées pour minimiser les risques doivent être définies et prises avant le début du traitement des données. Selon la loi, il y a notamment un risque élevé en cas (i) de traitement à grande échelle de données sensibles (p. ex. données relatives à la santé) ou (ii) de surveillance systématique à grande échelle de zones publiques (p. ex. installation de caméras de surveillance dans un parc). La liste des risques élevés mentionnés à l'article 22 n'est toutefois pas exhaustive. Typiquement, les risques élevés résulteront de l'utilisation de nouvelles technologies et de nouveaux processus, tels que les systèmes algorithmiques ("intelligence artificielle"), les systèmes DLT ou l'analyse des données volumineuses. Toutefois, l'activité de traitement prévue peut également être considérée comme présentant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées en raison d'autres facteurs, par exemple parce que des enfants sont concernés, que des décisions individuelles automatisées sont prises ou que des données personnelles sont transmises à un réseau complexe de sous-traitants. La violation de l'obligation prévue à l'article 22 n'est toutefois pas directement punissable.
I. Généralités
A. Aperçu
1Contrairement au RGPD, la LPD révisée ne prévoit pas d'obligation générale de rendre des comptes. Elle introduit toutefois l'obligation d'effectuer une analyse d'impact relative à la protection des données (AIPD) pour les traitements de données présentant des risques élevés, ce qui constitue en fin de compte une obligation de rendre des comptes pour certains traitements de données. L'AIPD est inscrite dans la loi non seulement au niveau fédéral, mais aussi dans de nombreux cantons. A Zurich, par exemple, l'obligation correspondante figure au § 10 al. 1 de la loi sur la protection des données (IDG), en liaison avec un contrôle préalable (voir le commentaire de l'art. 23 concernant la procédure de consultation préalable au niveau fédéral).
2Avec la révision, la DSFA est ancrée dans la loi suisse sur la protection des données pour tous les responsables - pour les responsables privés ainsi que pour les organes fédéraux. C'est pourquoi le libellé de la disposition couvre à la fois les risques élevés pour la personnalité (pour le traitement des données par les responsables privés) et pour les droits fondamentaux (pour le traitement des données par les organes fédéraux) des personnes concernées. L'AIPD sert à identifier et à évaluer à un stade précoce les risques potentiels d'un traitement de données prévu, à définir et à mettre en œuvre des mesures de réduction des risques. Ces démarches doivent être entreprises avant que le traitement de données prévu ne commence (voir le but plus loin, n. 8 ss.). L'application de l'article 22 est une conséquence de l'approche basée sur les risques de la LPD, qui se manifeste de manière particulièrement claire dans la mise en œuvre des articles 22 et 23.
3Une importance croissante est accordée à la DSFA. Cela est principalement justifié par la diffusion croissante de systèmes algorithmiques avancés ou de nouvelles technologies comparables dans tous les domaines de la vie, comme les technologies de ledger distribué ou l'internet des objets. Nombre de ces applications impliquent des données personnelles et il n'est pas exclu que la personnalité ou les droits fondamentaux des personnes concernées soient exposés à des risques élevés lors de l'utilisation de ces technologies. Dans ces cas, une AIPD est donc nécessaire. Le ou la responsable est encouragé(e) à se pencher préalablement de manière analytique sur le traitement de données prévu. Parallèlement, il convient de noter que certains processus, en particulier dans le cas des systèmes algorithmiques, ne sont guère compréhensibles et que leur potentiel ne peut pas être défini de manière définitive (problématique dite de la "boîte noire"). En conséquence, les données personnelles traitées et les finalités du traitement ne peuvent éventuellement pas être clairement définies et délimitées dans un cas particulier, d'autant plus qu'il est souvent fait appel à de nombreux sous-traitants et autres tiers pour traiter les données et que les analyses de données volumineuses sur lesquelles reposent les systèmes offrent un potentiel encore imprévisible. Dans ces cas, la DSFA peut donc être une "entreprise ambitieuse", mais sa réalisation doit être prise d'autant plus au sérieux. Plus on y parviendra, plus il sera facile de garantir une utilisation fiable et transparente de ces technologies.
B. Historique
4Avant la révision totale, la LPD suisse ne prévoyait pas explicitement l'obligation pour les personnes privées traitant des données de procéder à une DSFA. Toutefois, les organes fédéraux étaient déjà tenus, sous l'ancienne LPD, de notifier au responsable interne de la protection des données ou au PFPDT les projets ayant pour objet le traitement automatisé de données personnelles (art. 20 al. 2 aLPD). Cette notification était liée à l'obligation pour les autorités fédérales concernées d'élaborer un concept de sécurité et de protection des informations ("concept SIPD") pour le traitement de données prévu. Selon le message, cette procédure était comparable à la DSFA. Pour les responsables privés, la DSFA se fondait dans certains cas sur l'article 7 aDSG. En outre, les principes de traitement des données ont toujours exigé que les conséquences d'un traitement de données soient toujours prises en compte. En outre, dans le cadre de ses conseils, le PFPDT a déjà exigé dans certains cas la présentation d'une AIPD aux personnes privées traitant des données, en particulier lorsqu'il s'agissait de traitements de données à haut risque. L'introduction de l'obligation d'effectuer une AIPD a notamment été motivée par des prescriptions à l'échelle de l'UE conformément à l'art. 8bis P-SEV 108 et à l'art. 27 s. de la directive (UE) 2016/680. L'art. 35 s. CPD prévoit des dispositions analogues. RGPD contient des dispositions analogues pour les responsables de traitement qui entrent dans le champ d'application du RGPD, mais qui n'engagent pas directement la Suisse dans le cadre de la législation.
