-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Droit d'accès (al. 1)
- III. Contenu des renseignements (al. 2)
- IV. Cas particuliers
- V. Modalités
- VI. Application du droit
- Bibliographie
En bref
L'art. 25 LPD régit le droit d'accès des personnes concernées en tant que "pilier du droit de la protection des données". Toute personne concernée peut exiger des responsables qu'ils lui indiquent si des données personnelles la concernant sont traitées. Le droit d'accès est strictement personnel. Les personnes concernées ne peuvent pas renoncer à l'avance à leur droit d'accès. L'information doit comprendre toutes les données nécessaires pour que la personne concernée puisse faire valoir ses droits et comprendre le traitement des données. Le contenu minimal du renseignement est défini par la loi. Les renseignements doivent être fournis sous une forme compréhensible, en principe gratuitement et dans un délai de 30 jours. En cas de traitement par un sous-traitant, le responsable du traitement reste tenu de fournir les informations. Les personnes concernées disposent de différentes possibilités juridiques pour faire valoir leur droit d'accès.
I. Généralités
A. Objectif
1 Le chapitre 4 "Droits des personnes concernées" comprend le droit d'accès (art. 25 ss LPD) et le droit à la remise ou à la transmission des données introduit par la LPD (art. 28 s. LPD ; également : droit à la portabilité des données). Le droit d'accès peut être déduit de l'art. 13 Cst. sur la "protection de la sphère privée" ainsi que de l'art. 8 CEDH sur le "droit au respect de la vie privée et familiale" et constitue un "pilier du droit de la protection des données". Le droit d'accès doit donc également figurer expressément dans les clauses de protection des données d'un contrat (art. 16 al. 2 let. b LPD) et dans les garanties spécifiques (art. 16 al. 2 let. c LPD) en cas de communication de données personnelles à l'étranger.
2 Le droit d'accès est un droit essentiel pour les personnes concernées qui leur permet, dans certaines limites, de savoir quelles données les concernant sont traitées, par qui et dans quel but. Le droit d'accès doit notamment permettre aux personnes concernées de vérifier si leurs données sont traitées conformément aux principes de la protection des données (art. 6 ss LPD). Le droit d'accès doit donc avoir une fonction de contrôle et un effet préventif.
3 Le droit d'accès permet aux personnes concernées d'exercer leur droit à l'autodétermination en matière d'information, si et dans la mesure où un tel droit a été mis en œuvre dans la LPD. Le droit d'accès et les renseignements fournis en conséquence constituent souvent la base de l'exercice d'autres droits juridiques des personnes concernées, tels que la rectification et l'effacement (art. 32 et 41 LPD) ou l'opposition (art. 30 al. 2 let. b LPD), en fin de compte pour faire valoir la protection de la personnalité.
4 Le droit d'accès selon les art. 25 ss. LPD complète le devoir d'information selon les articles 19 et suivants et va plus loin dans son contenu. Les personnes concernées peuvent obtenir des renseignements qui vont au-delà de ce que le responsable est tenu d'informer, ce qui accroît la transparence.
5 Les trois articles relatifs au droit d'accès sont structurés comme suit : L'art. 25 LPD détermine qui peut demander des informations et quelles informations les responsables doivent fournir et dans quel cadre. L'art. 26 LPD précise les conditions dans lesquelles le droit d'accès peut être limité. L'art. 27 LPD définit les conditions dans lesquelles le droit d'accès peut être encore limité dans le contexte des médias. Dans le règlement sur la protection des données, les articles 16 à 19 de l'OLPD concrétisent le droit d'accès.
B. Historique
6 L'article 25 se fonde sur l'ancien article 8 aDSG. Par rapport à l'art. 8 aLPD, les personnes peuvent demander des renseignements à tous les responsables (art. 5 let. j LPD) et non plus seulement au "maître d'un fichier" (art. 3 let. i en relation avec l'art. 8 al. 1 aLPD). Dans l'ensemble, les dispositions actuelles relatives au droit d'accès selon les articles 8 aDSG et suivants ont été conservées et complétées par endroits.
