-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. généralités
- II. Le principe de légalité dans la protection des données
- Bibliographie
- Matériaux
En bref
En tant que pierre angulaire du traitement des données par les organes de l'Etat, l'exigence d'une règle de droit revêt une importance primordiale.
L'art. 34 LPD illustre, pour le traitement de données par des organes fédéraux, aussi bien l'art. 5 Cst. selon lequel toute action de l'Etat requiert une base légale que l'art. 36 Cst. qui fixe les conditions pour les atteintes aux droits fondamentaux en général ; cette disposition constitue donc du droit constitutionnel concrétisé. Le traitement de données personnelles par des organes publics constitue une atteinte au droit fondamental à la protection de l'autodétermination en matière d'information selon l'art. 13 al. 2 Cst. ; selon le contexte, d'autres droits fondamentaux les plus divers peuvent en outre être concernés. L'art. 34 LPD s'exprime schématiquement sur le niveau de norme requis.
La nouvelle disposition relative à la base légale, qui n'est pas aussi détaillée que la version précédente de la même norme, reflète l'importance accrue que revêt le fondement juridique correct des traitements de données effectués par des organes étatiques à l'ère du traitement numérique de grandes quantités de données.
I. généralités
A. Remarques préliminaires
1Une base légale est une norme générale et abstraite édictée par un organe étatique compétent. Dans le détail, le droit applicable détermine les exigences auxquelles une base légale doit répondre. Au niveau fédéral, on trouve des prescriptions à ce sujet dans la Constitution fédérale (art. 164 Cst.) ou dans la loi sur le Parlement (p. ex. art. 22 LParl). La norme qui sert de base légale dans un cas particulier peut provenir du droit national ou international.
2 La terminologie relative au principe de légalité présente une certaine hétérogénéité. Dans ce qui suit, le terme général de règle de droit est également utilisé pour désigner l'exigence d'une réglementation générale et abstraite, appelée "base légale" à l'article 34 LPD. En outre, le droit édicté par le pouvoir législatif est décrit par la notion de "forme de la loi" ou de "loi au sens formel". Les actes législatifs de niveau inférieur sont considérés comme des "lois au sens matériel", comme l'indique également l'art. 34 al. 3 LPD.
B. But de la norme et contexte
3L'art. 34 LPD concrétise pour le droit de la protection des données ce qui vaut de toute façon pour l'action de l'Etat : outre le principe général de légalité de l'art. 5 al. 1 Cst. selon lequel le droit constitue le fondement et la limite de l'action de l'Etat, l'art. 36 al. 1 Cst. exige une base légale pour les atteintes aux droits fondamentaux. L'art. 34 LPD donne des indications schématiques sur le niveau de la norme pour différents types de traitement de données - et donc pour différentes atteintes aux droits fondamentaux, à commencer par les atteintes au droit fondamental à l'autodétermination en matière d'information (art. 13 al. 2 Cst.).
C. Historique de la création
4Le projet du Conseil fédéral pour la première loi fédérale sur la protection des données, datant de 1988, contenait déjà une disposition qui ressemblait dans les grandes lignes à celle commentée ici ; on y faisait notamment déjà la distinction entre le traitement de données personnelles ordinaires et celui de données nécessitant une protection plus élevée, sous la forme de données personnelles sensibles et de profils de la personnalité. La disposition précédente, l'art. 17 aDSG, modifiée dans le cadre d'une révision intermédiaire, prévoyait le principe de base de la base légale et établissait en outre des exceptions dont la portée était peu claire et donnait lieu à des critiques.
5La nouvelle norme procède à un désenchevêtrement structurel ; elle distingue clairement, outre le principe de base inchangé (al. 1), l'exigence de la forme de la loi (al. 2), les situations où le niveau de la norme est abaissé (al. 3) et les situations dans lesquelles il est possible de déroger entièrement à l'exigence d'une règle de droit (al. 4).