5Au niveau international, l'instrument s'appuie sur une longue histoire qui remonte aux années 1990. C'est à cette époque que les premières "Privacy Impact Assessments" ont été développées, tant dans la directive européenne sur la protection des données (art. 20, directive 95/46/CE), qui a été remplacée par le RGPD, que dans les pays anglo-saxons. D'autres États membres de l'UE, comme la France et l'Allemagne, ont émis des recommandations correspondantes sur la base de la directive 95/46/CE. Ces directives non contraignantes visaient à minimiser ou, si possible, à exclure d'emblée les risques éventuels, d'autant plus qu'une telle orientation préventive s'est toujours avérée plus simple et moins coûteuse que l'adaptation des processus, par exemple après coup, en vue d'une enquête par l'autorité de surveillance compétente. Ces objectifs devaient être atteints notamment par une description des "flux d'informations", l'implication et la discussion avec les "parties prenantes" ainsi que par la rédaction de rapports. On peut en outre citer à titre d'exemple les dispositions de l'ancienne loi fédérale sur la protection des données (aBDSG) en Allemagne, qui prévoyait à l'article 3, al. 9, aBDSG une protection accrue pour des types particuliers de données. Ces données particulières étaient, entre autres, des données relatives aux opinions politiques ou à la santé. Avant que ces données puissent être traitées par des organisations, le délégué à la protection des données compétent devait procéder à ce que l'on appelle un "contrôle préalable" afin de garantir un traitement approprié (§ 4d al. 5 aBDSG).
6Le processus législatif en Suisse s'est manifestement rattaché à tous ces développements en prévoyant une DPA dans toutes les versions préliminaires de la LPD totalement révisée. Dans l'avant-projet, l'art. 22 et l'art. 23 LPD y afférent étaient réunis en un seul article 16 AP-LPD. L'art. 16, al. 3, AP-LPD était toutefois plus strict que la disposition actuellement en vigueur. L'article prévoyait que tant le résultat que les mesures prises de chaque AIPD devaient être notifiés au PFPDT. Dans la P-LPD, l'analyse d'impact a ensuite été regroupée en deux articles et adaptée à la structure de l'art. 35 RGPD. La liste des traitements à haut risque, qui impliquent donc obligatoirement la réalisation d'une AIPD, comprenait également le profilage dans le projet (art. 20 al. 2 let. b P-LPD). Dans le texte de loi final, ce processus de traitement a toutefois été retiré de la liste des traitements de données à haut risque sur la base des délibérations parlementaires et en accord avec la systématique législative en vigueur. Cette mesure doit être saluée, d'autant plus que dans de nombreux cas, le profilage ne sera pas considéré comme particulièrement sensible et qu'une AIPD ne serait donc pas justifiée.
7La DSFA est désormais normalisée à l'article 22 LPD et s'applique aussi bien aux responsables privés qu'aux organes fédéraux. La norme légale va ainsi au-delà de l'obligation qui existait auparavant pour les organes fédéraux en vertu de l'art. 20 al. 2 OLPD et l'élargit. Dans le cadre de la nouvelle norme introduite par la révision totale, il manque - à l'exception de l'art. 14 OLPD sur l'obligation de conservation de deux ans - d'autres dispositions d'exécution qui pourraient simplifier la mise en œuvre dans la pratique.
C. Objectif de la norme
8Le respect des conditions de l'article 22 sert à garantir qu'un traitement de données prévu n'entraîne pas une violation de la LPD. L'AIPD vise à sensibiliser le responsable du traitement aux traitements de données à haut risque, tels que l'utilisation de systèmes algorithmiques ("intelligence artificielle") ou de Big Data Analytics, l'utilisation de logiciels de reconnaissance faciale, l'introduction d'une base de données de patients ou dans le cadre d'un profilage à haut risque. Il s'agit donc d'une "auto-évaluation en matière de protection des données" pour les traitements de données présentant des risques particulièrement élevés. L'article 22 est une émanation des principes de protection des données ainsi que du principe de protection des données par la technique et des paramètres par défaut favorables à la protection des données (article 7). Ainsi, il s'agit dans un premier temps d'identifier les risques et dans un deuxième temps de les évaluer de manière analytique. Le responsable doit alors faire un pronostic sur les conséquences possibles d'un traitement de données prévu pour les personnes concernées. Il s'agit de savoir comment et dans quelle mesure le traitement de données prévu aura un impact sur les personnes concernées. Enfin, la norme vise, sur la base des résultats de l'analyse effectuée, à développer et à mettre en œuvre des mesures appropriées pour (i) atténuer les risques identifiés du traitement de données prévu, (ii) en tirer des conclusions à long terme et (iii) se comporter globalement de manière conforme à la protection des données. Si elle y parvient, la DSFA offre en outre la possibilité de prouver au PFPDT que les prescriptions du droit de la protection des données sont respectées et de réaliser des économies à long terme. Dans ce sens, l'art. 22 exige du responsable qu'il poursuive de manière autonome sa réflexion et qu'il examine les risques qui en résultent par rapport au traitement de données prévu : le traitement de données prévu est-il conforme aux prescriptions de la législation sur la protection des données ? Les principes généraux de protection des données sont-ils respectés ? Le traitement des données est-il proportionné ? La sécurité des données est-elle menacée par le traitement prévu ? Y a-t-il d'autres risques pour la personnalité ou les droits fondamentaux des personnes concernées ? Ces questions doivent être abordées indépendamment de l'importance du risque, ce qui permet au législateur de miser en grande partie sur une "mentalité d'action". Cela doit permettre de réduire les risques liés au traitement des données à un niveau jugé raisonnable.