7 L'obligation de renseigner - qui, du point de vue du responsable, est la contrepartie du droit d'accès des personnes concernées - n'est plus limitée à certaines informations (c'est notamment le cas de l'art. 8, al. 2, aDSG), mais les informations nécessaires pour que la personne concernée puisse faire valoir ses droits conformément à la LPD et pour garantir un traitement transparent des données doivent être communiquées (art. 25, al. 2, LPD). Parallèlement, on tente de limiter l'utilisation abusive du droit d'accès à des fins de recherche de preuves, qui était "courante sous l'aDSG". Lors des débats parlementaires, il a en outre été ajouté en particulier que les renseignements doivent être fournis sur "les données personnelles traitées en tant que telles" (art. 25 al. 2 let. b LPD).
II. Droit d'accès (al. 1)
8 L'art. 25 al. 1 LPD statue sur le droit d'accès de manière générale. Toute personne physique peut exiger qu'un responsable lui indique si des données personnelles (art. 5 let. a LPD) la concernant sont traitées. Les personnes privées responsables et les organes fédéraux responsables sont tenus de fournir des renseignements (art. 5 let. j LPD). Il n'est en principe pas nécessaire de motiver les renseignements demandés ou de justifier d'un intérêt à les obtenir par voie juridique. Pour les organes fédéraux, la communication de renseignements est une décision au sens de l'art. 5 PA, ce qui implique une motivation et l'indication des voies de recours conformément à l'art. 35 PA.
9 Le droit d'accès est de nature strictement personnelle et se limite à l'accès à ses propres données. Le droit d'accès n'est pas transmissible et n'est pas héréditaire. Pour les personnes incapables de discernement, c'est le représentant légal qui agit (art. 19c al. 2 CC).
10 La personne concernée qui demande des informations doit se faire identifier par le responsable du traitement par des mesures appropriées et collaborer à la preuve de son identité (art. 16 al. 5 RGPD). Il convient d'évaluer au cas par cas si l'identification par la copie d'une pièce d'identité officielle est appropriée. L'obligation prévue à l'art. 1 al. 1 aLPD, selon laquelle la personne concernée doit justifier de son identité, n'existe plus. Selon les données disponibles sur une personne, les indications figurant sur une pièce d'identité officielle ne sont pas appropriées pour l'identification. Dans le cas des plateformes Internet, par exemple, les responsables ne connaissent souvent que l'adresse électronique ou un numéro de téléphone mobile. Dans ce cas, l'identification peut se faire par ce biais. La demande générale d'une copie de pièce d'identité, éventuellement même certifiée conforme, violerait les principes de nécessité, de proportionnalité et de finalité de la protection des données (art. 6 al. 2, 3 et 4 LPD).
11 La demande d'une personne concernée visant à savoir si des données la concernant sont traitées doit en principe être faite par écrit (art. 16 al. 1 phrase 1 RGPD). Le ou la responsable peut également permettre des demandes d'accès orales (art. 16, al. 1, 2e phrase, RGPD). Le droit d'accès est ainsi potentiellement aménagé de manière un peu plus accessible. La voie électronique est assimilée à la voie écrite (art. 16 al. 3 RGPD). La forme écrite comprend toute forme qui permet d'en apporter la preuve par un texte.
12 L'information sur les données traitées se fait par écrit ou sous la forme sous laquelle les données sont disponibles (art. 16 al. 2 phrase 1 RGPD). La voie électronique est assimilée à la voie écrite (art. 16 al. 3 RGPD). Le ou la responsable peut proposer une consultation sur place, à laquelle la personne concernée ne doit toutefois pas consentir (art. 16, al. 2, 2e phrase, RGPD). Avec l'accord de la personne concernée, le ou la responsable peut également fournir l'information oralement (art. 16, al. 2, 3e phrase, RGPD). En cas de consultation sur place, il existe un droit à des copies. Lors de la communication des renseignements, les données personnelles de la personne concernée doivent être protégées contre l'accès de tiers non autorisés (art. 8 LPD). Le ou la responsable peut répondre sous la même forme que la personne concernée a demandé des renseignements, par exemple au moyen d'un courriel non crypté de bout en bout. Le cryptage des e-mails est souvent étranger à la pratique et n'est pas approprié. Une alternative au courrier électronique peut être la messagerie instantanée avec un cryptage standard de bout en bout, par exemple avec Signal, Threema ou WhatsApp, pour autant que la personne concernée qui demande des renseignements utilise un tel service de messagerie instantanée.