II. Le principe de légalité dans la protection des données
A. Rôle et fonctions du principe de légalité en général
1. Base légale en tant que condition préalable aux atteintes aux droits fondamentaux et principe d'action de l'État
6Lors du traitement de données personnelles par les autorités étatiques, il y a des atteintes aux positions protégées par les droits fondamentaux : Il s'agit en premier lieu de l'art. 13 Cst. et notamment de son al. 2 (droit fondamental à l'"autodétermination en matière d'information") ainsi que de l'art. 8 CEDH et de l'art. 17 du Pacte II de l'ONU. Contrairement à la formulation de l'art. 13 al. 2 Cst., ce n'est pas seulement la protection contre l'emploi abusif de données personnelles qui est protégée, mais la sphère privée, dans la mesure où elle contient également des données sur la personne concernée. En outre, d'autres droits fondamentaux peuvent être touchés, notamment le droit à la liberté personnelle (art. 10 al. 2 Cst.) ou la liberté d'expression (art. 16 Cst.), a fortiori avec la numérisation croissante, où toute activité de l'Etat implique le traitement de données.
7A l'article 36, al. 1, la Constitution fédérale prévoit que les restrictions des droits fondamentaux nécessitent une base légale ; les restrictions graves doivent être prévues sous forme de loi, sauf en cas de "danger grave, imminent et impossible à détourner autrement". En outre, les restrictions des droits fondamentaux doivent servir à la réalisation d'un intérêt public et être proportionnées ; l'essence du droit fondamental doit être préservée (cf. critères de l'art. 36 Cst.).
8Dans son rôle de principe de l'action étatique, l'art. 5 al. 1 Cst. prévoit que l'action étatique a besoin d'un fondement dans le droit et que c'est en même temps le droit qui fixe des limites à toute action étatique ("Schranken", selon les termes du constituant). L'administration - l'"organe fédéral" selon la terminologie de la LPD - ne peut donc agir que s'il existe une base légale à cet effet et ne peut agir que dans la mesure où cette action est couverte par la base correspondante. Cela vaut indépendamment de la nature juridique de l'action de l'État, même si les exigences du principe de légalité prennent différentes formes selon la situation et les risques.
2. Niveau et densité de la norme
9L'art. 36 al. 1 Cst. laisse déjà entendre que la règle de droit requise doit satisfaire à des exigences accrues en cas de restrictions graves des droits fondamentaux. Plus l'atteinte aux droits fondamentaux est grave, plus les exigences relatives au niveau et à la densité de la norme sont élevées. Les restrictions graves doivent être prévues dans la loi elle-même, c'est-à-dire dans une loi au sens formel (niveau de la norme) et tenir suffisamment compte du principe de précision (densité de la norme). Au minimum, les normes juridiques doivent être formulées "de manière suffisamment précise pour permettre aux personnes soumises au droit d'orienter leur comportement et de connaître les conséquences d'un comportement déterminé avec un degré de certitude correspondant aux circonstances". Il n'est souvent pas facile de répondre à la question de savoir dans quel cas telle ou telle qualité de la norme juridique est suffisante et cela dépend fortement du cas particulier. Pour reprendre les termes de Tschannen/Müller/Kern, le principe de légalité est "d'une absence de rivage désagréable". Pour le droit fédéral, l'art. 164 Cst. donne tout de même une liste exemplaire de thèmes pour lesquels les dispositions fondamentales sont considérées comme des dispositions importantes fixant des règles de droit et doivent donc être réglées dans une loi au sens formel ; il s'agit de :
Exercice des droits politiques ;
Limitations des droits constitutionnels;
Droits et obligations des personnes;
Le cercle des assujettis ainsi que l'objet et le calcul des taxes;
les tâches et les prestations de la Confédération;
Obligations des cantons dans la mise en œuvre et l'exécution du droit fédéral;
Organisation et procédures des autorités fédérales.
10 La doctrine propose pour sa part les critères suivants pour définir l'importance d'un objet de réglementation :
Intensité de l'intervention;
Nombre de personnes concernées par une réglementation ou de faits de vie réglementés;
importance financière;
importance pour la formation de la volonté politique, l'organisation des institutions étatiques ou la procédure; et
le caractère explosif ou acceptable de la thématique.