9L'obligation de documentation et de conservation prévue à l'article 14 OLPD complète l'obligation de procéder à une AIPD pour les traitements de données présentant des risques élevés. Ainsi, le responsable du traitement est tenu de documenter le DSFA effectué et de le conserver pendant au moins deux ans après la fin du traitement des données. Ainsi, en cas d'enquête du PFPDT, le responsable est en mesure de justifier le traitement à haut risque des données et de montrer comment les risques élevés sont contrés. Il ressort de cette disposition que la DSFA est une obligation de rendre compte complémentaire, tant vis-à-vis du PFPDT que des personnes concernées.
II. Contenu
A. Destinataires
10L'art. 22 s'adresse avant tout à deux acteurs : les organes fédéraux et les responsables privés, puisqu'il s'agit d'évaluer les risques du traitement de données en question par rapport à la personnalité et aux droits fondamentaux des personnes concernées. Les organes fédéraux avaient déjà une obligation similaire dans l'aDSG. Les responsables privés, tout comme les organes fédéraux, sont concernés par cette obligation s'ils tombent dans le champ d'application de la LPD conformément à l'article 3 al. 1. Cela signifie que les responsables privés ayant leur siège à l'étranger sont également soumis à cette obligation, pour autant que leur activité de traitement des données ait des répercussions en Suisse conformément au principe de l'effet et que les autres conditions de l'article 22 soient remplies (voir le commentaire de l'article 3 pour plus de détails sur le principe de l'effet).
11Les sous-traitants ne sont pas, à juste titre, soumis à l'obligation de procéder à une AIPD, d'autant plus qu'ils traitent les données pour le compte d'un responsable du traitement et que ce dernier décide en principe de la finalité et des moyens d'un traitement de données. L'évaluation des risques ne relève donc en principe pas de leur sphère. Alors que la LPD, contrairement à l'art. 28, al. 3, let. f, RGPD, ne prévoit pas d'obligation d'assistance des sous-traitants envers les responsables lors de la réalisation d'une AIPD, une obligation d'assistance des sous-traitants peut toutefois aller dans leur sens. Dans la pratique, une telle obligation fera souvent partie des accords contractuels entre le responsable du traitement et le sous-traitant. Les principes de protection des données énoncés à l'article 6 imposent toutefois aux sous-traitants de veiller à ce que le traitement des données qui leur est confié soit conforme aux principes de protection des données. Si tel n'est pas le cas, le responsable doit être informé que l'activité de traitement des données doit être adaptée. Le cas échéant, il convient même de proposer la réalisation d'une AIPD.
B. Le risque élevé
12 Al. 22 prévoit que la DSFA doit être effectuée dans tous les cas où il existe un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. En conséquence, il n'est pas nécessaire de procéder à une AIPD pour chaque traitement de données. Cela correspond à l'approche basée sur les risques de la LPD, mais en l'occurrence, ce sont les risques pour les personnes concernées qui sont spécifiquement au premier plan et non les risques qui résultent pour les responsables.
13Le risque élevé résulte de la nature, de l'étendue, des circonstances et de la finalité du traitement des données. Ces critères sont comparables aux risques qui doivent être pris en compte dans le cadre de la définition des mesures de sécurité des données conformément à l'article 1 al. 3 du RGPD. En ce sens, le risque élevé existe notamment, mais pas exclusivement, lorsque de nouvelles technologies sont utilisées. Plus ces actions et ces fichiers de données sont étendus et sensibles, plus on peut supposer l'existence d'un risque élevé. Le traitement de données prévu doit être examiné, entre autres, sous l'angle de l'impact sur l'identité, l'autodétermination ou la dignité de la personne concernée. Le risque élevé ne doit pas se manifester effectivement : Il s'agit d'identifier et d'évaluer les risques potentiels qui pourraient survenir dans le cadre du traitement des données.
14Conformément aux let. a et b, il y a risque élevé au sens d'une fiction lorsque (i) des données personnelles sensibles sont traitées à grande échelle (p. ex. lorsque des informations sur le casier judiciaire sont publiées dans un registre public, lors de l'utilisation d'applications de santé qui procèdent à des évaluations des données et établissent des diagnostics ou lors d'essais cliniques) ou (ii) des domaines publics sont surveillés de manière globale et systématique (p. ex. la surveillance d'une aire de jeux ou d'un parc publics ou la surveillance systématique de l'utilisation d'Internet par les collaborateurs). La loi n'énumère pas d'autres traitements de données pour lesquels une AIPD doit obligatoirement être effectuée. En revanche, le RGPD prévoit par exemple plus largement que les autorités de surveillance doivent publier des listes de traitements de données nécessitant obligatoirement une AIPD.
