-
- Art. 3 Cst.
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 13 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 26 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 31 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 45 Cst.
- Art. 51 Cst.
- Art. 52 Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 69 Cst.
- Art. 74 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 81 Cst.
- Art. 96 al. 1 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 122 Cst.
- Art. 123a Cst.
- Art. 123b Cst.
- Art. 130 Cst.
- Art. 136 Cst.
- Art. 164 Cst.
- Art. 166 Cst.
- Art. 170 Cst.
- Art. 176 Cst.
- Art. 178 Cst.
- Art. 189 Cst.
- Art. 191 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 633 CO
- Art. 701 CO
- Art. 713 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Art. 1 EIMP
- Art. 1a EIMP
- Art. 3 al. 1 et 2 EIMP
- Art. 8 EIMP
- Art. 8a EIMP
- Art. 11b EIMP
- Art. 16 EIMP
- Art. 17 EIMP
- Art. 17a EIMP
- Art. 32 EIMP
- Art. 35 EIMP
- Art. 47 EIMP
- Art. 48 EIMP
- Art. 54 EIMP
- Art. 55a EIMP
- Art. 67 EIMP
- Art. 67a EIMP
- Art. 74 EIMP
- Art. 74a EIMP
- Art. 80 EIMP
- Art. 80a EIMP
- Art. 80b EIMP
- Art. 80h EIMP
- Art. 63 EIMP
- Art. 80c EIMP
- Art. 80d EIMP
- Art. 80k EIMP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 let. c LPD
- Art. 5 let. d LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 3-5 LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 18 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 28 LPD
- Art. 29 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 16 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 18 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 27 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 28 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
-
- Art. 2 al. 1 LBA
- Art. 2a al. 1-2 and 4-5 LBA
- Art. 2 al. 2 LBA
- Art. 2 al. 3 LBA
- Art. 3 LBA
- Art. 7 LBA
- Art. 7a LBA
- Art. 8 LBA
- Art. 8a LBA
- Art. 11 LBA
- Art. 14 LBA
- Art. 15 LBA
- Art. 20 LBA
- Art. 23 LBA
- Art. 24 LBA
- Art. 24a LBA
- Art. 25 LBA
- Art. 26 LBA
- Art. 26a LBA
- Art. 27 LBA
- Art. 28 LBA
- Art. 29 LBA
- Art. 29a LBA
- Art. 29b LBA
- Art. 30 LBA
- Art. 31 LBA
- Art. 31a LBA
- Art. 32 LBA
- Art. 33 LBA
- Art. 34 LBA
- Art. 38 LBA
CONSTITUTION FÉDÉRALE
LOI FÉDÉRALE SUR L’IMPÔT FÉDÉRAL DIRECT
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
ORDONNANCE SUR LES DISPOSITIFS MÉDICAUX
LOI SUR LE BLANCHIMENT D’ARGENT
LOI SUR LA TRANSPARENCE
LOI FÉDÉRALE SUR LE TRANSFERT INTERNATIONAL DES BIENS CULTURELS
LOI SUR LES PRODUITS THÉRAPEUTIQUES
LOI FÉDÉRALE SUR L’HARMONISATION DES IMPÔTS DIRECTS DES CANTONS ET DES COMMUNES
- En bref
- I. Remarques préliminaires
- II. Généralités
- III. Conditions
- IV. Conséquence juridique : le transfert
- V. Modalités (al. 3 et OPDDo)
- Bibliographie
- Matériaux
En bref
Le droit à la communication ou au transfert des données est, avec le droit d’accès, le deuxième droit des personnes concernées en matière de protection des données. Il est souvent désigné sous le nom de « droit à la portabilité des données ». Ce droit permet à une personne concernée d’exiger que certaines données, qu’elle a activement mises à la disposition du responsable du traitement ou que celui-ci a collectées, lui soient communiquées ou soient transférées directement à des tiers. Les données doivent être transférées dans un format électronique courant. Cela doit permettre une réutilisation directe par la personne concernée ou par un autre prestataire. Ce nouveau droit à la portabilité des données a été repris du RGPD et se situe à la croisée du droit de la protection des données et du droit de la concurrence. Il vise à donner à la personne concernée, dans le cadre de l’économie des données, la possibilité de disposer de « ses » données en toute autonomie.
I. Remarques préliminaires
1 L'article 28 de la LPD prévoit le droit de la personne concernée à la remise (al. 1) ou au transfert (al. 2) de certaines données la concernant. Également désigné sous le nom de droit à la portabilité des données, il constitue – aux côtés du droit d'accès – le deuxième droit de la personne concernée dans le cadre de la LPD. L’article 29 LPD, qui suit, doit être lu conjointement avec l’article 28 LPD et énonce les motifs de restriction possibles.
2 Pour exercer le droit prévu à l’article 28 de la LPD, la personne physique requérante, dont les données sont traitées par un responsable du traitement, est legitimée activement. Est legitimé passivement le responsable du traitement qui traite lui-même les données de la personne requérante visées par le droit à la portabilité ou qui les fait traiter par un sous-traitant. Peuvent être concernés à cet égard des personnes privées et, dans de rares cas, des organes fédéraux.
II. Généralités
A. Objectif de la norme
3 L’objectif de l’art. 28 LPD reste controversé à ce jour. Alors que le Conseil fédéral, par exemple, voit dans le droit à la portabilité des données la réalisation d’objectifs relevant du droit de la concurrence (cf. N. 10), d’autres voix dans la doctrine mettent en avant des objectifs liés à la protection des consommateurs ou à la protection des données. La détermination de l’objectif normatif est d’autant plus compliquée que, lors de l’élaboration de la réglementation, les Chambres fédérales se sont certes concentrées sur les réseaux sociaux, mais n’ont pas prévu, dans le droit à la portabilité des données, de restriction correspondante aux réseaux sociaux. L’art. 28 LPD peut donc s’appliquer à de nombreux contextes et secteurs – par exemple dans le secteur de la mobilité, dans le domaine de la santé, sur les plateformes Internet, pour les services cloud ou dans la gestion des ressources humaines. Le seul point commun entre tous ces cas d’application est qu’ils découlent des changements fondamentaux intervenus dans le traitement moderne des données (voir également N. 23 et suivants). C’est l’émergence récente de l’économie des données qui a rendu nécessaire le droit à la portabilité des données. Cet aspect doit être pris en compte dans l’objectif de la norme.
