-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Contenu
- III. Violation de l'obligation de consulter le PFPDT
- IV. Défis et pertinence pratique
- V. Comparaison avec le droit de l'UE
- Bibliographie
- Matériaux
En bref
L'article 23 est le corollaire de l'article 22. Si, dans le cadre d'une AIPD, le responsable du traitement constate qu'il existe un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, malgré les mesures prises pour atténuer le risque, une consultation du PFPDT est nécessaire. Les conditions, les délais et les conséquences de cette consultation sont énumérés et spécifiés. Le PFPDT examine le traitement de données prévu sous l'angle du respect de la LPD. Le PFPDT exprime ses objections au traitement de données prévu dans une prise de position qui contient également des recommandations sur les mesures possibles. Cet avis est transmis au responsable du traitement. Le PFPDT peut également exercer ses compétences selon les articles 49 et 51 et suivants après la consultation selon l'article 23. Une violation de l'obligation découlant de l'art. 23 n'est toutefois pas punissable.
I. Généralités
A. Aperçu
1L'art. 23 décrit les conditions de la consultation du PFPDT. Il s'agit d'une procédure étroitement liée à l'analyse d'impact relative à la protection des données (AIPD) prévue à l'article 22. Si, au cours d'une AIPD, le responsable constate que le traitement de données prévu présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, malgré les mesures prises, le PFPDT doit être consulté au préalable. Dans ce cas, le PFPDT examine la compatibilité du traitement de données prévu avec le droit de la protection des données ainsi qu'avec les conditions de sécurité de l'information. Le PFPDT communique ensuite ses objections au responsable du traitement dans un délai de deux à trois mois en prenant position. Le PFPDT est alors tenu de proposer des mesures appropriées pour faire face aux risques identifiés.
B. Historique
2L'obligation de procéder à une AIPD et de consulter le PFPDT lorsque le traitement de données prévu entraîne un risque élevé pour les personnes concernées malgré les mesures prises n'existait pas avant la révision totale de la LPD. Cette obligation n'existait pas non plus pour les autorités fédérales qui devaient effectuer une AIPD conformément à l'art. 22 aDSG. La Convention européenne sur la protection des données (STE 108+) n'exige pas non plus l'introduction de cette obligation. Cependant, certaines lois cantonales sur la protection des données prévoyaient déjà cette obligation, par exemple dans le canton de Zurich à l'art. 10 IDG ou dans le canton de Berne à l'art. 17a KDSG.
3La possibilité ou la nécessité de la consultation se fonde toutefois sur des dispositions du droit européen datant de 2008, notamment l'article 20 de la directive 95/46/CE, selon lequel les traitements présentant certains risques pour les personnes, notamment en ce qui concerne les droits et les libertés, doivent déjà être examinés au préalable par le délégué à la protection des données. Cette réglementation se retrouve encore aujourd'hui à l'art. 28 de la directive 2016/680/UE en vigueur, qui a dû être transposée en Suisse en raison de l'acquis de Schengen dans le domaine de la prévention, de la recherche, de la détection ou de la poursuite transfrontalières d'infractions pénales ou de l'exécution de peines, ainsi qu'à l'art. 36 du RGPD, qui a été transposé de manière comparable.
4L'AP-LPD prévoyait à l'art. 16 al. 3 AP-LPD une notification au PFPDT des résultats de la DPA dans tous les cas. Conformément à la réglementation actuelle, le PFPDT devait communiquer ses objections au responsable du traitement dans un délai déterminé. L'obligation d'informer dans tous les cas le PFPDT des résultats d'une DSFA a été fortement critiquée lors de la consultation publique. Le Conseil fédéral a alors atténué cette obligation en introduisant l'art. 21 al. 1 P-LPD. Cette norme atténuée a été reprise dans la réglementation actuelle de l'art. 23 al. 1 en ce sens que le PFPDT ne doit être consulté que si, malgré les mesures prises, des risques élevés pour la personnalité ou pour les droits fondamentaux de la personne concernée subsistent.
C. But de la norme
5 Selon le message, l'obligation de consulter a été introduite dans le cadre de la révision totale en 2020 "parce qu'elle permet au préposé d'agir à titre préventif et de conseiller". Selon lui, c'est la solution la plus efficace pour le responsable, car les problèmes potentiels liés à la protection des données peuvent être identifiés et adressés à un stade précoce. La consultation permet au PFPDT d'obtenir et d'évaluer les informations nécessaires pour évaluer un traitement de données prévu présentant un risque élevé. Cela favorise également le processus démocratique.