15 Selon le libellé de l'art. 22 al. 2, ni le profilage à haut risque ni la prise de décision individuelle automatisée ne sont considérés comme des activités de traitement de données nécessitant obligatoirement une AIPD. Cela semble surprenant à première vue, d'autant plus que le profilage à haut risque implique par définition un risque élevé pour la personne concernée et que les décisions individuelles automatisées entraînent des conséquences juridiques ou d'autres conséquences qui affectent considérablement la personne concernée. Dans ce contexte, le profilage à haut risque doit toujours faire l'objet d'une AIPD. En revanche, la situation est différente et plus complexe pour les décisions automatisées, d'autant plus que la DSFA évalue le traitement des données en tant que tel, ce qui n'est pas nécessairement délicat pour ces décisions individuelles automatisées. Ce qui est délicat ici, c'est avant tout le résultat de la décision, qui est réglé à l'article 21. Une AIPD doit néanmoins être effectuée lorsque le traitement des données qui conduit à la décision individuelle automatisée pourrait en soi entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
16 Le message énumère d'autres traitements de données susceptibles d'entraîner un risque élevé, notamment en cas de traitement de grandes quantités de données, de transmission de données à des États tiers (dans ce contexte, il convient de mentionner le Data Transfer Impact Assessment ; cf. le commentaire relatif à l'art. 16 s.) ou dans la mesure où un grand nombre de personnes peuvent avoir accès aux données. Dans chaque cas, il faut toutefois toujours vérifier s'il existe effectivement un risque élevé.
17 Ni la LPD ni l'OLPD ne contiennent de prescriptions plus précises concernant la détermination du risque élevé. Il faut donc toujours vérifier, sur la base du traitement de données concrètement prévu, s'il y a lieu de procéder à une AIPD. Les lignes directrices de l'UE peuvent servir d'aide à cet égard. DSGVO prévoient neuf critères selon lesquels un risque élevé peut être déterminé. Dès qu'un traitement de données prévu remplit deux de ces neuf critères, les lignes directrices prévoient l'obligation de procéder à une AIPD. Les neuf critères sont les suivants :
Évaluation ou classification de personnes ou d'aspects de la personnalité à l'aide de données ;
Prise de décision automatisée ayant un effet juridique sur les personnes physiques ou un effet similaire ;
Surveillance systématique ;
Traitement de données confidentielles ou hautement personnelles ;
Traitement de données à grande échelle ;
Comparaison ou fusion de différents ensembles de données, sauf si l'on pouvait s'y attendre ;
Traitement de données de personnes vulnérables (p. ex. enfants, employés ou patients) ;
utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles (p. ex. intelligence artificielle, Big Data Analytics ou technologies basées sur la blockchain), étant donné que leur risque en matière de protection des données n'a souvent pas encore été évalué avec précision ; et
les cas où le traitement des données empêche les personnes concernées d'exercer un droit ou d'utiliser un service ou d'exécuter un contrat.
Alors que les lignes directrices de l'UE ne sont pas applicables en Suisse, elles peuvent être consultées pour la réalisation d'une AIPD en droit suisse et européen de la protection des données en raison des conditions légales comparables. Il n'est en outre pas exclu que le PFPDT publie des lignes directrices similaires ou qu'il applique par analogie à la Suisse les listes d'opérations de traitement de données des différentes autorités de surveillance de l'UE conformément à l'art. 35 al. 4 RGPD, qui exigent obligatoirement une AIPD. La pratique assurera une plus grande sécurité juridique en ce qui concerne l'évaluation du risque élevé.
C. Mise en œuvre de la DSFA
1. Introduction
18L'article 22 donne des indications claires sur les cas dans lesquels le responsable du traitement doit procéder à une DSFA et sur les éléments à prendre en considération lors de la mise en œuvre. Cela inclut le fait que l'évaluation des risques doit être effectuée et documentée de manière structurée. La documentation doit en outre résister à la consultation du PFPDT si, malgré les mesures mises en œuvre, le traitement des données continue d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (art. 23 al. 1 ; voir à ce sujet le commentaire détaillé de l'art. 23).
2. Déroulement
19La DSFA doit être effectuée par le responsable du traitement avant le lancement d'une activité de traitement de données nouvelle ou actualisée. Cela permet d'identifier au préalable les risques du traitement de données prévu et de mettre en œuvre les mesures correspondantes avant que des violations de la loi ne se produisent. Le principe est le suivant : le plus tôt sera le mieux. La réalisation initiale unique du DSFA ne suffit toutefois pas. Il est nécessaire de procéder à d'autres tests au cours du projet afin de vérifier si les éventuelles adaptations apportées au traitement des données conduisent à une autre évaluation et si d'autres mesures apparaissent ainsi plus appropriées, voire obsolètes.
20Sur le plan du contenu, la DSFA suppose trois étapes, définies à l'al. 3. Il s'agit, premièrement, de la phase préparatoire, au cours de laquelle le traitement des données est décrit le plus précisément possible. Deuxièmement, la phase d'évaluation permet d'évaluer les risques et, sur cette base, de prendre des mesures pour gérer ou maîtriser ces risques dans une troisième étape.
21 Avant de procéder à ces trois étapes, les responsables privés devraient toutefois vérifier s'ils sont légalement tenus de traiter les données. S'il existe une obligation légale de traitement, ils sont exemptés de l'obligation d'effectuer une AIPD (article 22, al. 4). En outre, l'autorité fédérale ou le responsable privé devrait d'abord procéder à une évaluation préalable. Il s'agit d'une évaluation générale et plutôt superficielle des risques, destinée à vérifier si le traitement de données prévu peut présenter un risque élevé (cf. risque élevé, n. 12 ss). De cette manière, il est possible de déterminer à l'avance si une AIPD est vraiment nécessaire. Si le responsable conclut que le traitement de données prévu n'entraînera vraisemblablement pas de risque élevé, aucune DSFA n'est nécessaire. Une telle décision devrait toutefois être documentée et conservée à des fins de preuve. Toutefois, si le responsable du traitement conclut, sur la base de cette évaluation préalable, que le traitement de données en question pourrait entraîner un risque élevé, la DSFA doit en principe être effectuée. Il n'y a d'exception que dans les cas visés à l'article 22 al. 5.