11 En revanche, le besoin de flexibilité et d'adaptation rapide ou des connaissances techniques particulières plaident plutôt en faveur de réglementations à un niveau normatif inférieur.
12 Ces directives générales de la Constitution fédérale doivent être prises en compte lors de l'élaboration de bases légales conformément à l'article 34 LPD. L'art. 34 LPD indique le niveau de norme requis pour certaines situations typiques de la protection des données, mais pas la densité normative (voir infra, n. 18-19, à propos de la densité normative). Dans le contexte de la protection des données qui nous intéresse ici, la limitation des droits constitutionnels ou l'intensité des atteintes aux droits fondamentaux ainsi que les dispositions relatives aux "droits et obligations des personnes" figurent entre autres au premier plan des catalogues cités ci-dessus. Avec la numérisation croissante, le caractère explosif des thèmes joue également un rôle accru en tant que critère pour la forme de la loi, comme le montre actuellement l'utilisation de l'intelligence artificielle ou, plus concrètement, la reconnaissance faciale dans l'espace public.
13 Si des compétences législatives doivent être déléguées par le législatif à l'exécutif, les conditions générales de la délégation législative développées par la jurisprudence et la doctrine s'appliquent également à la protection des données. Ainsi, la délégation législative ne doit pas être exclue par le droit correspondant (cf. à ce sujet l'art. 164 al. 1 Cst.) ; la norme de délégation doit être contenue dans un acte législatif au niveau de la loi ; la délégation doit se limiter à une matière déterminée et les grandes lignes de cette matière doivent déjà être mentionnées dans la loi.
B. Exigence de la règle de droit selon l'art. 34 LPD
1. principe de base al. 1
14 L'exigence fondamentale d'une règle de droit soumet le traitement de données par des organes fédéraux à une interdiction avec réserve d'autorisation, contrairement au traitement de données par des personnes privées. Cette exigence s'applique quel que soit le type de traitement de données (voir à ce sujet la définition légale du traitement à l'art. 5 let. d LPD ; pour le cas particulier de la communication, voir l'art. 36 LPD). L'art. 34 LPD ne fait qu'énoncer le principe de base ; il ne peut pas lui-même être invoqué comme base légale directe. En outre, l'al. 1 ne précise pas à quel niveau de norme la règle de droit doit se situer ou quelle densité normative elle doit présenter.
15 Il ressort par ailleurs de la systématique de la LPD que les autres prescriptions générales de la loi, notamment les principes de traitement des données de l'article 6 LPD ainsi que les prescriptions relatives à la sécurité selon l'article 8 LPD, s'appliquent de manière cumulative. Ainsi, l'existence d'une base légale ne dispense pas, par exemple, de l'obligation de respecter le principe de proportionnalité et de ne traiter que les données effectivement nécessaires à l'accomplissement de la tâche publique.
16 Le texte de loi de l'article 34 LPD se réfère au traitement de données personnelles par des organes fédéraux. En ce qui concerne la définition de l'organe fédéral, l'art. 5 let. i LPD exprime qu'elle couvre non seulement les unités de l'administration et des établissements publics de la Confédération qui lui sont rattachés sur le plan organisationnel, mais aussi les personnes privées, dans la mesure où elles sont chargées de l'exécution de tâches publiques de la Confédération (voir à ce sujet).
17 Nonobstant les indications relatives au niveau de la norme aux al. 2-4, la pratique législative n'est souvent pas tout à fait claire quant à la densité normative de la base légale. Ce problème se manifeste par exemple lorsqu'il s'agit de savoir si une base légale générale ("indirecte") suffit ("L'office X exécute la tâche légale Y") ou s'il faut une base légale spécifique et adaptée à un traitement de données particulier ("Pour traiter les demandes de subventions, l'office X traite les données personnelles suivantes : ...", etc.).