6 Le but de l'art. 23 est en outre de développer des solutions avant la mise en œuvre d'un projet prévoyant des traitements de données correspondants. Cela permet d'assurer d'emblée un niveau élevé de protection des données et de garantir la sécurité des informations. Le législateur vise ainsi à adopter un comportement proactif afin de réduire au minimum, voire d'exclure, dès le départ, les éventuelles violations de la loi. En outre, il sert à protéger le responsable a posteriori - lorsqu'un traitement de données a déjà commencé - contre des efforts et des coûts supplémentaires. Cela semble également judicieux compte tenu du fait qu'il est souvent difficile d'éliminer les dommages et les blessures après coup. Dans l'ensemble, cet article s'inscrit donc dans l'approche basée sur les risques de la LPD totalement révisée.
II. Contenu
A. Destinataires
7Les destinataires de l'article 23 sont, comme à l'article 22, les autorités fédérales et les responsables privés. Les sous-traitants n'en font pas partie. En ce qui concerne le rôle de ces sous-traitants, on peut se référer au commentaire correspondant de l'art. 22.
8Les autorités fédérales et les responsables privés sont donc tenus de consulter le PFPDT lorsqu'un traitement de données prévu entraîne, malgré les mesures mises en œuvre, un risque élevé pour la personnalité et les droits fondamentaux des personnes concernées. Le PFPDT est quant à lui tenu de procéder à la consultation conformément à la LPD et de respecter les délais en vigueur (cf. n. 25).
B. Traitement "planifié
9Le texte normatif de l'art. 23 prévoit à l'al. 1 que la consultation du PFPDT doit avoir lieu en cas de traitement planifié présentant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Cette disposition ne s'applique que si le responsable a déjà prévu des mesures pour atténuer les risques qui en découlent et que le traitement des données présente néanmoins un risque élevé.
10Alors que le texte laisse supposer qu'il ne peut s'agir que de nouveaux traitements de données planifiés, cette disposition englobe également les modifications de traitements de données ou de procédures déjà existants (voir à ce sujet le commentaire relatif à l'art. 69). Cela signifie que le PFPDT doit être consulté chaque fois qu'il y a des modifications dans le processus de traitement des données ou des changements dans les circonstances de fait ou de droit. Ces changements de circonstances doivent toutefois permettre de conclure ou d'établir clairement qu'il existe un risque élevé au sens de l'article 22. En outre, les mesures prises dans le cadre d'une nouvelle analyse des données personnelles ou d'une analyse répétée ne doivent pas suffire à réduire ce risque élevé. En ce qui concerne la notion de risque élevé, on peut se référer aux explications relatives à l'art. 22 (art. 22, n. 12 ss). Le fait que, dans un environnement aussi disruptif et marqué par des changements rapides, les responsables doivent toujours intégrer les risques dans leurs propres réflexions et planification des traitements de données afin de ne pas mettre en danger ou violer concrètement les droits des personnes concernées (cf. art. 7) plaide en faveur de l'appréciation selon laquelle le PFPDT doit également être consulté en cas de modifications des activités de traitement de données existantes.
C. Consultation
1. Introduction
11Pour commencer, l'article 23 présuppose que le responsable du traitement a effectué une AIPD concernant un traitement de données prévu ou modifié conformément à l'article 22. Si le responsable arrive à la conclusion que, malgré les mesures prévues, le traitement des données présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, il doit consulter le PFPDT. Bien que la loi ne prévoie aucune exigence de forme, cette consultation devrait se faire par écrit, ne serait-ce que pour des raisons de preuve. Si ce risque élevé n'existe pas, le responsable peut néanmoins soumettre volontairement la DSFA au PFPDT. Bien que cela soit utile à la sécurité du droit et de l'information, les responsables privés devraient régulièrement y renoncer (cf. n. 34 ss).
12 La consultation doit être effectuée avant le début du traitement de données concerné. Ce n'est qu'une fois la consultation terminée, c'est-à-dire après que le PFPDT a pris position, que l'autorité fédérale ou le responsable privé peut commencer le traitement des données.
13Trois points relatifs à la consultation doivent être pris en compte au préalable :
Premièrement, la consultation est payante pour les responsables privés (voir art. 59 al. 1 let. c LPD ; art. 44 OLPD). Les coûts respectifs dépendent des frais de personnel dans le cas particulier. En revanche, il n'y a pas de frais pour les organes fédéraux.