13 En ce qui concerne la voie électronique, comme en particulier l'utilisation du courrier électronique, il convient de noter qu'une demande de renseignements ou des renseignements fournis par voie électronique sans accusé de réception peuvent, le cas échéant, ne pas être considérés comme notifiés. La charge de la preuve incombe à l'expéditeur. Dans le cas des plateformes Internet, il peut être proposé de traiter les demandes de renseignements et la communication de renseignements par le biais de la plateforme. Les personnes concernées sont toutefois libres de demander des renseignements par écrit.
14 Les informations doivent être fournies sous une forme compréhensible pour la personne concernée (art. 16 al. 4 RGPD). L'intelligibilité, par exemple en cas de format inhabituel ou difficilement lisible des données, peut être garantie par des explications appropriées. Selon le texte, l'intelligibilité concerne la forme et non le contenu des informations.
III. Contenu des renseignements (al. 2)
15 Le renseignement doit contenir, au sens d'une clause générale selon l'art. 25 al. 2 LPD, les informations nécessaires pour que la personne concernée puisse faire valoir ses droits conformément à la LPD et pour garantir un traitement transparent des données. Si aucune donnée personnelle n'est disponible, un renseignement négatif doit être fourni.
16 Indépendamment de cela, l'art. 25 al. 2 LPD définit une liste minimale d'informations qui doivent être communiquées aux personnes concernées : Identité et coordonnées du ou de la responsable (let. a, par analogie avec l'art. 19 al. 2 let. a LPD), données personnelles traitées en tant que telles (let. b), finalité du traitement (let. c, par analogie avec l'art. 19 al. 2 let. b LPD), durée de conservation ou, si cela n'est pas possible, critères de détermination de la durée de conservation (let. d), informations disponibles sur l'origine des données personnelles (source), si elles n'ont pas été collectées auprès de la personne concernée, car dans ce cas, la personne concernée a déjà été informée conformément à l'art. 19 f. LPD (let. e), l'existence et la logique d'une éventuelle décision individuelle automatisée selon l'art. 21 LPD (let. f) et les éventuels destinataires (let. f, par analogie avec l'art. 19 al. 2 let. c LPD). La question de savoir dans quelle mesure les informations non énumérées ne doivent être communiquées par le ou la responsable que sur demande ou si une mention de telles informations doit être faite dès le début est controversée.
17 En ce qui concerne le ou la responsable selon l'art. 25 al. 2 let. a, il peut arriver que l'on ne sache pas qui est responsable, le cas échéant avec d'autres (art. 5 let. j LPD). L'identité et les coordonnées doivent être mentionnées ou, si elles sont déjà connues, confirmées. Celui qui reçoit une demande d'accès devra - également au regard de la clause générale - informer la personne concernée s'il n'y a pas de responsabilité exclusive ou si aucun renseignement ne peut être fourni en l'absence de responsabilité. En cas de responsabilité commune, la communication des informations doit être coordonnée entre les responsables, les personnes concernées devant toujours pouvoir demander des informations à un ou plusieurs responsables en Suisse, ce qui est particulièrement important dans le cas d'éventuels autres responsables à l'étranger. En cas de pluralité de responsables, chacun d'entre eux est tenu de fournir des informations (art. 17, al. 1, RGPD). S'il n'y a pas de responsabilité, notamment en cas de traitement par des sous-traitants (art. 8 LPD), la demande de renseignements doit être transmise au responsable ou au moins mentionner le responsable. La charge de la preuve qu'un renseignement qualifié d'exhaustif l'est effectivement incombe au ou à la responsable. Les responsables ne voudront normalement pas donner l'impression que l'information fournie est complète et ne sont pas non plus tenus d'en donner confirmation.