18 En ce qui concerne la nature de la base légale, l'Office fédéral de la justice a rédigé un guide législatif qui contient des prescriptions spécifiques pour les bases légales dans le domaine de la protection des données. Compte tenu des fonctions du principe de légalité (voir à ce sujet infra N. 43 ss.) et du postulat selon lequel le citoyen doit pouvoir orienter son comportement en fonction de la norme correspondante, les éléments suivants doivent être réglementés :
Quelle autorité (qui)
traite quelles catégories de données personnelles (quoi),
dans quel but (pourquoi) et
de quelle manière (comment) ?
A qui les données personnelles sont éventuellement communiquées (à qui) et (comment) ?
de quelle manière (comment) ?
19 Il convient notamment d'indiquer sous "quoi" si des données sensibles sont également traitées et, dans l'affirmative, quelles catégories (cf. art. 5 let. c LPD), alors que les attributs précis peuvent être précisés dans une ordonnance si la densité normative est suffisante au niveau de la loi. Plus l'atteinte aux droits fondamentaux est importante, plus la base légale doit être formulée de manière détaillée et précise, même si, compte tenu de l'évolution rapide des technologies de l'information et de la communication, il faut parfois s'accommoder d'une certaine flexibilité dans la formulation et du caractère vague qui en découle. Les indications relatives à la durée de conservation et à l'effacement des données personnelles font également partie du traitement.
20 Dans la mesure où la règle de droit établit ainsi la transparence exigée par la loi à l'égard des personnes concernées, le devoir d'information selon l'art. 19 LPD est supprimé (cf. art. 20 al. 1 let. b LPD).
21 Les lois sectorielles respectives peuvent prévoir des règles spéciales qui priment les prescriptions de la LPD en tant que lex specialis et peuvent, du moins en théorie, s'en écarter vers le bas. Le Tribunal fédéral et la doctrine partent du principe que les principes généraux de la protection des données doivent être respectés dans de tels cas.
2. forme de la loi pour les cas visés à l'al. 2
22 Le deuxième alinéa exige la forme de la loi (loi au sens formel) pour les cas où le traitement des données peut conduire à une atteinte importante aux droits fondamentaux des personnes concernées. Là où le traitement de données personnelles sensibles (let. a) et le profilage (let. b) sont des concepts et des notions définis dans la LPD, l'al. 2 prévoit en outre une clause générale qui s'applique lorsque soit la finalité du traitement, soit la manière dont les données sont traitées peuvent conduire à une atteinte grave aux droits fondamentaux des personnes concernées (let. c). L'exigence de la forme légale pour les traitements de données ayant une grande incidence sur les droits fondamentaux découle toutefois déjà de l'art. 36 al. 1 Cst. indépendamment de la lettre de l'al. 2 à laquelle un état de fait est attribué.
23Les deux paramètres mentionnés à la let. c, à savoir le but et le mode de traitement, sont les principaux éléments pris en compte pour évaluer l'atteinte au droit fondamental concerné. Compte tenu du contexte des droits fondamentaux, ils ne sont pas exhaustifs.
24 S'il n'est pas possible de fonder le traitement des données sur une base juridique suffisamment précise et détaillée, la jurisprudence confirme qu'une application particulièrement stricte, par exemple du contrôle de la proportionnalité, peut avoir un certain effet compensatoire.
3. Base légale de droit matériel pour les cas visés à l'al. 3
25 L'al. 3 prévoit la possibilité d'un niveau normatif inférieur pour le traitement de données personnelles sensibles et le profilage, pour autant que deux conditions soient remplies de manière cumulative : Le traitement est indispensable à l'accomplissement d'une tâche formellement définie par la loi ; et la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée.
26 En raison du cadre constitutionnel, il est à nouveau concevable - même si les exemples devraient être rares - que des dérogations s'imposent, qui ne sont pas concrètement énumérées par l'al. 3 : Par exemple, le caractère socialement explosif d'une thématique pourrait conduire à ce que la forme légale soit exigée pour les traitements de données correspondants ; c'est donc la manière dont les données sont traitées, au lieu de la finalité mentionnée à l'al. 3, qui justifie l'augmentation du niveau de la norme.