Deuxièmement, le PFPDT peut à son tour s'adresser au responsable du traitement et demander une évaluation des risques et une consultation s'il a connaissance d'opérations de traitement prévues.
Troisièmement, le PFPDT peut lier cette demande à l'exécution d'actes d'enquête (cf. n. 23).
2. Informations à fournir
14La disposition de l'art. 23 détermine les cas dans lesquels le PFPDT doit être consulté. Elle ne définit toutefois pas les informations qui doivent être fournies au PFPDT pour son évaluation. Compte tenu de cette situation initiale, il faut s'attendre, ou il a déjà été annoncé, que le PFPDT lui-même établira, peu de temps après l'entrée en vigueur, des directives correspondantes auxquelles le responsable pourra se référer. Toutefois, le responsable devrait au moins veiller à ce que les documents élaborés dans le cadre de la DSFA soient disponibles dans leur intégralité, afin que le PFPDT puisse émettre un avis sur cette base. Ces documents devraient donc contenir entre autres des informations sur le traitement prévu - y compris, le cas échéant, la finalité du traitement -, sur les risques éventuels pour la personnalité ou les droits fondamentaux de la personne concernée ainsi que sur les mesures techniques et organisationnelles prévues. Il convient également d'expliquer pourquoi le risque est toujours considéré comme élevé malgré les mesures décrites. Cela est important car, dans le cas contraire, aucune consultation ne serait nécessaire.
15 Le DSGVO peut servir de guide à cet égard, car il contient une liste des informations à fournir (voir N. 39). Il peut également être utile de procéder selon l'approche dite SIPD. Celui-ci prévoit une description aussi précise que possible du projet, y compris une présentation de la situation juridique ainsi que des mesures organisationnelles et techniques. Lors de la description du projet, il est prévu de fournir des informations sur le service responsable et le service traitant les données, la finalité et le type de traitement des données ainsi que les destinataires et les personnes concernées. En revanche, la description des aspects organisationnels et techniques suppose une présentation des applications, des réseaux, des technologies ainsi que des rôles et des concepts d'autorisation. Il convient de noter que dans certains cas, des concepts détaillés ou des plans de mesures peuvent être demandés.
16En outre, les documents remis doivent être structurés et munis de son propre nom et d'une adresse de contact. Cela permet de communiquer avec le PFPDT si, dans un cas particulier, des questions se posent ou si d'autres clarifications sont nécessaires.
3. Procédure du PFPDT
17Lorsque les documents correspondants ont été remis dans leur intégralité (cf. n. 15 ss), le PFPDT procède généralement en trois étapes (i)-(iii) : Dans un premier temps, les informations soumises sont examinées et il est vérifié si des informations, documents ou autres données supplémentaires sont nécessaires pour clarifier la situation. Si c'est le cas, ces informations sont demandées au responsable (i). Ensuite, les documents sont soigneusement examinés et analysés afin de déterminer s'ils sont compréhensibles et pertinents (ii). La troisième étape consiste à clôturer la procédure, à communiquer les éventuelles objections et à proposer des mesures à prendre (iii). Dans le cadre de ces trois étapes, le PFPDT évalue si les mesures proposées sont suffisantes pour garantir la protection de la personnalité et des droits fondamentaux de la personne concernée et pour atténuer le risque élevé.
18Dans la première étape, le PFPDT examine les informations fournies par le responsable du traitement et s'assure qu'il comprend le processus de traitement des données. Il s'agit en particulier de la description factuelle et technique du traitement de données en question. Si le PFPDT a besoin d'informations supplémentaires, il les demande et, le cas échéant, demande à discuter oralement du traitement de données prévu avec le responsable afin de clarifier des questions spécifiques. Il convient de noter que le texte de la loi ne précise pas si le délai imparti au PFPDT pour prendre position ne commence à courir qu'après cette étape ou directement lors du dépôt de la demande de consultation. Selon le point de vue défendu ici, le délai pour prendre position ne commence toutefois à courir qu'après la remise complète de toutes les informations demandées par le PFPDT. Cela signifie que la durée de la consultation peut donc être plus longue que ces deux ou trois mois, selon les informations et documents supplémentaires demandés par le PFPDT.