4 Du point de vue du droit de la protection des données, le droit à la portabilité de la personne concernée doit permettre une gestion autonome des données. Il vise à mettre fin à la possibilité d’exclusion de fait dont bénéficierait le responsable du traitement en l’absence de droit à la portabilité, et à faire passer la personne, jusqu’alors reléguée au rang d’objet des données, au statut de sujet des données, en lui permettant d’avoir son mot à dire sur l’utilisation de ses données. Cela permet de remédier aux déséquilibres entre les acteurs engendrés par l’économie des données. La personne concernée dispose pour la première fois d’un moyen juridique pour intervenir de manière autonome dans l’économie des données et pouvoir participer au potentiel de celles-ci.
5 Toutefois, des considérations relevant du droit de la concurrence y sont étroitement liées. À cet égard, le droit à la portabilité vise à promouvoir la concurrence de manière générale et à favoriser la libre circulation des données. D’autres objectifs souvent cités dans la littérature, tels que la réduction des coûts de changement ou des barrières à l’entrée sur le marché et la prévention des effets de verrouillage, ne peuvent en revanche, selon le point de vue défendu ici, jouer qu’un rôle secondaire : l’article 28 de la LPD ne se limite pas aux cas dans lesquels un effet de verrouillage-existe ou pourrait simplement exister, et il n’est pas nécessaire de prouver l’existence de barrières à l’entrée sur le marché ni de démontrer que celles-ci sont réduites. De plus, le responsable du traitement n’est pas tenu d’occuper une position particulière sur le marché ni même d’être actif sur un marché.
6 Ainsi, les objectifs relevant du droit de la concurrence s’éloignent d’une conception classique du droit des ententes et se rapprochent d’un « droit de la réglementation » qui agit ex ante. Ces objectifs reposent en outre sur l’idéalisme de ce qu’on appelle l’Open Web. Ce mouvement, apparu à la fin des années 2000, est ancré dans le milieu informatique américain et repose sur l’idée que seules la liberté de créer des liens vers des contenus sur Internet (et en particulier sur le World Wide Web) ainsi que l’accès à ceux-ci ont permis l’innovation et ont pu donner naissance aux offres existantes aujourd’hui. Cet « Open Web » est toutefois menacé par les monopoles et les silos de données (appelés « walled gardens »), car les grandes plateformes Internet, notamment, s’isolent de plus en plus les unes des autres. Le droit à la portabilité des données doit donc être considéré, à un niveau bien plus fondamental, comme une réponse à un Internet composé de « walled gardens ». L’économie des données – telle qu’elle se manifeste principalement sur le World Wide Web – doit être libérée des silos de données propriétaires, et les personnes concernées doivent pouvoir changer de fournisseur sans se heurter à des obstacles faussant la concurrence.
7 En raison de la diversité des cas d’application possibles, les objectifs mentionnés, parfois très différents, ne sont pas toujours faciles à concilier. Cela dit, le droit à la portabilité des données poursuit à la fois des objectifs relevant du droit de la protection des données et du droit de la concurrence. Il convient toutefois de le considérer avant tout comme un instrument relevant du droit de la protection des données, qui poursuit également des objectifs relevant du droit de la concurrence. Cela découle systématiquement du fait que le droit à la portabilité ne s’applique qu’aux données à caractère personnel et ne peut être exercé que par les personnes concernées (au sens du droit de la protection des données). En conséquence, un lien avec la personnalité de la personne concernée et son autodétermination informationnelle s’impose naturellement. À l’inverse, aucune condition relevant du droit de la concurrence ne doit être remplie pour que ce droit puisse être exercé. Il n’est même pas nécessaire que le responsable du traitement opère sur un marché ou de manière pertinente au regard de la concurrence.
8 Par conséquent, le droit à la portabilité des données n’est pas (comme certains le soutiennent) étranger au système du droit de la protection des données, mais « créateur de système ». Il est l’expression d’une décision de principe du législateur, selon laquelle la personne concernée doit avoir la possibilité d’exercer un droit de regard sur les données la concernant. En l’ancrant dans la LPD, le législateur a clairement indiqué que l’accent devait désormais être mis sur la personne concernée.
9 Compte tenu notamment de l’histoire peu linéaire de son émergence en Suisse (nous y reviendrons aussitôt), le droit à la portabilité des données doit également être compris dans un contexte plus large : il s’agit d’un instrument de la politique suisse en matière de données par excellence et non « simplement » d’un instrument relevant du droit de la protection des données. Le droit à la portabilité découle de considérations fondamentales en matière de politique des données et vise à permettre une libre circulation des données à l’ère de l’économie des données. En ce sens, s’il peut certes – comme c’est désormais le cas – s’inscrire dans le cadre du droit de la protection des données, il ne doit pas nécessairement entretenir un lien étroit avec la LPD. Dès le début des délibérations sur la révision de la LPD, la porte-parole de la commission compétente l’avait d’ailleurs très justement souligné : « Il ne s’agit pas simplement de la protection des données, mais aussi d’autres questions de politique des données telles que la portabilité, etc., auxquelles nous devons […] nous confronter. »
B. Genèse
10 L’article 28 de la LPD n’a pas d’équivalent dans l’aDSG. Il s’agit d’une véritable innovation de la révision, reprise de la DSGVO (cf. N. 12) . Son introduction était toutefois incertaine jusqu’au dernier moment : le Conseil fédéral considérait une telle réglementation comme « problématique » et avait renoncé à inclure un droit à la portabilité des données dans l’avant-projet. Il justifiait cette décision en arguant qu’un tel droit visait davantage à permettre aux personnes concernées de réutiliser leurs données afin de favoriser la concurrence qu’à protéger leur vie privée. Il craignait en outre des coûts élevés et doutait du succès de la mise en œuvre, car celle-ci nécessiterait un accord entre les responsables sur les supports de données et les normes informatiques. Le Conseil fédéral souhaitait plutôt examiner l’introduction de droits de portabilité spécifiques à certains secteurs.