a. Indispensabilité pour une tâche décrite dans la loi (let. a)
27 En ce qui concerne la formulation de l'al. 3 let. a, il est frappant de constater, par rapport à la version précédente (art. 17 al. 2 let. aDSG), qu'il n'est désormais plus possible de se baser uniquement "à titre exceptionnel" sur le niveau de norme réduit. Dans la version précédente, on pouvait défendre la position selon laquelle il ne s'agissait que de traitements exceptionnels et ponctuels de données dans des situations où un tel traitement n'est normalement pas nécessaire pour l'accomplissement de la tâche légale correspondante. La formulation actuelle s'en écarte nettement en renonçant à la condition de l'existence d'une situation exceptionnelle. Il faut donc partir du principe que le traitement durable de données personnelles sensibles et de profils de la personnalité est également possible sur la base d'une ordonnance si les deux conditions de l'al. 3 sont remplies.
b. Le but du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée (let. b)
28 L'al. 3 let. b entre en ligne de compte pour les traitements qui relèvent d'une catégorie intermédiaire : Il s'agit certes de types de traitement qui conduiraient typiquement à une atteinte grave aux droits fondamentaux (raison pour laquelle l'al. 2 exige normalement pour eux une base légale formelle), mais dans le cas concret, le but du traitement ne comporte pas de risques particuliers pour les droits fondamentaux des personnes concernées. Selon le message du Conseil fédéral, il s'agit en particulier de données sensibles traitées dans le cadre des affaires du Conseil fédéral, des départements et des offices ; sont mentionnés les décisions sur recours, les cas de responsabilité de l'Etat ou les affaires concernant le personnel fédéral. En outre, la base légale formelle doit concrétiser suffisamment la nature des tâches pour lesquelles le traitement de données personnelles est nécessaire.
29 La formulation de l'al. 3 let. b peut paraître surprenante, car il n'est fait référence qu'au "but du traitement", sans inclure le "mode de traitement des données" mentionné jusqu'ici à l'al. 2 let. c. On peut supposer que le législateur a ainsi voulu rappeler en premier lieu que les traitements de données qui paraissent déjà délicats du point de vue des droits fondamentaux en raison de leur finalité nécessitent dans tous les cas une base sous forme de loi, même si la manière dont le traitement est effectué dans un cas particulier présente peu de risques propres.
4. al. 4 : Bassin de collecte pour les exceptions aux exigences des al. 1-3
30 al. 4 exclut trois situations idéales (rédigées sous forme d'alternatives) de l'exigence d'une règle de droit :
L'autorisation du traitement par l'exécutif (en l'occurrence le Conseil fédéral), l'autorisation devant ici aussi se fonder sur l'exigence que les droits des personnes concernées ne soient vraisemblablement pas menacés (let. a);
Le consentement de la personne concernée dans un cas particulier ou la libération sans condition de données personnelles par cette même personne (let. b) ou
L'intérêt supérieur urgent sous la forme de la protection de la vie ou de l'intégrité physique de la personne concernée ou d'un tiers dans une situation qui ne permet pas de recueillir le consentement (let. c).
31 Là où l'al. 3 ne fait que réduire les exigences en matière de base légale, l'al. 4 prévoit, dans certains cas, qu'aucune règle de droit, qu'il s'agisse d'une loi ou d'une règle de droit de nature matérielle, n'est nécessaire. Dans la mesure où il est désormais explicitement renoncé à toute exigence d'une règle de droit, cette disposition constitue, d'un point de vue formel, la plus grande nouveauté par rapport aux versions précédentes de la même disposition dans la LPD. Pour les situations mentionnées aux lettres a et b, qui figuraient déjà dans la version précédente, une clarification bienvenue est apportée ; le libellé de la norme précédente ne permettait pas de déterminer avec certitude si l'intention était de renoncer totalement à une base juridique ou non.