18 Conformément à l'art. 25 al. 2 let. b, seules les données personnelles traitées doivent être fournies en tant que telles, c'est-à-dire, par exemple, pas les documents individuels, les e-mails, les notes ou les contrats dans leur ensemble, mais uniquement les données personnelles qu'ils contiennent. Les documents dans leur ensemble peuvent être fournis volontairement, ce qui, dans la pratique, peut être plus simple pour le ou la responsable en fonction des données. Le droit d'accès ne peut porter que sur des données personnelles traitées qui sont couvertes par la LPD (art. 2 al. 2 LPD), donc par exemple pas sur des données personnelles traitées par des personnes physiques exclusivement pour leur usage personnel (art. 2 al. 2 let. a LPD e contrario). En cas de traitement d'une grande quantité de données, le ou la responsable peut demander des précisions à la personne concernée.
19 Seules les "données écrites ou "physiquement" disponibles, et donc objectivement consultables à long terme [...], et non pas simplement accessibles de mémoire", peuvent être communiquées. "Le mode de stockage ou la désignation des données ne sont pas pertinents".
20 Le droit d'accès aux données concernant des personnes décédées, prévu à l'article 1, al. 7 aLPD, n'a pas été repris dans la LPD ou dans l'OLPD. Cette disposition a été qualifiée en dernier lieu de contraire au droit fédéral par la jurisprudence.
21 Ce qui est considéré comme une donnée personnelle au sens du droit d'accès doit être évalué au cas par cas, notamment en ce qui concerne le critère de déterminabilité (art. 5 let. a LPD). La clause générale est à la fois un critère et une restriction : "En matière de droit de la protection des données, il s'agit uniquement d'aider une personne concernée à pouvoir faire valoir ses droits en matière de protection des données (au moins les droits qui peuvent être invoqués en justice) et de garantir une transparence du traitement des données (motivée par le droit de la protection des données)". Le droit d'accès ne doit notamment pas être un moyen d'obtenir des preuves (cf. n. 7 ci-dessus).
22 Le but du traitement (art. 25 al. 2 let. c) correspond à celui prévu par le devoir d'information (art. 18 al. 2 let. b LPD).
23 La durée de conservation ou, si la communication d'une durée n'est pas possible, les critères de détermination de cette durée (art. 25 al. 2 let. d LPD) peuvent être tirés par les responsables d'un éventuel registre des activités de traitement existant (art. 12 al. 2 let. e LPD). Comme critère, il faudra au moins se référer au principe de nécessité (art. 6 al. 4 LPD).
24 En ce qui concerne l'origine selon l'art. 25 al. 2 let. e LPD, il n'est pas possible d'exiger du ou de la responsable des éclaircissements sur l'origine des données.
25 En présence d'une décision individuelle automatisée, l'art. 25 al. 1 let. f LPD exige d'une part des renseignements sur ce fait et d'autre part sur la logique sur laquelle repose la décision. L'existence en soi devrait en principe déjà être connue de la personne concernée en raison du devoir d'information en cas de décision individuelle automatisée (art. 21 al. 1 LPD ; exceptions selon l'art. 21 al. 3 LPD). La logique, c'est-à-dire les critères et les données sous-jacentes, doit être réclamée par la personne concernée en faisant référence à son droit d'accès. Les algorithmes peuvent être protégés en tant que secrets commerciaux, mais les hypothèses de base de la logique de l'algorithme doivent être mentionnées. Dans le cas de l'"intelligence artificielle", le droit d'accès se heurte à des limites à cet égard, car le ou la responsable ne sait souvent pas (et ne peut pas non plus savoir) quelles données personnelles ont conduit au résultat visible et pourquoi.
26 Pour les éventuels destinataires selon l'art. 25 al. 2 let. g, il suffit de communiquer les catégories. Les catégories sont par exemple les autorités ou les sociétés du groupe, alors que les noms ne doivent pas être mentionnés. S'y ajoute l'information sur la communication à l'étranger selon l'art. 19 al. 4 LPD.