11 Lors des débats parlementaires, la CIP-N a toutefois intégré un droit général à la portabilité des données dans le projet. Cette mesure visait à ouvrir de nouveaux espaces économiques et à modifier l’équilibre des pouvoirs entre les petites et les grandes plateformes. Une minorité a par ailleurs demandé d’élargir encore la portée de ce droit et de soumettre à la portabilité toutes les données se rapportant à une personne. La majorité du Conseil national, ainsi que le Conseil fédéral, ont toutefois estimé qu’un tel droit irait trop loin au regard des problèmes potentiels liés aux secrets d’affaires. Finalement, les Chambres ont décidé d’ancrer le droit à la portabilité dans sa forme actuelle, « en gardant toujours à l’esprit ce qui porte atteinte au caractère approprié et ce qui n’y porte pas atteinte ».
C. Remarques de droit comparé
12 Le droit à la portabilité des données a été repris pratiquement sans modification de la DSGVO, raison pour laquelle la disposition figurant à l’art. 20 de la DSGVO peut servir de référence pour l’interprétation suisse. Il existe toutefois des différences ponctuelles dans la formulation, qui seront abordées – dans la mesure où elles sont pertinentes – dans le cadre des différentes conditions.
III. Conditions
A. Données personnelles des personnes concernées
13 L’art. 28, al. 1, de la LPD prévoit tout d’abord que la personne concernée peut exiger du responsable du traitement la remise de « ses données personnelles ». Il en résulte que seules les données se rapportant à une personne physique sont portables (art. 2, al. 1, et art. 5, let. a, de la LPD). Ainsi, les données sans lien avec la personne concernée ne sont pas visées, dans la mesure où le responsable du traitement ne peut pas les associer à celle-ci. On peut citer, par exemple, les indicateurs de performance anonymes dans le cadre de logiciels, tels que les informations relatives à l’utilisation du processeur ou à la consommation de mémoire sur l’appareil d’une utilisatrice. Il est donc exigé que les données aient un lien étroit avec la personnalité de la personne concernée.
14 Par conséquent, les données se rapportant à des personnes morales ne sont pas soumises au droit à la portabilité. Ne sont pas non plus concernées les données qu’un responsable du traitement anonymise a posteriori. S’il s’agit de données pseudonymisées, celles-ci doivent être considérées comme des données à caractère personnel si le responsable du traitement peut les relier à la personne concernée.
15 Comme le précisent clairement les versions latines, les données doivent se rapporter à la personne qui en fait la demande. En revanche, rien ne peut être déduit de la formulation ambiguë de la version allemande (« ses données à caractère personnel »), qui permettrait également une interprétation différente et plus large. Il en résulte que les données purement relatives à des tiers, c’est-à-dire les données qui se rapportent exclusivement à des tiers, ne sont pas soumises au droit à la portabilité.
16 La question de savoir comment il en va des données qui se rapportent également à des tiers, par exemple des photos sur lesquelles plusieurs personnes apparaissent, fait toutefois l’objet d’une controverse. Étant donné que les motifs de restriction du droit à la portabilité des données prévus à l’art. 29, al. 1, en liaison avec l’art. 26, al. 1, let. b, de la LPD, font référence à des intérêts prépondérants de tiers, il y a lieu de considérer que les données personnelles qui se rapportent également à des tiers peuvent être soumises au droit à la portabilité. Sont donc également concernées les données présentant un « double lien », qui présentent un certain lien avec la personne concernée, même si ces données ne se rapportent pas (uniquement) à celle-ci. C’est le cas, par exemple, des historiques complets de discussions en ligne ou d’e-mails, ou encore des transactions bancaires archivées (y compris les informations relatives aux débiteurs ou aux bénéficiaires). Ce n’est que s’il existe des intérêts prépondérants de tiers (ou s’il s’agit de données relevant exclusivement de tiers) que les données ne sont pas soumises au droit à la portabilité des données. S’il en allait autrement, l’art. 28 LPD resterait sans effet précisément dans de nombreux cas visés par l’objectif de la norme.
17 Il convient donc de procéder comme suit pour déterminer si certaines données sont soumises au droit à la portabilité : dans un premier temps, le responsable du traitement doit vérifier si, d’une manière générale, les conditions prévues à l’article 28 de la LPD sont remplies, en particulier si les données à caractère personnel en question ont été communiquées par la personne concernée. Si les données concernent également des tiers (mais pas uniquement des tiers) et présentent un double lien, il convient, dans un deuxième temps, d’évaluer, au sens d’une « mesure restrictive », si des intérêts prépondérants de tiers justifient une restriction. En l’absence d’intérêts prépondérants du tiers, les données peuvent être transférées.
B. Données communiquées
18 Le droit à la portabilité des données est limité aux données que la personne concernée a « communiquées » au responsable du traitement. La notion de communication ne doit pas être comprise au sens de la définition légale de l’art. 5, let. e, LPD. Cela n’est d’ailleurs pas nécessaire pour son interprétation : dès la procédure législative, il a été précisé dans les documents de travail quelles données étaient visées. Le Conseil fédéral a ensuite précisé la portée de cette caractéristique dans l’OPDo. De plus, l’OFJ s’est exprimé sur cette portée dans ses commentaires. C’est pourquoi la condition de la communication en Suisse (contrairement à ce qui est le cas dans la DSGVO) est, du moins en théorie, largement incontestée. Dans la pratique, des questions de délimitation délicates peuvent néanmoins se poser.