a. Autorisation du Conseil fédéral (let. a)
32 Selon la let. a, le Conseil fédéral autorise un traitement parce qu'il "estime que les droits de la personne concernée ne sont pas menacés". Alors que la version précédente mentionnait encore explicitement que cette autorisation était limitée au cas individuel, cet ajout a disparu de la formulation actuelle. Selon le message, la norme ne devrait toutefois pas être modifiée malgré la différence de formulation ; cela ressort également du contexte si l'on y regarde de plus près. L'autorisation en tant que forme de décision doit être considérée par rapport à la réglementation générale et abstraite. Cette dernière prend la forme d'une ordonnance du Conseil fédéral (art. 182 al. 1 Cst.), c'est-à-dire d'une base juridique de droit matériel qui peut être soit d'exécution, soit de substitution (et qui, dans le second cas, nécessite une habilitation par une loi). Le cas d'action sans règle de droit visé par l'al. 4 let. a est donc obligatoirement conçu pour le cas particulier.
33 La formulation selon laquelle les "droits de la personne concernée ne doivent pas être menacés" semble tout aussi obscure que dans la version précédente. Cette formulation s'écarte du choix des termes de l'al. 3 let. b, où il est question que le but du traitement "ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée". Néanmoins, étant donné que tout traitement de données par des organes publics constitue une atteinte aux droits fondamentaux, il faut partir du principe que la formule utilisée à l'al. 4 signifie la même chose qu'à l'al. 3 let. b, à savoir qu'il faut partir du principe que l'atteinte aux droits fondamentaux est faible.
b. Consentement (let. b)
34 A la let. b, le consentement se substitue à la base légale. En cas de libération des données sans condition préalable, le consentement est présumé ; dans ce cas, une publication consciente et volontaire par la personne concernée est supposée. Voir à propos du consentement en général l'art. 6 al. 6 et 7 LPD ainsi que la question du consentement en tant que substitut valable d'une base légale ci-après infra N. 42 ss.
c. Clause de police en matière de protection des données (let. c)
35 let. c vise la protection d'intérêts urgents et supérieurs, concrétisée sous la forme de la protection de la vie ou de l'intégrité physique de la personne concernée ou d'un tiers. La condition est qu'il ne soit pas possible d'obtenir le consentement de la personne concernée dans un délai raisonnable, ce qui est par exemple le cas lorsque celle-ci n'est pas en état de réagir (coma ou autre) ou qu'elle est introuvable. Cette norme constitue un cas spécifique d'"intérêt policier" du point de vue de la protection des données. En ce sens, elle s'inscrit sans autre dans le schéma de l'art. 36 al. 1 Cst. qui exclut de l'exigence d'une base légale les "cas de danger grave, imminent et impossible à écarter autrement". L'exigence selon laquelle il doit s'agir d'un cas particulier n'est pas explicitement écrite, mais elle est inhérente à la clause de police, ce qui signifie par exemple que le traitement de données par la police ou les services de renseignement dans le cadre de situations de danger récurrentes ne peut pas se fonder uniquement sur l'al. 4 let. c.
5. Casuistique relative à l'intensité de l'intervention et aux exigences posées à la norme
36 Conformément à l'art. 17 al. 2 aDSG, le traitement de données d'entraide administrative se rapportant à des relations d'affaires ou à des relations bancaires ne nécessite pas de base sous forme de loi. L'atteinte aux droits constitutionnels en rapport avec les données à collecter dans le cadre de l'entraide administrative n'est en règle générale pas particulièrement grave, de sorte que les exigences en matière de précision de la norme ne sont pas non plus "excessivement élevées" (ATF 148 II 349 consid. 5.3.3-5.3.4).
37 La base légale qui prévoit l'utilisation de compteurs d'eau à radiofréquence par les services communaux de distribution d'eau doit prévoir explicitement que les valeurs horaires relevées sont enregistrées sur le compteur d'eau pendant X jours et envoyées par radio à intervalles réguliers (ATF 147 I 346 consid. 5.4.1).
38 Si, lors de la recherche automatisée d'un véhicule, on obtient, en plus de la plaque de contrôle et donc de l'identité du détenteur, l'heure, l'emplacement, la direction et l'identité des autres occupants du véhicule, ce traitement de données se situe dans le cadre d'une "constatation d'identité conventionnelle", ce qui ne constitue pas encore une atteinte grave aux droits fondamentaux. Mais cela change considérablement avec le regroupement et la comparaison automatique de ces données avec d'autres jeux de données (il est question d'un "traitement en série et simultané de jeux de données importants et complexes en une fraction de seconde") et l'utilisation subséquente par les autorités ; l'intensité de l'atteinte augmente "considérablement", notamment en raison du risque que des personnes soient soupçonnées à tort (ATF 146 I 11 consid. 3.2).
