En bref

Comme le traitement de données personnelles est de plus en plus souvent effectué non seulement en commun par plusieurs services fédéraux, mais aussi en collaboration avec des services cantonaux ou communaux, voire des particuliers, il est nécessaire de définir clairement les responsabilités. L'art. 33 LPD habilite le Conseil fédéral à définir les responsabilités dans ces constellations.

I. Généralités

A. Historique

1 La disposition précédente de l'art. 16 aDSG a été scindée lors de la révision de la protection des données. L'art. 16 al. 1 aDSG, qui régissait la responsabilité générale, a été transféré à l'art. 5 let. j. L'art. 16 al. 2 aLPD, qui régissait la responsabilité en cas de pluralité de personnes traitant des données, a été repris à l'art. 33 LPD.

B. Objectif de la norme

2 L'art. 5 let. j LPD définit qui doit être inclus dans la notion de responsable (cf. OK-Hofmann sur l'art. 5 let. j LPD) : le point de rattachement est la souveraineté de décision sur les finalités et les moyens des opérations de traitement des données. L'organe fédéral auquel revient cette souveraineté décisionnelle est déterminé par les lois spéciales respectives qui servent de base juridique aux traitements de données.

3 Étant donné que le traitement de données personnelles est de plus en plus souvent effectué non seulement en commun par plusieurs services fédéraux, mais que les opérations de traitement de données dépassant le cadre des niveaux fédéraux font partie du quotidien et que même des personnes privées peuvent avoir accès à des bases d'informations communes, une réglementation claire des responsabilités s'impose. Dans le cas contraire, le risque existe que de nombreux services traitent les données personnelles en question, mais que personne ne se sente responsable.

II. Pas de vide en matière de responsabilité

4 L'art. 33 LPD habilite le Conseil fédéral à régler les responsabilités en matière de respect des prescriptions légales de protection des données ainsi que les contrôles qui y sont liés lorsque plusieurs organes fédéraux ou des organes fédéraux et des tiers cantonaux ou privés participent ensemble à des opérations de traitement de données. Cette réglementation ne figure pas dans l'OLPD, mais dans la législation spéciale correspondante ou dans les ordonnances d'exécution y afférentes. Ainsi, l'art. 33 LPD stipule explicitement que le Conseil fédéral règle les procédures de contrôle et la responsabilité en cas de traitement commun de données personnelles.

III. Responsabilité partagée

5 Trois cas de figure sont envisageables pour le traitement commun de données personnelles :

• Une loi spéciale ou le Conseil fédéral peut, dans une ordonnance, attribuer à un organe fédéral la responsabilité exclusive du traitement commun des données (art. 5 let. j LPD).

• Une loi spéciale ou une ordonnance permet d'établir un rapport de supériorité ou de subordination dans le cadre du traitement commun des données, qui se traduit par une responsabilité principale et une responsabilité secondaire. Le traitement des données de commande (art. 5 let. k LPD) en est un exemple.

• Il peut résulter d'une loi spéciale ou d'une ordonnance une responsabilité parallèle pour le traitement commun des données (art. 33 LPD), qui doit être différenciée par une répartition claire des tâches dans la loi spéciale ou l'ordonnance.

IV. Procédure de contrôle

6 La notion de procédure de contrôle doit être comprise comme la surveillance des traitements de données. Dans la première constellation de la responsabilité unique, comme dans le cas d'une responsabilité principale et secondaire claire, il y a un contrôle unilatéral du responsable unique ou du responsable principal vis-à-vis de ceux qui participent au traitement commun des données. Dans la deuxième constellation de responsabilités parallèles pour le traitement commun des données, il faut par nature mettre en place des procédures de contrôle réciproques. Les détails concernant l'étendue, la nature et la régularité des procédures de contrôle doivent être réglés dans la loi spéciale ou l'ordonnance.

V. Régime réglementaire

7 Différents régimes de réglementation s'appliquent au traitement commun de données entre des organes fédéraux, des organes cantonaux et des personnes privées. Pour les organes fédéraux, les dispositions particulières relatives au traitement des données selon les articles 33 et suivants de la loi sur la protection des données s'appliquent. LPD, pour les personnes privées, ce sont les dispositions particulières des art. 30 ss. LPD s'appliquent et pour les organes cantonaux, c'est le droit cantonal qui s'applique. Même s'il s'agit d'un traitement commun de données, il faut toujours distinguer clairement quel acteur est lié à quelles obligations.

VI. Questions de responsabilité

8 La responsabilité des organes fédéraux, des organes cantonaux et des personnes privées est régie par des normes différentes : Pour les organes fédéraux, selon la loi sur la responsabilité (LRCF), pour les organes cantonaux, selon les lois cantonales sur la responsabilité et pour les personnes privées, selon le droit civil. Il n'est pas clair dans quelle mesure un responsable peut être tenu responsable, dans les relations externes, de l'ensemble du dommage causé par le traitement commun des données (cf. responsabilité solidaire). La question de savoir dans quelle mesure les manquements aux obligations d'autrui peuvent être imputés à un responsable en raison de l'obligation de contrôle est également ouverte.

Dans le présent commentaire, l'auteur fait part de son appréciation personnelle.

Bibliographie

Mund Claudia, Kommentierung zu Art. 33 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Rudin Beat, Kommentierung zu Art. 5 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.

Ballenberger Sara, Kommentierung zu Art. 16 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014