19 Conformément à l’art. 20, al. 1, let. a, de l’OPDo, sont d’abord considérées comme communiquées les données qu’une personne concernée met sciemment et volontairement à la disposition du responsable du traitement (ce que l’on appelle les « données de base » ; également « provided data »). Sont concernées toutes les données communiquées directement et en toute connaissance de cause, par exemple les coordonnées saisies dans le cadre d’une commande en ligne ou les données à fournir lors d’une inscription sur une plateforme ou sur un formulaire d’anamnèse à l’hôpital. Les mots de passe ou les clés privées n’entrent pas dans cette catégorie, dans la mesure où ils sont – ce qui devrait être le cas en règle générale – cryptés et ne peuvent pas être associés à la personne concernée par le responsable du traitement.
20 Par ailleurs, les données sont considérées comme communiquées lorsqu’un responsable du traitement les a collectées au sujet de la personne concernée et de son comportement dans le cadre de l’utilisation d’un service ou d’un appareil (art. 20, al. 1, let. b, OPDo) . Ces données observées (ou « observed data ») sont générées indirectement – sciemment ou non – par la personne concernée lors de l’utilisation d’un service ou d’un appareil. Cela inclut, par exemple, les valeurs d’une application de fitness sur une montre connectée, générées sur la base des performances sportives, les titres musicaux écoutés sur un service de streaming ou les données de consommation et de localisation d’un véhicule connecté.
21 Ne sont pas concernées les données dérivées (également appelées « derived data »), c’est-à-dire les données que le responsable du traitement génère par sa propre analyse des données (art. 20, al. 2, OPDo). Comme celles-ci constituent une prestation autonome du responsable du traitement, elles sont exclues du portage. Dans ce cas, le législateur a accordé une plus grande importance à la protection de la prestation propre et des investissements propres du responsable du traitement qu’au droit de la personne concernée de permettre une réutilisation de « ses » données à caractère personnel.
22 La distinction entre données observées et données dérivées doit être établie au cas par cas et ne devrait pas toujours être aisée. Ainsi, dans le domaine de la santé, par exemple, observer revient le plus souvent à mesurer, et une simple mesure repose souvent sur une technologie complexe qui s’appuie sur des méthodes scientifiques. Dans ces cas, la transition entre la simple observation et la dérivation peut être floue et difficile à déterminer.
C. Traitement automatisé
23 Une autre restriction réside dans le fait que seules les données que le responsable du traitement traite de manière automatisée sont soumises au droit à la portabilité des données (art. 28, al. 1, let. a, LPD). Cela vise principalement à exclure les données qui sont conservées sous forme papier. On peut penser, par exemple, aux formulaires d’anamnèse physiques dans un cabinet médical, tant qu’ils ne sont pas transférés a posteriori dans un dossier médical électronique.
24 Seules les données traitées par voie électronique sont concernées. En effet, malgré la neutralité technologique intrinsèque de la LPD, le droit à la portabilité des données vise les échanges numériques et est destiné à s’appliquer en particulier aux échanges de données sur Internet. Toutefois, cette condition ne constitue aujourd’hui pratiquement plus une restriction, car la plupart des traitements de données sont vraisemblablement automatisés.
25 Le responsable du traitement n’est pas tenu de numériser les données conservées sous forme papier ou sous toute autre forme analogique. Toutefois, si les données ne sont traitées que partiellement de manière automatisée, le responsable du traitement peut, dans certains cas, être tenu de transférer ces données, car la restriction ne fait pas référence à un traitement exclusivement automatisé. Étant donné qu’il doit, dans ce cas, fournir ou transférer les données dans un format électronique courant, des obligations supplémentaires peuvent alors lui incomber.
D. Consentement ou lien direct avec un contrat
26 L’art. 28 LPD prévoit une autre condition : la restriction s’applique aux données traitées avec le consentement de la personne concernée ou en lien direct avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée (al. 1, let. b). Cette condition se réfère aux motifs justifiant un traitement de données prévus à l’art. 31 LPD et a été reprise tel quel de la DSGVO.
27 Toutefois, la DSGVO repose sur le principe de l’interdiction avec réserve d’autorisation. En Suisse, en revanche, le traitement de données par des particuliers est en principe autorisé tant que la personnalité de la personne concernée n’est pas lésée de manière illicite (autorisation avec réserve d’interdiction). En conséquence, la LPD n’exige pas dans tous les cas un motif de justification au sens de l’article 31 LPD pour un traitement de données par des particuliers. Au contraire, un traitement de données ne peut pas porter atteinte de manière illicite à la personnalité de la personne concernée, par exemple parce qu’il est effectué conformément aux principes de protection des données (art. 30, al. 1 et al. 2, let. a, LPD a contrario). Cela méconnaît toutefois la condition prévue à l’art. 28, al. 1, let. b, LPD.
28 Une interprétation littérale signifierait donc que seuls les traitements de données sont soumis au droit à la portabilité s’ils peuvent s’appuyer sur les motifs justificatifs que sont le consentement (art. 31, al. 1, variante 1, LPD) ou l’intérêt prépondérant découlant d’un lien direct avec un contrat (art. 31, al. 2, let. a, LPD). Cela garantirait certes que les traitements de données fondés sur une obligation légale ne soient pas couverts par le droit à la portabilité des données. Toutefois, aucune raison n’apparaît pour laquelle les traitements de données ne nécessitant aucun motif de justification devraient être exclus de la portabilité.