19C'est sur cette base que commence l'examen proprement dit du traitement de données en question. Lors de cette deuxième étape, le PFPDT examine en particulier l'évaluation des risques et les mesures proposées par le responsable. Cette évaluation comprend la vérification des conditions légales, dont fait partie en premier lieu le respect des principes de protection des données. Outre la proportionnalité (mots-clés : minimisation et évitement des données), il s'agit notamment des éventuelles bases légales ou contractuelles ou des motifs de justification du traitement des données, de l'externalisation du traitement des données ou de la communication de données à l'étranger, de la sécurité des données ainsi que de la garantie des droits des personnes concernées, notamment le droit d'accès ainsi que le droit de rectification et d'effacement des données. Il convient de prendre en compte aussi bien la sensibilité des données que les parties impliquées et leurs responsabilités. Les mesures techniques et organisationnelles sont également examinées. Cela se fait en relation avec les technologies utilisées et, le cas échéant, avec les fournisseurs qui se trouvent derrière. A l'heure où les cyberattaques et les piratages informatiques se multiplient, cela contribue à la sécurité de l'information.
20Après avoir examiné ces aspects en profondeur, le PFPDT rédige en principe, dans une troisième étape, une prise de position à l'attention du responsable. Dans cet avis, il énumère ses observations concernant le traitement de données prévu et propose une évaluation tant du point de vue juridique que du point de vue technique et organisationnel. S'il conclut que le traitement des données est conforme à la protection des données, il n'y a pas d'autres conditions à remplir par le responsable. Dans ce cas, le PFPDT n'émet pas non plus de recommandations. Dans un tel cas, il peut même s'abstenir d'envoyer un avis au responsable. Lorsque le PFPDT émet des objections, il les accompagne de propositions de mesures concrètes (cf. art. 22 n. 26.). Ces mesures visent à garantir à la fois le respect de la protection des données et la sécurité de l'information. En règle générale, le PFPDT fixera un délai au responsable pour la mise en œuvre de ces mesures.
21 Dans ce cadre, il convient de tenir compte d'un cas particulier : Si, suite au traitement de données effectué, le PFPDT arrive à la conclusion que les mesures n'étaient pas suffisantes ou qu'il n'existe aucune mesure pour réduire les risques identifiés, il est habilité à mener une enquête (art. 49). Le PFPDT dispose à cet effet de toutes les mesures administratives prévues à l'art. 51. L'enquête peut donc avoir pour conséquence, entre autres, une suspension, voire une interdiction du traitement des données. Bien que l'on puisse partir du principe que le PFPDT ne prendra en règle générale des décisions formelles que dans des cas isolés, la loi lui laisse explicitement cette possibilité lorsque les responsables ne gèrent pas les risques de manière appropriée.
22 Il convient en outre de souligner que l'avis du PFPDT est une recommandation non contraignante. Il n'a pas le caractère d'une décision et ne peut donc en aucun cas être considéré comme une approbation ou une autorisation d'effectuer le traitement de données prévu.
4. Délai
23 Dans la mesure où le PFPDT est consulté, il doit, conformément à l'art. 23 al. 2, communiquer son avis au responsable du traitement dans un délai de deux mois à compter de la remise du dossier complet au PFPDT. Le PFPDT peut prolonger ce délai d'un mois au maximum s'il s'agit d'un traitement de données complexe. Si le responsable ne reçoit pas de communication du PFPDT dans ce délai, il faut partir du principe que le PFPDT ne s'opposera pas au traitement de données prévu.
D. Exceptions
24L'art. 23 prévoit quelques exceptions à l'obligation de principe de consulter. Ces exceptions sont régies par l'al. 4 et ne s'appliquent qu'aux responsables privés. Les autorités fédérales ne sont donc pas concernées par ces exceptions.
25 L'al. 4 stipule qu'une consultation n'est pas nécessaire si le responsable consulte un conseiller à la protection des données en ce qui concerne le traitement de données prévu. Il ressort du message que le conseiller à la protection des données doit effectivement être activement impliqué dans la DSFA. Il doit donc avoir été en mesure de se prononcer de manière exhaustive sur les mesures et les risques. Dans ce contexte, il semble judicieux de régler de manière exhaustive le déroulement d'une DSFA ainsi que les compétences et l'intervention du conseiller à la protection des données dans des directives ou instructions internes.
26Selon le message, l'exception vise à réduire la charge administrative du côté des responsables privés. D'un point de vue économique, cette exception est à saluer. En effet, du point de vue des responsables privés, elle permet d'éviter les retards, les coûts supplémentaires et les conséquences potentiellement négatives de la consultation du PFPDT. Le PFPDT s'était certes prononcé contre cette exception dans le cadre de la consultation, mais elle a finalement été intégrée dans le texte de loi.