22 La phase préparatoire comprend une présentation détaillée de l'activité (prévue) de traitement des données. La loi ne précise ni ce que doit contenir cette description, ni le niveau de détail qu'elle doit atteindre. Selon la complexité de l'activité de traitement des données prévue, la DSFA peut donc être plus ou moins longue. La description devrait toutefois comprendre au moins le type de données traitées et les catégories de personnes concernées, l'exposé de la finalité poursuivie, la durée de conservation, les opérations de traitement, les destinataires ainsi que le lieu de traitement et de conservation. Dans le cas contraire, il n'est pas possible de procéder à une évaluation complète des risques. Cette description doit faire apparaître pourquoi quelles données personnelles doivent être traitées et comment. Dans le cadre de cette description, il convient d'aborder les technologies et les systèmes sous-jacents ainsi que les bases juridiques pertinentes afin de pouvoir, sur cette base, identifier et mettre en œuvre à temps un éventuel besoin d'intervention législative.
23 Vient ensuite la phase d'évaluation, au cours de laquelle la nécessité et la proportionnalité du traitement des données sont mises en relation avec les risques potentiels. Les conséquences négatives du traitement des données pour la personnalité ou les droits fondamentaux de la personne concernée sont ainsi évaluées. Les risques élevés ou les conséquences négatives du traitement des données peuvent se manifester de différentes manières : Ainsi, un traitement de données peut entraîner une atteinte à la réputation ou le traitement de données erronées peut avoir pour conséquence l'établissement de pronostics ou de diagnostics erronés dans le domaine médical. On peut également imaginer des situations dans lesquelles une personne est licenciée de manière injustifiée ou des pertes de confiance vis-à-vis des autorités, du responsable privé ou des amis et de la famille. En outre, le traitement des données peut également avoir des conséquences financières. La probabilité et la gravité de ces risques et de risques comparables doivent être analysées au cours de la phase d'évaluation.
24Lors de l'évaluation des risques, il convient de respecter les principes de protection des données, en particulier ceux de la minimisation des données, de la protection des données par la technique et des paramètres par défaut favorables à la protection des données (voir à ce sujet le point 4). L'autodétermination informationnelle de la personne concernée revêt également une importance particulière, mais pas les intérêts du responsable du traitement. Une pesée des intérêts en vue des mesures à prendre entre les intérêts de la personne concernée (intérêt à la protection des données, intérêt à la liberté de disposer de ses propres données) et ceux du responsable (intérêt au traitement des données) peut toutefois avoir lieu ultérieurement. Bien que les données pertinentes pour l'AIPD ne doivent pas nécessairement être "sensibles", la "nature délicate" des données doit être prise en compte dans le cadre de l'AIPD en question et des mesures à prendre. En conséquence, le nombre ainsi que la sensibilité des données doivent être pris en compte dans cette phase. La phase d'évaluation comprend l'estimation de la gravité des risques et de la probabilité de leur survenance. Bien que cette phase doive permettre d'identifier un risque potentiellement élevé, il se peut que les risques n'apparaissent qu'après la réalisation du DSFA. En ce sens, les trois phases susmentionnées ne peuvent pas être strictement séparées.
25Après avoir évalué, lors de la phase d'évaluation, si le traitement des données comporte un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, la troisième phase consiste à définir des mesures de réduction des risques. Au cours de cette phase, le responsable doit donc non seulement être conscient des risques existants, mais aussi prendre une décision sur la manière de les contrer. Les mesures peuvent être organisationnelles, techniques, juridiques ou contractuelles. Le responsable doit analyser comment l'activité de traitement des données prévue peut être adaptée afin de réduire le risque élevé à un niveau raisonnable. De telles mesures peuvent être par exemple la limitation des catégories de données, la limitation de l'accès aux données, le cryptage des données, le changement d'un sous-traitant impliqué, le changement du lieu de traitement, l'inclusion de certaines obligations dans les contrats avec des tiers en rapport avec le traitement des données, etc. Ces mesures doivent toutefois être appropriées pour réduire les risques spécifiquement identifiés et ne peuvent pas être appliquées par défaut, c'est-à-dire de manière générale par rapport à tous les risques liés aux activités de traitement des données qui nécessitent une AIPD. Elles doivent être définies au cas par cas.
26 La LPD ne précise pas si la réalisation d'une AIPD doit être unique ou régulière. Cela dépend de l'activité de traitement des données : Si elle est unique, une AIPD effectuée une seule fois suffit. En revanche, si le traitement des données est effectué sur une longue période et que l'évolution des circonstances fait apparaître des risques nouveaux ou plus élevés, la DSFA devrait être répétée. En principe, la DSFA devrait toutefois être répétée tous les trois ans environ. Il reste à voir si cette recommandation fera ses preuves à long terme compte tenu de l'évolution rapide et de l'ampleur croissante des innovations technologiques, mais cela semble peu probable à l'heure actuelle.
27 Sur le plan temporel, il faut également tenir compte du délai de conservation. Conformément à l'article 14 de l'OCPD, la documentation requise pour la DSFA doit être conservée pendant deux ans. Le délai commence à courir à la fin du traitement des données.