29 La doctrine part donc du principe d’une négligence législative et plaide, au regard de l’objectif de la norme, en faveur d’une interprétation plus large. Il convient donc de se fonder sur le caractère volontaire du traitement des données. Par conséquent, l’initiative du traitement concret des données doit au moins (également) émaner de la personne concernée. Le traitement des données ne doit pas être totalement dissocié de la volonté des personnes concernées. Si tel est le cas, la condition prévue à l’art. 28, al. 1, let. b, LPD est remplie, indépendamment du fait qu’un motif justificatif au sens de l’art. 31 LPD soit invoqué ou non.
30 À l’inverse, cela signifie que les traitements de données qui se fondent sur un autre motif justificatif ne sont pas soumis au droit à la portabilité des données. Cela est notamment pertinent lorsqu’il existe une base légale pour le traitement des données (art. 31, al. 1, variante 3, LPD). Alors que la DSGVO prévoit une exclusion expresse des traitements effectués dans le cadre de l’exercice de missions de service public (art. 20, al. 3, 2e phrase, DSGVO), ce n’est pas le cas en vertu de la LPD. Néanmoins, la restriction prévue à l’art. 28, al. 1, let. b, LPD montre clairement que les traitements de données qui reposent sur une base légale sont en principe exclus. Par conséquent, les traitements de données effectués par des organes fédéraux, qui sont liés par le principe de légalité, ne relèvent généralement pas du droit à la portabilité des données.
IV. Conséquence juridique : le transfert
31 Si les conditions énoncées au point III sont remplies de manière cumulative, la personne concernée peut exiger que les données lui soient remises (al. 1) ou qu’elles soient transférées à un autre responsable du traitement (al. 2). Tant la remise que le transfert des données doivent s’effectuer dans un format électronique couramment utilisé (cf. N. 38 et suivantes).
32 L’exercice du droit à la portabilité ne modifie pas la relation juridique entre la personne concernée et le responsable du traitement. Un consentement donné une fois n’est pas réputé révoqué, et cela ne change rien à une éventuelle relation contractuelle entre les parties. Le responsable du traitement peut continuer à invoquer des motifs de justification. Par conséquent, il n’est pas tenu de supprimer les données transférées.
A. À la personne concernée (remise des données ; al. 1)
33 En vertu de l’hypothèse de base de l’art. 28, al. 1, LPD, le responsable du traitement remet les données à la personne concernée. Celle-ci peut ensuite utiliser les données à des fins purement personnelles (par exemple, enregistrer désormais localement sur son ordinateur une collection de photos) ou les transmettre de son propre chef à un tiers de son choix. Cette dernière opération ne repose toutefois pas sur l’article 28 de la LPD.
B. À un responsable du traitement (transfert de données ; al. 2)
34 Conformément à l’article 28, al. 2, de la LPD, un transfert direct à des tiers (désignés à l’article 28 comme un « autre responsable du traitement ») est également possible à la demande de la personne concernée. Pour cela, toutes les conditions prévues à l’al. 1 doivent d’abord être remplies. En outre, le transfert ne doit pas nécessiter un effort disproportionné. L’al. 2 est respecté lorsque le tiers peut obtenir les données directement auprès du responsable ayant la légitimation passive, par exemple parce que celui-ci lui en accorde l’accès via une interface de programmation (API). Il n’existe toutefois aucun droit à cela.
35 L’art. 21, al. 3, de l’OPDo précise qu’il y a charge disproportionnée lorsque le transfert n’est techniquement pas possible. Une telle impossibilité ne devrait toutefois pratiquement jamais se présenter, car la remise des données à la personne concernée n’est, d’un point de vue technique, ni plus simple ni plus complexe que le transfert de données à un autre responsable du traitement. Étant donné que le responsable du traitement est légalement tenu de remettre les données en vertu de l’al. 1, un transfert de données au sens de l’al. 2 devrait également être possible en règle générale (sans effort disproportionné). Cela vaut d’autant plus que le responsable du traitement doit, dès le départ, concevoir ses systèmes de manière à pouvoir remplir ses obligations légales (art. 7 LPD).
36 Il est vrai qu’un tiers n’est pas tenu d’accepter les données ni de veiller à la faisabilité technique du transfert. Il ne joue aucun rôle au regard de la protection des données tant qu’il n’a pas reçu de données à caractère personnel et qu’il ne les traite donc pas. À cet égard, la désignation d’« autre responsable du traitement » dans la loi prête à confusion, d’autant plus que l’art. 28 LPD – contrairement à l’art. 20 de la DSGVO – ne prévoit pas d’interdiction d’entrave qui imposerait une obligation à l’« autre responsable du traitement » dans le cadre du droit à la portabilité des données. En vertu de la réglementation de l’UE, on postule donc que la faisabilité technique doit se rapporter à la relation entre le responsable du traitement et le tiers. Un transfert est toujours considéré comme disproportionné lorsque les systèmes de traitement des données du responsable du traitement et du tiers ne sont pas compatibles. Cette condition se rapporte donc à une caractéristique du tiers, sans pour autant lui imposer d’obligation.
37 Les coûts supportés par le responsable du traitement ne permettent pas de conclure à une charge disproportionnée. Le droit à la portabilité des données est un droit de la personne concernée qui doit être garanti indépendamment des éventuels coûts de mise en œuvre. Les coûts liés au transfert à un tiers ne peuvent donc pas être invoqués, d’autant plus qu’il est difficile de voir en quoi un tel transfert devrait entraîner des coûts plus élevés que la remise des données à la personne concernée.
C. Format des données
38 L’art. 28 LPD prévoit la communication ou le transfert dans un format électronique courant. Il doit s’agir de formats de données permettant, avec un effort proportionné, de transférer les données et de les réutiliser par la personne concernée ou par un autre responsable du traitement (cf. art. 21, al. 1, OPDo).
39 Cette précision n’étant guère utile, il convient de se référer à la disposition de l’art. 20 de la DSGVO, même si le libellé suisse s’est plutôt inspiré de celui du droit d’accès prévu à l’art. 15, al. 3, de la DSGVO. L’art. 20 de la DSGVO parle d’un « format structuré, couramment utilisé et lisible par machine ».
