-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. conditions pour un essai pilote admissible (al. 1)
- III. réglementation du projet pilote dans un règlement
- IV. Obligation de demander l'avis du PFPDT (al. 2)
- V. Évaluation et limitation dans le temps de la phase pilote (al. 3 et 4)
- VI. Appréciation
- Bibliographie
En bref
La disposition relative à la réalisation d'essais pilotes permet de traiter des données personnelles sensibles, même s'il n'existe pas encore de bases légales formelles. L'objectif de cette disposition est de permettre des traitements de données expérimentaux limités dans le temps, lorsque ceux-ci sont indispensables pour aborder certaines innovations techniques, des questions d'organisation ou d'autres points obscurs.
I. Généralités
A. Contexte
1 Le besoin d'applications performantes, non seulement dans les domaines dits "électroniques", c'est-à-dire la cyberadministration ou la cybersanté, mais aussi, de manière plus générale, dans le cadre de l'accomplissement des tâches des autorités, croît avec la numérisation de nos domaines de vie et d'activité.
2 Étant donné que les projets de numérisation impliquent généralement des coûts d'investissement élevés, mais qu'il est souvent impossible d'estimer si les applications en question peuvent être mises en œuvre techniquement comme on l'espère, il faut prévoir la possibilité d'évaluer la conception et notamment la mise en réseau des applications dans le cadre d'essais pilotes. Les essais pilotes doivent être considérés comme des tests permettant d'acquérir des connaissances sur la faisabilité ou l'acceptation d'un projet.
B. Objectif de la norme
3 Les essais pilotes ne doivent pas avoir pour effet de vider de leur substance les principes de l'État de droit. Même si, en raison de la nature expérimentale du traitement des données et de la complexité du processus législatif, il n'est pas encore possible, au moment du projet pilote, de recourir aux bases juridiques prévues par la Constitution (avec un niveau et une densité normatifs appropriés), il convient néanmoins de respecter des prescriptions juridiques minimales.
4 L'art. 35 LPD permet donc au Conseil fédéral de faire réaliser des essais pilotes limités dans le temps, sur la base d'une simple ordonnance (et non d'une loi au sens formel, comme cela serait nécessaire pour les données personnelles sensibles, art. 34 al. 2 LPD).
C. Historique
5 La motion "Protection accrue des données personnelles dans le cadre des connexions en ligne" a été déposée en 1999 déjà. Elle a constitué la première pierre de ce qui allait devenir l'art. 17a aDSG et la réglementation des traitements de données dans le cadre d'essais pilotes, lors desquels les droits de la personnalité des personnes concernées pourraient être particulièrement menacés. Le contenu de l'art. 35 LPD a été repris dans la nouvelle loi sur la protection des données dans une large mesure sans modification et sans être contesté lors des débats parlementaires.
II. conditions pour un essai pilote admissible (al. 1)
6 Les données personnelles sensibles ou autres traitements de données au sens de l'art. 34 al. 2 let. b et c LPD ne peuvent être traités dans le cadre d'un projet pilote et par exception à l'exigence d'une base légale que si les conditions suivantes sont remplies de manière cumulative :
A. Norme de tâche dans une loi au sens formel (let. a)
7 Les tâches pour l'accomplissement desquelles le projet pilote avec le traitement automatisé des données personnelles sensibles doit être nécessaire doivent déjà être réglées dans une loi au sens formel au moment du projet pilote (voir à ce sujet OK-Zysset ad art. 34 LPD), la loi doit en outre déjà être en vigueur.
8 Il ne suffit pas que la base légale formelle règle uniquement les tâches nécessitant un traitement. L'exigence de densité normative doit être remplie, sinon pour le projet pilote lui-même, du moins pour les tâches qui sont à la base du projet. La base légale doit ainsi décrire l'organe qui a accès aux données, le but concret de l'accès ainsi que l'étendue de l'autorisation d'accès.
B. Limitation des atteintes à la personnalité à un minimum (let. b)
9 Afin de minimiser les risques que le projet pilote fait courir aux personnes concernées, des mesures organisationnelles, techniques et juridiques doivent être prises, notamment pour assurer la sécurité des données. Les mesures de protection doivent réduire au minimum les éventuelles menaces d'atteinte à la personnalité. La nouvelle formulation de l'art. 35 al. 1 let. b LPD tient ainsi compte du fait que le risque d'atteinte à la personnalité dans le cadre de traitements de données numérisées ne peut de facto jamais être totalement exclu.
C. Caractère indispensable de la phase de test (let. c)
10 Les projets pilotes de traitement de données personnelles sensibles et la relativisation du principe de légalité qui en découle ne doivent pas être lancés à la légère : L'art. 35 al. 1 let. c LPD présuppose que la phase de test est indispensable, notamment pour des raisons techniques. En même temps, le législateur admet qu'il peut y avoir d'autres raisons, par exemple organisationnelles, qui rendent nécessaire un essai pilote pour le traitement de données personnelles sensibles ("en particulier").