3. Réalisation d'une DSFA commune
28 Le responsable du traitement a le droit de procéder à une DSFA commune dans le cas de plusieurs opérations de traitement de données comparables. Cela ne s'applique toutefois que si tant les risques que les contre-mesures sont similaires. Cette possibilité vise à réduire la charge de travail et les coûts pour le responsable du traitement. Il est toutefois douteux que ce droit conduise réellement à un allègement de la charge de travail des responsables ; à moins qu'une plateforme de traitement ou une application donnée ne soit utilisée dans différents secteurs ou projets.
4. Organisation
29 La réalisation d'une AIPD n'incombe pas uniquement à une personne, un service ou une unité spécifique au sein du responsable du traitement. Comme toute autre analyse des risques, il s'agit d'un processus qui doit impliquer plusieurs personnes, services et départements de manière transversale. Au sein d'une entreprise, la DSFA implique généralement la direction du projet, le service informatique et/ou le responsable de la sécurité des informations, le service ou le conseiller chargé de la protection des données, le service juridique, le service des risques et de la conformité et d'autres personnes clés. Chaque personne impliquée est essentielle pour certaines étapes de la DSFA. Ainsi, le chef de projet est particulièrement important pour la phase préparatoire, car il est le mieux placé pour décrire le traitement (prévu) des données. Le service juridique et de protection des données est chargé d'évaluer les risques conformément à la protection des données et au droit applicable. D'autres départements sont particulièrement pertinents pour déterminer les mesures de réduction des risques. Les sous-traitants qui interviennent dans l'opération de traitement des données prévue doivent également être impliqués dans le cadre de l'AIPD. Comme pour tout projet, il est particulièrement important qu'une personne, un service ou une unité dirige la DSFA et garde une vue d'ensemble de l'ensemble du processus. Cette direction est généralement assurée par le conseiller à la protection des données ou le chef de projet au niveau opérationnel. Les sous-traitants qui interviennent dans l'opération de traitement des données prévue devraient être impliqués dans le cadre de la DSFA.
30 Du point de vue du responsable, il est donc judicieux de définir un service ou une unité qui connaît les exigences légales en matière de DSFA et qui dispose des connaissances techniques nécessaires pour effectuer une DSFA. Il s'agit généralement du service ou de l'unité responsable de la protection des données. Selon l'orientation ou le modèle d'entreprise des responsables, il peut être utile de créer un modèle, y compris des instructions, pour la réalisation d'une DSFA, auquel on pourra se référer au cas par cas. De cette manière, les exigences légales seront respectées sans que certains aspects soient oubliés.
D. Exceptions
31En plus de l'obligation générale de procéder à une AIPD dans les cas où un traitement de données entraîne un risque élevé pour les personnes concernées, les al. 4 et 5 définissent certaines exceptions.
32L'article 22 al. 4, prévoit que les responsables de traitement privés peuvent être exemptés de l'obligation de procéder à une AIPD dans des cas particuliers, à condition qu'ils soient légalement tenus de traiter les données. Au cours du processus législatif, cette exception a été justifiée par le fait que les risques potentiels dans ces cas ont déjà été évalués et qu'il n'est donc pas nécessaire d'aller plus loin dans la réalisation de la DSFA. Il est toutefois souligné à juste titre que l'exception se réfère uniquement à la question de la licéité du traitement des données, et non à la manière dont les données sont traitées. Ainsi, le DSGVO est plus strict à cet égard et exige que l'analyse des risques effectuée dans le cadre de la législation se rapporte à l'activité de traitement concrète pour que l'exception s'applique (voir N. 40). En outre, il faut également tenir compte des cas dans lesquels le traitement des données n'est pas effectué exclusivement pour remplir l'obligation légale en question. Des obligations légales de traitement de données par des personnes privées se trouvent par exemple dans la loi fédérale sur la lutte contre le blanchiment d'argent et le financement du terrorisme (art. 30 LBA) ou la transmission de données de collaborateurs par un employeur pour remplir des obligations relevant du droit des assurances sociales (art. 84 LAMal). Il est évident que les autorités fédérales ne sont pas concernées par cette exception : Elles ne peuvent toujours traiter des données que sur la base d'une base légale.
33 L'art. 22 al. 5 prévoit une autre exception. Selon cette disposition, les responsables privés peuvent renoncer à l'établissement de la DPA si certaines conditions relatives à la certification d'un traitement de données ou au respect de codes de conduite approuvés sont remplies. Ces exceptions ne s'appliquent pas aux autorités fédérales. D'une part, c'est le cas lorsque le responsable utilise un système, un produit ou un service dont l'utilisation est certifiée conformément à l'article 13 (voir à ce sujet le commentaire détaillé de l'article 13 LPD). D'autre part, l'obligation n'est pas applicable dans les cas où le responsable respecte un code de conduite au sens de l'art. 11, (i) qui se fonde sur une AIPD, (ii) qui prend des mesures spécifiques pour protéger la personnalité et les droits fondamentaux des personnes concernées et (iii) qui a été soumis au PFPDT. Actuellement, il n'existe pas de tels codes de conduite en Suisse. On peut toutefois en imaginer pour les branches dans lesquelles les participants à la branche collaborent étroitement et développent ensemble des processus standardisés, comme par exemple dans les banques et les assurances, dans les entreprises technologiques ou médiatiques ou dans la branche publicitaire. Dans l'UE, l'élaboration de codes de conduite ou de règles comparables est régie par l'article 40 du RGPD, et l'on connaît actuellement, entre autres, le Code de conduite de l'UE sur le cloud, qui sert de code de conduite harmonisé pour l'industrie du cloud au sein de l'UE.