1. Courant
40 Un format est considéré comme courant lorsqu’il est largement utilisé dans le secteur concerné pour le type de données en question et dans la zone géographique pertinente. Toutefois, il ne faut pas accorder une importance excessive à la zone géographique. Dans l’économie mondialisée des données, la Suisse n’est pas un îlot technologique et l’exigence de caractère courant serait ainsi fixée à un niveau inutilement élevé. Le caractère courant ne correspond pas non plus à l’état de la technique. Ce qui importe, ce n’est pas de savoir quel format semble le « meilleur », mais quel est le plus répandu et qui a ainsi fait ses preuves dans la pratique. Par conséquent, un format est considéré comme courant lorsqu’il s’est imposé comme norme. Il convient donc de se baser en premier lieu sur les normes et les usages du secteur.
41 Il convient toutefois d’en exclure les formats propriétaires, qui sont certes peut-être répandus, mais dont la licence n’est accessible qu’à un coût élevé. Ils ne doivent pas être considérés comme courants, pas plus que les formats utilisés uniquement en interne. À l’inverse, les formats ouverts ne sont pas courants en soi, mais doivent être d’usage courant et répandus. S’il n’existe pas (encore) de formats courants dans un secteur donné, le responsable doit recourir à des formats ouverts d’usage courant, tels que XML, JSON ou CSV.
42 Le caractère courant doit être évalué du point de vue du responsable jouissant de la légitimation passive : un fichier DICOM (pour Digital Imaging and Communications in Medicine, avec l’extension .dcm) peut être inhabituel pour une patiente, mais il est courant en radiologie. Cela vaut également lorsque le responsable du traitement exerce son activité dans un secteur différent de celui du tiers auquel les données doivent être transférées. Cela peut toutefois constituer un obstacle réel à un transfert intersectoriel.
2. Format électronique
43 Un format électronique correspond en substance à la lisibilité par machine au sens de la DSGVO. Dans ce cadre, la lisibilité par machine est considérée comme une véritable « exigence de forme » pour la société numérique, car c’est elle seule qui permet le traitement automatisé des informations par des ordinateurs. Étant donné que le droit à la portabilité des données vise l’économie des données, le format doit garantir l’importation automatique des données dans un système informatique sous une forme structurée. Les données doivent donc être traitables électroniquement et pouvoir faire l’objet d’un traitement automatisé.
44 Dans certains cas précis, la réglementation suisse peut toutefois être plus restrictive que la lisibilité par machine. Alors que l’on débat parfois, dans le cadre de la DSGVO, de la question de savoir si les impressions informatiques doivent être considérées comme lisibles par machine en raison de la possibilité technique de reconnaissance optique de caractères (OCR), celles-ci ne doivent manifestement pas être classées comme un format électronique au regard de la LPD.
3. Absence d’exigence d’interopérabilité
45 Les exigences relatives au format des données n’impliquent aucune obligation d’interopérabilité. L’interopérabilité ne concerne d’ailleurs pas les données (ou leurs formats), mais les systèmes qui entretiennent un échange bidirectionnel. Cela nécessiterait donc non seulement l’échange de données, mais aussi l’interaction entre différents systèmes. Ainsi, un réseau social pourrait par exemple permettre à une utilisatrice de transférer ses photos vers un autre fournisseur. En revanche, l’interopérabilité entre deux réseaux sociaux ne serait atteinte que si, par exemple, un commentaire publié sous une photo pouvait s’afficher sur un autre réseau social et faire l’objet d’une interaction avec celui-ci (notamment par le biais d’un nouveau commentaire). Les différents systèmes doivent donc non seulement être capables d’échanger des données, mais aussi s’accorder sur les conditions applicables à ces données.
46 L’article 21, al. 2, de l’OPDo précise en ce sens que le droit à la portabilité n’implique aucune obligation pour le responsable du traitement d’adopter ou de maintenir des systèmes de traitement de données techniquement compatibles. Cette obligation n’existe bien entendu pas non plus pour les tiers, qui ne sont pas tenus de reprendre les données transférées. Les dispositions de la LPD et de l’OPDo n’imposent pas non plus d’obligation d’assurer l’interopérabilité entre les systèmes.
47 Dans ses commentaires, l’OFJ suggère en outre que les informations transmises soient décrites avec précision dans des formats interopérables, accompagnées de métadonnées appropriées et compréhensibles, afin qu’elles puissent être intégrées de manière pertinente dans un nouveau système. Les métadonnées doivent être suffisamment détaillées pour permettre l’utilisation et la réutilisation des données sans divulguer de secrets d’affaires. Cela suggère une obligation de traitement de (nouvelles) métadonnées, à laquelle il ne faut pas se conformer. L’art. 28 LPD établit simplement, notamment au regard de l’art. 21, al. 2, OPD, un droit à obtenir les données « telles quelles ». Cela inclut également les éventuelles métadonnées qui permettent, par exemple, de structurer un ensemble de données plus volumineux. On ne peut toutefois en déduire une obligation de compléter les métadonnées (parfois par des données dont le responsable du traitement n’a peut-être même pas besoin dans son système). Cela d’autant plus que la réglementation suisse, contrairement à l’article 20 de la DSGVO, ne mentionne justement pas expressément l’exigence d’une structure. De plus, les métadonnées qui peuvent techniquement être contenues dans un format donné peuvent varier en fonction du format (courant) utilisé. Il convient donc de ne remettre aux personnes concernées que les métadonnées qui sont contenues dans un format électronique courant au sens de l’art. 28 LPD.
V. Modalités (al. 3 et OPDDo)
48 L’article 28, al. 3, de la LPD prévoit que le responsable du traitement doit en principe transférer les données à caractère personnel gratuitement. En outre, l’article 22 de l’OPDo précise le délai, la compétence et d’autres modalités. L’article 22 de l’OPDo se limite toutefois à renvoyer, par analogie, aux modalités du droit d’accès, sans aborder le fond du droit à la portabilité des données. En principe, il est donc possible de se référer aux considérations relatives au droit d’accès.