IV. Cas particuliers
A. Renseignement par un professionnel de la santé (al. 3)
27 Pour les données personnelles relatives à la santé, l'art. 25 al. 3 LPD prévoit qu'elles peuvent être communiquées, avec le consentement de la personne concernée, par un professionnel de la santé désigné par elle. Les données relatives à la santé sont des données personnelles sensibles au sens de l'art. 5 let. c ch. 2 LPD.
28 Cette disposition correspond dans une large mesure à l'art. 8 al. 3 aDSG. Le consentement requis a été complété afin de permettre à la personne concernée de choisir librement. Les renseignements ne peuvent plus être fournis uniquement par des médecins, mais par tous les professionnels de la santé qualifiés pour le cas en question. Doivent notamment être considérées comme des professionnels de la santé les personnes médicales inscrites au registre des professions médicales (MedReg).
B. Traitement par des personnes travaillant sur mandat (al. 4)
29 En cas de traitement de données personnelles par des sous-traitants (art. 9 LPD), le responsable du traitement reste soumis à l'obligation de renseigner. Cette disposition correspond à la première phrase de l'actuel art. 8 al. 4 aDSG, dont la deuxième phrase a été supprimée sans être remplacée.
30 Un sous-traitant qui reçoit une demande d'information sans être responsable doit transmettre la demande d'information au responsable ou au moins indiquer le responsable. Conformément à l'art. 17 al. 2 OLPD, les personnes chargées du traitement des commandes doivent aider le ou la responsable à fournir les renseignements, dans la mesure où elles n'ont pas été mandatées pour le faire. Le ou la responsable devra régler la communication des renseignements dans le contrat conclu avec le ou la sous-traitant(e) (contrat de sous-traitance) (art. 9 al. 1 let. a LPD).
V. Modalités
A. Pas de renonciation au droit d'accès (al. 5)
31 Conformément à l'art. 25 al. 5 LPD, il n'est pas possible de renoncer à l'avance au droit d'accès. Cette disposition correspond à l'art. 8 al. 6 aDSG.
B. Gratuité des renseignements (al. 6)
32 Conformément à l'art. 25 al. 6 LPD, les renseignements doivent en principe être fournis gratuitement. La disposition partielle correspondante de l'art. 8, al. 5 aDSG ("en règle générale [...] gratuitement") a ainsi été reprise. Le droit d'accès part du principe que la communication de renseignements est en règle générale possible sans grand effort lorsque le traitement des données est conforme à la loi et à l'ordonnance.
33 Le Conseil fédéral reçoit la compétence de prévoir des exceptions à la gratuité, "notamment lorsque les coûts sont disproportionnés". Le Conseil fédéral a fait usage de cette compétence avec l'article 19 OLPD.
34 En cas de charge de travail disproportionnée, la communication des renseignements peut exceptionnellement être subordonnée à une participation aux frais appropriée pouvant aller jusqu'à 300 francs (art. 19 al. 1 et 2 OLPD).
35 Il n'y a pas de charge de travail disproportionnée lorsque des renseignements doivent être fournis sur un grand nombre de données personnelles parce que le ou la responsable collecte (autant que possible) un grand nombre de données dans son propre intérêt. Il en va de même lorsque la charge de travail disproportionnée résulte d'un manque d'organisation du ou de la responsable. En ce qui concerne les demandes de renseignements adressées à la fondation mesvaccins après l'arrêt de la plateforme Internet mesvaccins.ch, le PFPDT a recommandé aux personnes concernées qui avaient demandé des renseignements de rembourser les frais de copies certifiées conformes de pièces d'identité que la fondation avait exigés.
36 Le ou la responsable doit informer la personne concernée qui a demandé des renseignements du montant de la participation aux frais avant de fournir les renseignements (art. 19 al. 3 phrase 1 OLPD). Dans la mesure où la personne concernée ne maintient pas l'information demandée dans un délai de dix jours, la demande d'information est considérée comme retirée sans conséquences financières (art. 19 al. 2 RGPD). Le premier délai pour fournir les renseignements conformément à l'art. 18 al. 1 OLPD est ainsi prolongé de ce délai de réflexion de dix jours (art. 19 al. 3 phrase 2 OLPD).