III. Violation de l'obligation de procéder à une AIPD
34 Si un responsable du traitement ne procède pas à la DSFA alors qu'il y serait tenu en vertu de l'article 22, l'article 51 al. 3 let. d, doit être respecté. Selon cet article, le PFPDT peut ordonner, sous peine de sanctions, que le responsable procède à une FISD. En revanche, les personnes concernées n'ont pas le droit d'intenter une action en justice pour obtenir l'exécution de la DSFA.
35 Si le PFPDT constate, dans le cadre d'une enquête, qu'un traitement de données entraîne un risque élevé, il peut ordonner que le traitement des données soit adapté, suspendu ou totalement interrompu jusqu'à ce qu'une AIPD ait été effectuée (art. 51 al. 1 en relation avec l'art. 49 f). Cela peut entraîner des retards considérables pour le responsable, ce qui entraîne à son tour des coûts élevés et des efforts supplémentaires pour le responsable. Comme les résultats d'une enquête peuvent en outre être publiés par le PFPDT (art. 57 al. 2), il existe en outre des risques considérables pour la réputation du responsable.
36 La violation de l'obligation de procéder à une AIPD n'est pas soumise à une amende en tant que telle. Cette réglementation semble judicieuse compte tenu du fait que cette obligation est en premier lieu un devoir de diligence (composé d'une obligation de documentation et de responsabilité). Dans l'UE, on procède différemment (cf. n. 40 ss.). Il faut toutefois partir du principe que les responsables respecteront tout de même leurs obligations conformément à la LPD. D'une part, parce que les autorités devaient déjà tenir compte d'une telle obligation sous l'aDSG. D'autre part, des responsables privés, notamment des groupes, effectuaient également des FDS avant l'entrée en vigueur de la LPD totalement révisée, par exemple parce que le traitement de données concerné relevait du RGPD ou parce que le PFPDT l'avait exigé.
IV. Défis et pertinence pratique
37 Avec l'entrée en vigueur de la nouvelle version de l'article 22, il apparaît que les conditions normatives d'une DSFA présentent un degré de complexité élevé. Cela vaut en particulier pour la mise en œuvre par les petites et moyennes entreprises (PME), dont l'importance économique ne doit pas être sous-estimée en Suisse. Pour elles, il pourrait s'avérer difficile de mettre en œuvre les différentes étapes conformément à l'article 22. Cela vaut en particulier pour la phase de préparation et la phase de mesures (voir à ce sujet n. 18 ss.), qui prennent beaucoup de temps, ne serait-ce qu'en raison de la procédure analytique nécessaire. Dans certains cas, cela devrait générer des coûts considérables. Il faut donc s'attendre à ce que le besoin de modèles, de conseils et d'assistance de la part du PFPDT augmente fortement dans un proche avenir. A cet égard, l'obligation des autorités de surveillance européennes de publier des listes définissant les cas dans lesquels une AIPD est obligatoire doit être considérée comme un pas dans cette direction (art. 35, al. 4, RGPD ; cf. n. 43).
38 Avec l'utilisation croissante de systèmes algorithmiques et d'autres applications (voir N. 2), la DSFA va également gagner en importance. Les responsables doivent évaluer précisément, au cas par cas, les risques qui semblent appropriés et si l'utilisation de tels systèmes en vaut la peine. Cette approche analytique avant le lancement effectif du projet ne devrait pas être nouvelle, surtout pour les grandes entreprises, d'autant plus que des Privacy Impact Assessments correspondants ont déjà été réalisés avant la révision totale (voir N. 4 s. et 35) et qu'elles devraient connaître des obligations comparables au niveau de l'UE en vertu du DSGVO.
39La DSFA montre en outre clairement que dans le domaine des nouvelles technologies de rupture, les différents domaines juridiques se chevauchent et que l'on observe un mélange croissant de questions juridiques et de questions relatives à la technologie utilisée. Les discussions autour de l'Artificial Intelligence Act ("AI Act") sont un exemple de cette évolution. Comme la DSFA prévue à l'article 22 de la LPD, le dernier texte en date repose sur une approche fortement basée sur les risques, qui fait la distinction entre un risque limité, élevé et inacceptable. Ainsi, en particulier pour les applications à haut risque définies dans l'annexe III de l'AI Act, l'article 43 de l'AI Act impose une procédure d'évaluation de la conformité qui s'appuie notamment sur l'annexe VI. Ces prescriptions doivent être comprises, tout comme la DSFA selon la LPD, comme un processus préventif et continu qui comprend des aspects tant juridiques que techniques et qui sert plus largement à la transparence et donc à la confiance des utilisatrices.
V. Comparaison avec le droit de l'UE
40 De manière générale, la mise en œuvre de la DSFA selon la LPD est comparable aux prescriptions du DSGVO applicables dans toute l'UE. En même temps, les art. 22 f. LPD sont moins stricts que les art. 35 f. DSGVO. Dans l'UE, une AIPD doit également être effectuée lorsqu'un traitement de données peut entraîner un risque élevé pour les droits et libertés des personnes physiques. Contrairement à l'art. 22 LPD, l'art. 35 al. 3 let. a RGPD prévoit en outre explicitement une DSFA pour les décisions individuelles automatisées.
41 Les let. a à d de l'art. 35 al. 7 règlent des étapes comparables à celles de l'art. 22 LPD, qui doivent être prises en compte lorsqu'une DSFA est effectuée. Ainsi, la phase préparatoire est comparable à la let. a, la phase d'évaluation aux let. b et c et la phase de mise en œuvre des mesures à la let. d. Bien qu'en Suisse, il faille également partir du principe qu'une AIPD doit éventuellement être effectuée à nouveau dans le cadre du traitement des données en raison de l'évolution des circonstances, l'art. 35 al. 11 RGPD le prévoit même explicitement dans certains cas.