27L'exception doit en outre être interprétée comme une incitation pour les responsables privés. Ainsi, la réglementation leur offre une raison très spécifique de désigner un conseiller à la protection des données. Cette incitation est importante, car contrairement à l'article 37 du RGPD, la nomination d'un conseiller à la protection des données est toujours facultative selon la LPD.
28L'exception ne s'applique toutefois que si les conditions de l'art. 10 al. 3 sont remplies. En conséquence, le conseiller à la protection des données doit être indépendant sur le plan professionnel, ne pas être lié par des instructions, être libre de tout conflit d'intérêts et disposer des connaissances techniques nécessaires (voir le commentaire relatif à l'art. 10 pour plus de détails sur ces conditions). En revanche, le responsable doit publier les coordonnées du conseiller à la protection des données et les communiquer au PFPDT. Cette exception rappelle celle en vigueur sous l'art. 11a al. 5 let. e aDSG concernant l'obligation de déclarer les fichiers, qui a été supprimée de la LPD sans être remplacée. Les responsables privés sont donc déjà parfaitement familiarisés avec ces conditions.
29Les responsables privés qui développent ou utilisent des modèles commerciaux ou des technologies susceptibles d'entraîner des risques élevés pour les personnes concernées désigneront, selon l'expérience, un conseiller à la protection des données et feront usage de cette exception. Cela leur permettra d'éviter de consulter le PFPDT. On peut d'autant plus le supposer que les responsables privés actifs au niveau international dans de tels secteurs sont de toute façon déjà tenus de nommer un responsable de la protection des données en vertu du DSGVO.
III. Violation de l'obligation de consulter le PFPDT
30 Dans le cas où un responsable ne consulte pas préalablement le PFPDT malgré l'obligation prévue à l'art. 23, l'art. 51 al. 3 let. e prévoit que le PFPDT peut ordonner, sous peine de sanction, que le responsable le consulte préalablement. En revanche, les personnes concernées n'ont pas le droit d'intenter une action en justice pour obtenir la consultation du PFPDT.
31 Si le PFPDT constate, dans le cadre d'une enquête, qu'un traitement de données entraîne un risque élevé, il peut décider d'adapter, de suspendre ou d'interrompre complètement le traitement des données. Ceci est valable jusqu'à ce qu'une DSFA ait été effectuée et que le PFPDT ait été consulté (art. 51 al. 1 en relation avec l'art. 49 f). Cette étape peut entraîner des retards considérables et donc des coûts élevés et des efforts supplémentaires pour le responsable. Comme les résultats d'une enquête peuvent en outre être publiés par le PFPDT (art. 57 al. 2), des risques de réputation sont en outre à prévoir dans de tels cas.
32 La violation de l'obligation de consulter le PFPDT n'est toutefois pas soumise à une amende en soi. Cela semble logique, d'autant plus qu'il s'agit d'un devoir de diligence et que le PFPDT a les compétences correspondantes (voir à ce sujet les explications à l'art. 22, n. 37). Dans l'UE, une amende est prévue dans ces cas.
IV. Défis et pertinence pratique
33 La pertinence pratique de l'article 23 reste à voir. Ainsi, les responsables privés au moins tenteront de se soustraire dans une large mesure à l'obligation en adaptant le traitement de données prévu jusqu'à ce qu'il n'entraîne plus de risque élevé pour les personnes concernées dans le cadre des mesures prises. Il faut donc partir du principe que le PFPDT ne sera consulté que dans des cas exceptionnels. Il y a d'autres raisons à cela : D'une part, les responsables privés ne voudront pas attendre jusqu'à trois mois avant de recevoir une évaluation de leur traitement de données et de pouvoir poursuivre leur projet. D'autant plus que l'on peut supposer que ce délai ne commence à courir que lorsque le PFPDT a reçu du responsable toutes les informations qu'il juge nécessaires. Dans certains cas, cela pourrait avoir pour conséquence que les projets doivent être interrompus beaucoup plus longtemps. Les projets peuvent alors aussi concerner des processus et des faits importants pour les affaires qui, dès qu'ils sont soumis au PFPDT, pourraient être rendus publics. Cela peut être le cas lorsque le PFPDT doit rendre compte de la DSFA dans son rapport d'activité ou lorsqu'il est obligé de divulguer certaines informations en vertu de la LTrans. On ne peut pas toujours répondre à cela par le fait que le PFPDT s'engage à garder le secret. Enfin, conformément à l'art. 59 al. 1 let. c LPD, la consultation du PFPDT est payante pour les responsables privés, selon un tarif horaire de 150 à 250 CHF (art. 44 al. 2 OLPD), ce qui, dans le cadre de processus de traitement de données complexes, devrait représenter un coût non négligeable. Les frais peuvent être multipliés par deux si la consultation du PFPDT peut être réutilisée à des fins commerciales (art. 44 al. 3 et 4 OLPD). Ces coûts s'ajoutent aux coûts propres qu'une AIPD engendre de toute façon chez un responsable privé.