39 L'inscription sur une liste de surveillance gérée par la FINMA, qui sert d'étape préalable à d'éventuelles restrictions de l'activité professionnelle dans le domaine du marché financier et qui aboutit en somme à un véritable profil de la personnalité, constitue une atteinte grave à l'art. 13 al. 2 Cst. et suppose une base sous forme de loi (ATF 143 I 253 consid. 4).
40 Si une loi sur la police place la surveillance technique de lieux accessibles à tous sous le slogan de la "sauvegarde de l'ordre et de la sécurité publics", cette indication de but est insuffisante et ne permet notamment pas d'examiner la base légale sous l'angle de la proportionnalité (en particulier le rapport entre le but et les moyens). (ATF 136 I 87 E. 8.3-8.4).
41 Le caractère suffisamment précis d'une norme peut également résulter de l'enchevêtrement des normes applicables : Si l'on objecte que l'art. 91 al. 5 LP dispose d'une densité normative insuffisante pour la communication de données qui contiennent des données personnelles sensibles et/ou des profils de la personnalité, il convient d'objecter que cette disposition ne s'applique que dans le cadre de l'exécution de la saisie. Le but et l'étendue du traitement des données sont ainsi définis de manière suffisamment précise. (ATF 124 III 170 consid. 3a)).
6. digression : le consentement "au cas par cas" (al. 4 let. b)
42 Dans le droit public de la protection des données, il est souvent difficile de savoir dans quelle mesure un consentement peut remplacer la base légale. La question du consentement se pose de manière particulièrement aiguë lorsqu'il s'agit d'atteintes graves à des positions de droits fondamentaux ; la renonciation à des droits fondamentaux ou le consentement à des atteintes particulièrement graves à des droits fondamentaux sont alors au premier plan. A l'autre extrémité de l'éventail des atteintes, il peut toutefois y avoir tout autant de points d'interrogation, par exemple lorsqu'il s'agit de l'envoi d'une newsletter par une autorité publique ou de la demande d'une référence dans une procédure de recrutement. L'art. 34 LPD prévoit à l'al. 4 let. b le consentement comme substitut de la règle de droit, il en va de même pour l'art. 36 al. 2 let. b LPD en ce qui concerne la communication de données personnelles. Dans les deux cas, le consentement est lié au cas particulier, mais n'est pas soumis à la condition qu'il s'agisse d'une situation de danger faible ou inexistant. Contrairement au consentement dans le droit privé de la protection des données (voir à ce sujet l'art. 6, al. 6 et 7 LPD), il ne suffit pas, en droit public, que le consentement soit libre et éclairé. En outre, le consentement doit être approprié dans le cas concret pour assumer les fonctions en jeu du principe de légalité. Au-delà de ces exigences de fond, le consentement en droit public n'est lié à aucune forme.
43 Le Tribunal fédéral et la doctrine s'accordent à dire que le principe de légalité remplit deux types de fonctions. D'une part, il poursuit des objectifs démocratiques, dont la garantie de la prédominance de la volonté populaire d'une part et la séparation des pouvoirs d'autre part. D'autre part, il remplit des fonctions d'État de droit ; dans ce contexte, il assure la protection de l'individu contre l'arbitraire de l'État, l'égalité de traitement ainsi que la prévisibilité de l'action de l'État.
44 Dans certaines conditions, le consentement peut tout à fait remplacer les fonctions de l'Etat de droit que sont la protection contre l'arbitraire et la prévisibilité de l'action étatique. Pour cela, il faut que la portée du consentement soit reconnaissable au moment où il est donné et qu'il s'agisse d'un contexte dans lequel le caractère volontaire du consentement peut être présumé de bonne foi.