A. Forme et délai
49 L’article 22, en liaison avec l’article 16, al. 1, de l’OPDo, exige de la personne concernée une demande écrite. Dans celle-ci, la personne doit s’identifier (art. 22, en liaison avec l’article 16, al. 5, de l’OPDo). Elle peut le faire, par exemple, en joignant une copie de sa pièce d’identité à sa demande. Le plus souvent, toutefois, l’identification devrait s’effectuer par le fait que la personne concernée dépose la demande directement depuis son compte (connecté) auprès du responsable du traitement. Dans ces cas, le responsable du traitement devrait toutefois prendre des précautions particulières au regard des exigences en matière de sécurité des données (par exemple en mettant en place des mécanismes de détection des tentatives de connexion inhabituelles provenant d’adresses IP étrangères). Avec l’accord du responsable du traitement, la demande peut également être formulée oralement, ce qui devrait toutefois être rare.
50 Le transfert doit avoir lieu dans un délai de 30 jours à compter de la réception de la demande (art. 22 en liaison avec l’art. 18, al. 1, OPDo). Si le transfert ne peut avoir lieu dans ce délai, le responsable du traitement doit en informer la personne concernée et lui indiquer dans quel délai le transfert pourra être effectué (art. 22 en liaison avec l’art. 18, al. 2, OPDo). Toute restriction éventuelle doit également être communiquée dans le même délai (art. 22 en liaison avec l’art. 18, al. 3, OPDo).
51 Il n’y a pas d’obligation de fournir un flux de données continu ou périodique. Le responsable du traitement n’est pas non plus tenu d’accorder un accès illimité aux données à la personne concernée ou à l’autre responsable du traitement (par exemple via l’accès à une interface). Le droit à la portabilité des données est conçu comme un mécanisme de transfert statique et ne fournit donc qu’un « instantané ».
52 À l’instar du droit d’accès, le droit à la portabilité des données peut ainsi en principe être accordé sous n’importe quelle forme. Il est par exemple possible d’envoyer une clé USB par la poste ou de procéder à un envoi électronique par e-mail. Il est également possible, notamment pour les ensembles de données volumineux, que le responsable du traitement propose une connexion à une API ou la possibilité de télécharger directement depuis ses serveurs (par exemple depuis un serveur SFTP, une interface web sécurisée ou un portail web).
B. Compétence
53 Le droit à la portabilité des données s’adresse au responsable du traitement, même si les données sont stockées chez un sous-traitant. S’il existe plusieurs responsables du traitement, la personne concernée peut faire valoir son droit auprès de chacun d’entre eux individuellement (art. 22 en liaison avec l’art. 17, al. 1, de l’OPDo). Les responsables du traitement sont tenus, dans chaque cas, de traiter la demande et non pas simplement de la transmettre. Les sous-traitants doivent aider le responsable du traitement à répondre à la demande ou y répondre eux-mêmes, pour le compte du responsable du traitement (art. 22 en liaison avec l’art. 17, al. 2, de l’OPDo). Le sous-traitant doit donc fournir au responsable du traitement les données pertinentes pour la portabilité si ce dernier n’en dispose pas lui-même.
C. Gratuité
54 Le responsable du traitement doit remettre ou transférer les données gratuitement (art. 28, al. 3, LPD). À titre exceptionnel, une participation financière pouvant aller jusqu’à 300 CHF est autorisée si le transfert de données implique un effort disproportionné (art. 22 en liaison avec l’art. 19, al. 1 et 2, de l’OPDo). Cela peut par exemple être le cas (rarement) lorsqu’un tri fastidieux entre les données de tiers et celles de la personne concernée s’avère nécessaire. Le responsable du traitement doit communiquer au préalable le montant de la participation à la personne concernée (art. 22 en liaison avec l’art. 19, al. 3, de l’OPDo).
Remarque :
La structure et le contenu du présent commentaire s’inspirent de la thèse de doctorat de l’auteur consacrée au droit à la portabilité des données. Les notes de bas de page n’y font spécifiquement référence que lorsqu’elles contiennent des explications plus approfondies.
Bibliographie
Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz (DSG), 2. Aufl., Bern 2023 (zit.: SHK-Autor/in, Art. … DSG N. ...).
Benhamou Yaniv/Cottier Bertil (Hrsg.), Petit commentaire LPD, Loi sur la protection des données, Basel 2023 (zit.: PC-Autor/in, Art. … DSG N. ...).
Berners-Lee Tim, Long Live the Web, Scientific American 2010, 80–85.
Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023 (zit.: OFK-Autor/in, Art. … DSG N. ...).
Bieri Adrian/Powell Julian, Die Totalrevision des Bundesgesetzes über den Datenschutz, Jusletter 16.11.2020.
Brorsen Hans/Falk Richard, Die «Maschinenlesbarkeit» von Informationen, Unter der Haube der EU-Digitalregulierung, MMR 2025, 7–12.
Cattaneo Gianni, Legge federale sulla protezione dei dati (nLPD) e Ordinanza sulla protezione dei dati (nOPDa): struttura, principi e obblighi nel settore privato, in: Bernasconi Giorgio A./Pasucci Paola (Hrsg.), Protezione dei dati personali: orizzonte 2023, Introduzione alle nuove norme di livello federale e cantonale, Basel 2024, 3–67.
Drepper Johannes/Schlünder Irene/Buckow Karoline, Praktische Umsetzbarkeit der Datenportabilität im Bereich der medizinischen Forschung, in: Stiftung Datenschutz, Praktische Umsetzung des Rechts auf Datenübertragbarkeit, Rechtliche, technische und verbraucherbezogene Implikationen, 3. Aufl., Leipzig 2018, 178–196.