34Dans les cas où un traitement de données fait l'objet d'une publicité et que le PFPDT, en raison de cette publicité ou de la pression politique qui en découle, adresse par exemple une demande au responsable ou mène une enquête, les responsables privés devraient, comme par le passé, être obligés de procéder à une AIPD par voie d'ordonnance (cf. art. 51, al. 2, let. d et art. 49). De telles ordonnances prévoient probablement aussi une obligation de consulter le PFPDT pour ce processus de traitement de données particulier.
V. Comparaison avec le droit de l'UE
35Le RGPD prévoit à l'art. 36 al. 1 l'obligation de consulter l'autorité de contrôle compétente dans la mesure où un traitement de données pourrait, malgré les mesures prises, entraîner des risques élevés pour les personnes concernées. A cet égard, la réglementation est identique à l'art. 23 al. 1 LPD.
36Comme à l'art. 23 al. 2 LPD, l'autorité de surveillance compétente doit, conformément à l'art. 36 al. 2 RGPD, communiquer dans un délai de huit semaines au responsable du traitement ainsi que, le cas échéant, aux sous-traitants impliqués, les objections au traitement de données prévu. De telles objections peuvent résulter du fait que l'autorité de contrôle arrive à la conclusion que le responsable "n'a pas suffisamment identifié le risque ou ne l'a pas suffisamment circonscrit". En revanche, le délai peut être prolongé de six semaines et non d'un mois seulement à compter de la réception de la demande. Une telle prolongation de délai doit être communiquée au responsable dans un délai d'un mois et doit en outre être motivée. L'autorité de contrôle peut suspendre ces délais jusqu'à ce qu'elle ait reçu les informations nécessaires conformément à l'art. 36 al. 3 DSGVO. Les dispositions de l'UE sont donc plus détaillées que celles de la Suisse et semblent judicieuses, d'autant plus qu'elles règlent de manière plus détaillée le processus et les obligations des autorités de surveillance en matière de délais.
37Si l'autorité de contrôle a des objections, elle doit transmettre des recommandations écrites au responsable du traitement et, le cas échéant, aux sous-traitants impliqués, ce qui ressemble beaucoup à la réglementation suisse, bien qu'en Suisse, le destinataire de l'avis soit en principe le responsable du traitement. L'autorité de surveillance a en outre expressément le droit d'exercer les autres compétences que lui confère l'article 58 du RGPD. La LPD ne le mentionne pas explicitement.
38 Alors que l'art. 23 LPD ne contient pas de dispositions détaillées sur les informations que les responsables doivent fournir au PFPDT dans le cadre de la consultation, l'art. 36 al. 3 RGPD contient une liste des informations à fournir : Informations sur les responsabilités du responsable, des responsables conjoints et, le cas échéant, des sous-traitants, les finalités et les moyens du traitement de données envisagé, les mesures et les garanties prévues pour la protection des droits et libertés des personnes concernées [conformément au RGPD], le cas échéant les coordonnées du délégué à la protection des données, l'analyse d'impact relative à la protection des données en tant que telle et toute autre information demandée par l'autorité de contrôle.
39L'art. 36 al. 4 et 5 RGPD régit ensuite certains droits et obligations des États membres ainsi que des exigences supplémentaires que les États membres peuvent prévoir dans leur droit local.
40 Le non-respect de l'obligation de consulter l'autorité de contrôle, tout comme l'obligation d'effectuer une DSFA, est sanctionné par le RGPD. Ainsi, le RGPD prévoit des amendes allant jusqu'à 10 millions d'euros ou jusqu'à 2% du chiffre d'affaires annuel total réalisé dans le monde au cours de l'exercice précédent en cas de violation de l'obligation de consultation (art. 83 al. 4 let. a RGPD). Ceci est contraire à la LPD qui ne prévoit pas d'amende pour ces cas (cf. N. 33).
Bibliographie
Blonski Dominika, Kommentierung zu Art. 23 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen: Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts, Zürich 2021.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Kühling Jürgen/Buchner Benedikt, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.
Matériaux
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.