45 Une première restriction découle toutefois de la fonction d'égalité de traitement de l'État de droit : dès qu'il s'agit de l'octroi de droits ou de l'imposition d'obligations, le consentement ne peut être opérationnalisé en tant que substitut d'une règle de droit que si seules des personnes individuelles sont concernées. Lorsque les préoccupations démocratiques sont au premier plan, le consentement n'est plus en mesure d'apporter une compensation fonctionnelle.
46 En conséquence, il convient d'examiner, selon les circonstances, si la renonciation à une base légale et le recours au consentement peuvent être justifiés en se référant au principe de légalité et aux critères de l'exigence de la forme légale (voir à ce sujet N. 9-10 supra).
47 Pour les traitements de données effectués par des organes fédéraux, l'art. 34 al. 4 let. b LPD délimite l'admissibilité en limitant le consentement au cas particulier. Au vu de ce qui précède, il faut partir du principe qu'il doit s'agir d'un nombre très limité de situations, tant du point de vue matériel que temporel, et également du point de vue personnel pour l'introduction de droits et d'obligations.
48 Malgré le caractère schématique de la LPD en ce qui concerne les atteintes aux droits fondamentaux, il n'est donc possible de répondre de manière fiable à cette question que dans le concret, en tenant compte des préoccupations en question. Ainsi, la newsletter susmentionnée d'une autorité pourra être envoyée sur la base d'un consentement même si le nombre de destinataires est très élevé et même si la périodicité est illimitée dans le temps, alors que l'utilisation de systèmes de reconnaissance faciale, même dans un domaine étroitement délimité en termes de lieu, de temps et de personnel, ne devrait pas être autorisée sur la base d'un consentement dans un cas particulier en raison de l'intensité de l'atteinte aux droits fondamentaux des personnes concernées et du caractère socialement explosif de la technologie utilisée.
Bibliographie
Ballenegger Sarah, Kommentierung zu Art. 17 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Dubey Jacques, Kommentierung zu Art. 5 BV, in: Martenet Vincent/Dubey Jacques (Hrsg.), Commentaire romand Constitution fédérale, Basel 2021.
Epiney Astrid/Posse Samah, Kommentierung zu Art. 34 DSG, in: Meier Philippe/Métille Sylvain (Hrsg.), Commentaire romand, Loi sur la protection des données, Basel 2023 (Publikation zum Zeitpunkt der Abgabe der vorliegenden Kommentierung bevorstehend).
Epiney Astrid, Staatliche Überwachung versus Rechtsstaat: Wege aus dem Dilemma?, AJP 2016, S. 1503-1515.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl. Zürich/St. Gallen 2020.
Häner Isabelle, Die Einwilligung der betroffenen Person als Surrogat der gesetzlichen Grundlage bei individuell-konkreten Staatshandlungen, ZBl 103 (2002), S. 57-76.
Mund Claudia, Kommentierung zu Art. 34 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Tschannen Pierre, Staatsrecht der Schweizerischen Eidgenossenschaft, 5. Aufl. Bern 2021.
Tschannen Pierre/Müller Markus/Kern Markus, Allgemeines Verwaltungsrecht, 5. Aufl. Bern 2022.
Waldmann Bernhard/Bickel Jürg, Datenbearbeitung durch Bundesorgane, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 639-764.
Waldmann Bernhard/Oeschger Magnus, Datenbearbeitung durch kantonale Organe, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 765-894.
Wyss Martin Philipp, Öffentliche Interessen – Interessen der Öffentlichkeit?, Bern 2001.
Matériaux
Bundesamt für Justiz, Gesetzgebungsleitfaden, Leitfaden für die Ausarbeitung von Erlassen des Bundes, 4. Aufl. 2019, abrufbar unter https://www.bj.admin.ch/bj/de/home/staat/legistik/hauptinstrumente.html, besucht am 21.2.2023 (zit. Gesetzgebungsleitfaden).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff., abrufbar https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 31.3.2023 (zit. Botschaft 2017).
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II S. 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 31.3.2023 (zit. Botschaft 1988).