37 Dans la pratique, une participation aux frais de la personne concernée n'a que peu d'importance. Dans le cas d'un calcul des coûts complets, les dépenses du ou de la responsable en rapport avec la participation aux frais atteignent souvent le maximum possible de 300 francs. Cette charge augmente encore si la personne concernée adapte sa demande de renseignements en raison de la participation aux frais exigée, afin que le ou la responsable ne puisse plus prétendre à une charge disproportionnée. Il est habituellement plus facile pour le responsable de demander une précision sur les renseignements demandés (cf. n. 18 ci-dessus).
C. Délai pour l'information (al. 7)
38 Un premier délai de 30 jours à compter de la réception par le responsable s'applique à la communication des renseignements (art. 18 al. 1 RGPD). Le ou la responsable peut prolonger ce délai si les renseignements ne peuvent pas être fournis dans les 30 jours et doit dans ce cas informer la personne concernée du nouveau délai (art. 18 al. 2 RGPD). L'information doit avoir lieu avant l'expiration du premier délai de 30 jours, tout comme l'information sur l'ajournement, la limitation ou le refus de l'accès (art. 18 al. 3 RGPD ; cf. art. 26 f. LPD sur les restrictions du droit d'accès).
VI. Application du droit
39 Le droit d'accès doit être mis en œuvre par une action civile contre les personnes privées responsables, le non-respect ne constituant en principe pas une atteinte directe à la personnalité. Le non-respect ne peut pas être justifié conformément à l'article 31 LPD. Le for pour les actions civiles est au siège ou au domicile de l'une des parties (art. 20 let. d CPC), aucune avance de frais n'étant requise (art. 99 al. 3 let. d CPC) et aucun frais de justice n'étant alloué (art. 113 al. 2 let. g et 114 let. g CPC). La procédure simplifiée s'applique aux actions visant à faire valoir le droit d'accès (art. 243 al. 2 let. d CPC).
40 Le droit d'accès contre les organes fédéraux responsables doit être mis en œuvre par voie de recours. La personne concernée qui demande des renseignements a droit à une décision susceptible de recours.
41 Le PFPDT peut, dans le cadre de la procédure administrative, conformément aux art. 49 ss. LPD, ordonner la communication de renseignements et assortir la décision d'une menace de sanction (art. 51 al. 3 let. g et 63 LPD). La personne concernée n'a pas la qualité de partie dans cette procédure (art. 52 al. 2 LPD e contrario).
42 La communication intentionnelle d'un renseignement faux ou incomplet est punie, sur plainte de la personne concernée, d'une amende de 250'000 francs au plus (art. 60 al. 1 let. a LPD). La personne concernée a le droit de porter plainte (art. 30 CP, en particulier art. 30 al. 1 CP). Contrairement au RGPD, la LPD ne connaît en principe pas d'amendes administratives (art. 83 RGPD), une amende étant toutefois possible à titre exceptionnel pour les entreprises (cf. N. 44).
43 Le responsable qui ne répond pas à une demande d'information ou qui prétend à tort ne pas être tenu de fournir des informations n'est pas punissable. Cette lacune de punissabilité existait déjà selon l'art. 34 al. 1 let. aDSG, l'amende maximale possible étant de 10'000 francs (art. 106 al. 1 CP).
44 La disposition pénale est en principe limitée aux personnes physiques pour les personnes privées responsables. Le risque d'amende est essentiellement supporté par les personnes physiques individuelles qui fournissent des renseignements, ce qui peut également être une personne subalterne. Les entreprises ne peuvent être punies qu'exceptionnellement ; dans ce cas, l'amende maximale possible est de 50'000 francs (art. 64 LPD). La punissabilité pour la fourniture intentionnelle d'un renseignement incomplet est supprimée si l'on ne donne pas l'impression que le renseignement est complet. Il n'y a pas d'obligation de fournir une déclaration d'exhaustivité. Pour les collaborateurs de l'administration fédérale et d'autres organes fédéraux, seuls des moyens disciplinaires sont à disposition.
Bibliographie
Baeriswyl Bruno, Vorbemerkung zu Art. 25-29 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023 (zit. SHK-Baeriswyl, Vorb. zu Art. 25-29 DSG).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBI 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 30.3.2023.