Ehmann Eugen/Selmayr Martin (Hrsg.), Beck’scher Kurz-Kommentar zur Datenschutz-Grundverordnung, 3. Aufl., München 2024 (zit.: KUKO-Autor/in, Art. … DSGVO N. ...).
Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J. (Hrsg.), St. Galler Kommentar zur schweizerischen Bundesverfassung, 4. Aufl., Zürich et al. 2023 (zit.: SGK-Autor/in, Art. 13 BV N. ...).
Engels Barbara, Data portability among online platforms, Internet Policy Review 2/2016, 1–17.
Expertengruppe zur Zukunft der Datenbearbeitung und Datensicherheit, Bericht vom 17.8.2018, <https://perma.cc/YB65-ECG9> (zit.: Expertengruppe Zukunft).
Fix Alexander Daniel, Das Recht auf Datenportabilität, Art. 20 DSGVO als Schnittstelle zwischen Wettbewerbsförderung und Datenschutz, Berlin 2022.
Götzinger Lena/Vasella David, Datenportabilität und ihre Umsetzung, SZW 2021, 40–51.
Kratz Alexander, Datenportabilität und «Walled Gardens», InTeR 2019, 26–31.
Krause Peter, Datenportabilität, Pflichten für Verantwortliche im Rahmen des Rechts auf Datenübertragbarkeit (Teil 2), PinG 2019, 13–20.
Landolt Robin, Datenkooperationen, Der unternehmensübergreifende Zugang zu Daten im Spannungsfeld zwischen Datenschutz und Wettbewerbsförderung, Zürich 2024.
Laux Christian, Das Recht auf Datenportabilität, digma 2019, 166–170.
Mahon Pascal, Le droit à l’intégrité numérique : réelle innovation ou simple évolution du droit ? Le point de vue du droit constitutionnel, in: Guillaume Florence/Mahon Pascal (Hrsg.), Le droit à l’intégrité numérique, Basel 2021, 43–63.
Mätzler Samuel, Das Recht auf Datenportabilität, Eine rechtsvergleichende Untersuchung von Art. 28 DSG anhand dreier Datenökosysteme, Zürich 2026.
Meier Philippe/Métille Sylvain (Hrsg.), Loi fédérale sur la protection des données, Commentaire Romand, Basel 2023 (zit.: CR-Autor/in, Art. … DSG N. ...).
Métille Sylvain, Loi fédérale sur la protection des données révisée : principes généraux et nouveautés, in: Défago Valérie/Dunand Jean-Philippe/Mahon Pascal/Posse-Ousmane Samah/Raedler David (Hrsg.), La protection des données dans les relations de travail à la lumière de la nouvelle loi fédérale sur la protection des données, Genf et al. 2024, 3–47.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020.
Schweitzer Heike, Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, 569–579.
Sperlich Tim, Informationelle Selbstbestimmung zwischen Wettbewerbs- und Datenschutzrecht, Eine Analyse und Beurteilung der Wechselwirkungen zwischen dem Wettbewerbs- und Datenschutzrecht, Berlin 2021.
Steiner Thomas, Zwischen Autonomie und Angleichung, Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz, Rechtliche Schnittstellen, Zürich 2023, 51–138.
Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz, Version vom 31.7.2023 (zit.: OK-Autor/in, Art. … DSG N. ...).
Swire Peter P./Lagos Yianni, Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique, Maryland Law Review 2013, 335–380.
Swiss Data Alliance, Leitlinie zur Umsetzung der Datenübertragbarkeit in der Schweiz, Version 1.0 vom 20.8.2020.
Thouvenin Florent, Informationelle Selbstbestimmung: Intuition, Illusion, Implosion, ZSR Beiheft 2023.
Thouvenin Florent/Weber Rolf H./Früh Alfred, Elemente einer Datenpolitik, Zürich et al. 2019.
Vasella David/Blechta Gabor-Paul (Hrsg.), Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 4. Aufl., Basel 2024 (zit.: BSK-Autor/in, Art. … DSG N. ...).
Weber Rolf H./Thouvenin Florent, Gutachten zur Möglichkeit der Einführung eines Datenportabilitätsrechts im schweizerischen Recht und zur Rechtslage bei Personal Information Management Systems (PIMS) vom 22.12.2017.
Wolff Heinrich Amadeus/Brink Stefan/von Ungern-Sternberg Antje (Hrsg.), BeckOK Datenschutzrecht, 53. Aufl., München 2025 (zit.: BeckOK DSR-Autor/in, Art. … DSGVO N. ...).
Ziegler Noémi/Vasella David, Informationelle Selbstbestimmung, Was leistet das Datenschutzrecht für die Selbstbestimmung der Betroffenen?, digma 2019, 158–164.
Matériaux
Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242 rev.01, zuletzt überarbeitet und angenommen am 5.4.2017.
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff. (zit.: Botschaft DSG 2017).
Bundesamt für Justiz, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016 (zit.: BJ, Erläuternder Bericht VE-DSG).
Bundesamt für Justiz, Erläuternder Bericht Verordnung über den Datenschutz (Datenschutzverordnung, DSV) vom 31.8.2022 (zit.: BJ, Erläuternder Bericht DSV).
Bundesamt für Kommunikation, «Massnahmen für eine zukunftsorientierte Datenpolitik der Schweiz», Medienmitteilung vom 9.5.2018, <https://perma.cc/VJE24KLZ> (zit.: BAKOM, Medienmitteilung vom 9.5.2018).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, Das neue Datenschutzgesetz aus Sicht des EDÖB vom 9.2.2021 (zit.: EDÖB).
Fahne 17.059, Datenschutzgesetz, Teilrevision und Änderung weiterer Erlasse zum Datenschutz, Entwurf 3 Herbstsession 2019, Beschluss Nationalrat, <https://perma.cc/JQL2-XP5J> (zit.: Fahne 17.059, Beschluss Nationalrat).