42 Alors que l'art. 35 al. 2 RGPD implique une obligation de consulter le délégué à la protection des données ("Data Protection Officer"), du moins si un tel délégué a été désigné, l'art. 35 al. 9 RGPD prévoit même que le responsable peut consulter les personnes concernées lors de la mise en œuvre de la DSFA. La LPD ne contient pas une telle disposition. La consultation du délégué à la protection des données n'a aucune influence sur le contenu de l'AIPD, d'autant plus que le rôle du délégué à la protection des données n'est pas concrétisé. Par contre, le fait de recueillir le point de vue des personnes concernées a pour objectif la transparence de la part du responsable du traitement ainsi que l'autodétermination des personnes concernées. Ces consultations renforcent le sens et l'objectif de la DSFA en montrant une fois de plus que les risques à évaluer sont ceux du traitement des données pour les personnes concernées et donc pas en premier lieu des risques pour le responsable.
43 Contrairement à la Suisse, l'art. 35 al. 4 RGPD impose aux autorités de contrôle de tenir une liste des opérations de traitement pour lesquelles une AIPD doit être effectuée dans tous les cas (listes dites positives). En substance, le législateur européen établit ainsi une obligation de fait de procéder à une AIPD dans les cas définis par les autorités de contrôle. En outre, les autorités de contrôle sont autorisées à tenir des listes facultatives d'activités de traitement des données pour lesquelles une AIPD n'est pas nécessaire (listes dites négatives ; art. 35 al. 5 RGPD). Ces listes sont soumises à la procédure de cohérence si elles comprennent "des activités de traitement liées à l'offre de biens ou de services aux personnes concernées ou à l'observation de leur comportement dans plusieurs États membres, ou qui sont susceptibles d'affecter de manière significative la libre circulation des données à caractère personnel au sein de l'Union" (art. 35 al. 6 RGPD). La LPD ne prévoit pas d'obligation de tenir des listes positives ou négatives, bien que cela contribuerait à la sécurité juridique.
44 Alors que l'art. 22 al. 5 LPD stipule explicitement qu'il n'est pas nécessaire de procéder à une AIPD si un code de conduite au sens de l'art. 11 LPD est respecté et si les conditions supplémentaires énoncées à l'al. 5 sont remplies, de tels codes de conduite ne doivent, selon le RGPD, être pris en compte dans l'AIPD que dans le cadre de l'évaluation des effets du traitement de données concerné. Elles ne dispensent toutefois pas le responsable du traitement de l'obligation d'effectuer une DSFA si celle-ci est légalement obligatoire.
45 Enfin, l'art. 35 al. 10 RGPD prévoit, à l'instar de l'art. 22 al. 4 LPD, qu'il n'est pas nécessaire de procéder à une AIPD lorsqu'un traitement de données repose sur une base légale. L'exception prévue par le DSGVO est toutefois plus restrictive : L'exception ne s'applique que si une DSFA a été effectuée dans le cadre de l'adoption de la base juridique et si la base juridique régit le ou les traitements concrets. L'importance pratique devrait donc être limitée. En outre, il existe une exception selon l'art. 35 al. 10 RGPD, dans la mesure où le traitement des données est effectué dans l'intérêt public ou dans l'exercice de l'autorité publique.
46Le RGPD prévoit des amendes allant jusqu'à 10 millions d'euros ou jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent en cas de violation de l'obligation de procéder à une AIPD (art. 83 al. 4 let. a RGPD). Cette amende est contraire à la LPD, qui ne prévoit pas d'amende pour une telle violation (cf. N. 35).
Bibliographie
Baeriswyl Bruno, Der «grosse Bruder» DSGVO und das revDSG: Ein vergleichender Überblick, S. 8–15.
Blonski Dominika, Kommentierung zu Art. 22 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023
Blonski Dominika, DSFA und Vorabkonsultation, digma 2020, S. 28–32.
Früh Alfred/Haux Dario, Foundations of Artificial Intelligence and Machine Learning, Weizenbaum Series 29, DOI: 10.34669/WI.WS/29.
Klaus Samuel, KI trifft Datenschutz – Risiken und Lösungsansätze, in: Epiney Astrid/Rovelli Sophia, Künstliche Intelligenz und Datenschutz, Zürich 2021, S. 81–95.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.
Pfaffinger Monika, Das Recht auf informationellen Systemschutz. Plädoyer für einen Paradigmenwechsel im Datenschutzrecht, Habil., Baden-Baden 2022.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Schönbächler Matthias R., Zum neuen Schweizer Datenschutzrecht, ZBJV 2023, S. 171–195.
Schürmann Kathrin, Datenschutz-Folgenabschätzung beim Einsatz Künstlicher Intelligenz: Bewertung und Minimierung der Risiken, ZD 2022, S. 316–321.
Vasella David, Widersprüche im Datenschutzrecht, digma 2020, S. 174–179.
Vasella David/Sievers Jacqueline, Der «Swiss Finish» im Vorentwurf des DSG, digma 2017, S. 44–49.
Widmer Michael, Datenschutz-Folgenabschätzung, digma 2017, S. 224–231.
Kühling Jürgen/Benedikt Buchner, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW/RSDA 2021, S. 52–64.
Matériaux
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.