Bundesamt für Justiz: Verordnung über den Datenschutz (Datenschutzverordnung, DSV), Erläuternder Bericht vom 31.8.2022 (zit. BJ, Bericht).
Bauer Stefan, Beweisführung der Zustellung im E-Mail-Verkehr, 1.5.2022, https://www.cubewerk.de/wp-content/uploads/2022/06/Stefan_Bauer_Beweisfuehrung_E-Mail_Fiktion_Zugangsfiktion_Zustellnachweise_E-Mail.pdf, besucht am 30.3.2023 (zit. Bauer, E-Mail-Zustellung).
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 25 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023 (zit. SHK-Pärli/Flück, Art. 25 DSG).
Rosenthal David, Das neue Datenschutzgesetz, Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz und weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri Art. 8 aDSG).
Schlussbericht und Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EBÖB) betreffend die Plattform «meineimpfungen.ch», 31.8.21 (zit. Schlussbericht EDÖB).
Suter-Sieber Irène/Stutz Christoph/Wirz Chiara, Datenschutzzweckwidrige Auskunftsbegehren im Arbeitsverhältnis, AJP 5 (2021), S. 593-605 (zit. Suter-Sieber/Stutz/Wirz, Auskunftsbegehren).
Thouvenin Florent, Recht auf informationelle Selbstbestimmung?!, Vortrag am Datenschutz-Festival der Digitalen Gesellschaft am 2.12.2022 in Zürich, https://www.digitale-gesellschaft.ch/2022/12/15/erstes-datenschutz-festival-der-schweiz-zusammenfassung-rueck-und-ausblick/ und https://www.digitale-gesellschaft.ch/uploads/2022/12/Datenschutz-Festival-Informationelle-Selbstbestimmung.pdf, besucht am 30.3.2023.
Vasella David, 4A_125/2020 (amtl. Publ.): Gegenstand des Auskunftsrechts, insb. betr. Herkunftsangaben; keine Auskunft über Daten im Gedächtnis, in: datenrecht.ch, 12.1.2021, https://datenrecht.ch/4a_125-2020-amtl-publ-gegenstand-des-auskunftsrechts-insb-betr-herkunftsangaben-keine-auskunft-auf-daten-im-gedaechtnis/, besucht am 30.3.2023 (zit. Vasella, Gedächtnis).
Vasella David, 4A_277/2020: Rechtsmissbrauch eines Auskunftsbegehrens bejaht (Fishing Expedition), in: datenrecht.ch, 8.12.2020, https://datenrecht.ch/4a_277-2020-rechtsmissbrauch-eines-auskunftsbegehrens-bejaht-fishing-expedition/, besucht am 30.3.2023 (zit. Vasella, Fishing Expedition).
Vasella David, EuGH (Österreichische Post): Auskunftsrecht umfasst wenn möglich die einzelnen Empfänger (nicht nur Kategorien), in: datenrecht.ch, 14.1.2023, https://datenrecht.ch/eugh-oesterreichische-post-auskunftsrecht-umfasst-die-einzelnen-empfaenger-nicht-nur-kategorien/, besucht am 30.3.2023 (zit. Vasella, Österreichische Post).
Vasella David, OGer ZH: kein Auskunftsrecht betr. Daten einer verstorbenen Person, Art. 1 Abs. 7 VDSG bundesrechtswidrig; Dispositionsmaxime bei Klagen auf Auskunftserteilung, in: datenrecht.ch, 4.4.2017, https://datenrecht.ch/oger-zh-kein-auskunftsrecht-betr-daten-einer-verstorbenen-person-art-7-abs-1-vdsg-bundesrechtswidrig-dispositionsmaxime-bei-klagen-auf-auskunftserteilung/, besucht am 30.3.2023 (zit. Vasella, Tod).
Waldvogel Marcel, Machine Learning: Künstliche Faultier-Intelligenz, in: dnip.ch, 16.8.2022, https://dnip.ch/2022/08/16/machine-learning-kuenstliche-faultier-intelligenz/, besucht am 30.3.2023 (zit. Waldvogel, Machine Learning).