11 On peut également imaginer des combinaisons de conditions-cadres techniques et organisationnelles qui, à elles seules, ne justifieraient pas le recours à l'art. 35 LPD, mais qui, ensemble, rendraient tout de même nécessaire un essai pilote, notamment lorsqu'il s'agit de tester des systèmes d'information et d'examiner des interfaces à travers les différents niveaux fédéraux. Enfin, la pandémie Covid a montré qu'il peut aussi y avoir des raisons non anticipées de réaliser un essai pilote : L'application Swiss Covid a été exploitée pendant une phase d'essai d'un mois sur la base de l'ancien art. 17a aDSG (en relation avec l'art. 78 al. 1 LEp), afin de tester les "nouvelles approches de solutions développées en ce qui concerne la décentralisation du traitement des données et les méthodes cryptographiques, (la) stabilité de l'exploitation, (la) protection contre les manipulations involontaires ou non autorisées, (la) convivialité (ainsi que) l'intelligibilité des informations pour les participants et pour les spécialistes autorisés à y accéder". Dans ce cas et en raison de l'urgence de la situation, la phase pilote n'a duré que du 14 mai 2020 au 25 juin 2020, après quoi l'application a été mise en service régulier.
III. réglementation du projet pilote dans un règlement
12 Même si, contrairement à la disposition précédente, l'art. 17a al. 3 aDSG, l'art. 35 LPD ne prévoit plus explicitement que le Conseil fédéral doit réglementer précisément le projet pilote dans le cadre d'une ordonnance, cette obligation ne subsiste pas seulement en vertu de l'art. 33, al. 2, let. e, OLPD (obligation de l'organe fédéral compétent de consulter le PFPDT dans le cadre de la procédure d'autorisation et de lui soumettre un projet d'ordonnance) : Elle découle du principe de légalité ancré à l'art. 5 al. 1 Cst., dont on peut déduire qu'un minimum de contrôle de l'Etat de droit doit être maintenu même pendant un projet pilote, ou que les atteintes graves aux droits fondamentaux nécessitent au moins une base légale au niveau de l'ordonnance, même pour les projets pilotes.
13 L'ordonnance doit contenir toutes les règles qui devraient être prises au niveau de la loi et de l'ordonnance (en dehors d'un projet pilote). Il est important - en particulier aussi dans la perspective de l'évaluation qui doit impérativement être effectuée (n. 16) - de définir au préalable de manière aussi précise que possible ce qui doit être testé exactement.
IV. Obligation de demander l'avis du PFPDT (al. 2)
14 Le projet pilote doit être soumis au PFPDT pour avis. Cette disposition établit un mécanisme de contrôle essentiel qui tient compte du fait que les projets pilotes peuvent déroger au principe constitutionnel du niveau de la norme. En tant qu'élément des "checks and balances", le PFPDT est au moins responsable de l'examen de plausibilité du projet pilote, du contrôle des mécanismes de protection mis en place, de l'examen de l'ordonnance ainsi que des évaluations régulières. Pour ce faire, conformément à l'art. 33 al. 2 et 3 OLPD, des informations détaillées doivent être fournies au PFPDT, notamment sur le projet pilote en lui-même et sur les mesures (de sécurité) organisationnelles et techniques, un projet ou au moins un concept d'ordonnance devant régir l'expérience pilote, ainsi qu'une planification du projet.
15 Même si le PFPDT ne peut pas émettre d'avis contraignant, il faut partir du principe que le Conseil fédéral suivra en règle générale l'appréciation du PFPDT.
V. Évaluation et limitation dans le temps de la phase pilote (al. 3 et 4)
16 Le projet pilote doit être évalué au plus tard dans les deux ans suivant sa mise en service (art. 35 al. 3 LPD). L'organe responsable du projet pilote doit exposer au Conseil fédéral, dans le rapport d'évaluation, si le projet peut éventuellement déjà être transformé en une offre régulière, si le projet pilote doit être poursuivi (attention toutefois à la limitation maximale de cinq ans, n. 17) ou si le projet doit être interrompu.
17 Au total, la phase pilote peut durer cinq ans au maximum (art. 35 al. 4 LPD). Ce délai n'est pas extensible, et ce même si le projet pilote doit être transformé en une offre régulière, mais qu'aucune base légale n'a encore été élaborée - l'exploitation "régulière" sur la base d'un simple projet n'est pas admissible pour des raisons d'ordre juridique.
VI. Appréciation
18 Bien que l'art. 17a aDSG n'ait été appliqué que très rarement jusqu'à présent et que le Conseil fédéral affirme qu'il ne fera qu'exceptionnellement usage de l'art. 35 LPD, on peut tout à fait supposer que la transformation numérique de l'administration entraînera un recours plus fréquent à la disposition sur les essais pilotes. Cela va peut-être dans le sens du développement numérique de l'administration fédérale, mais il ne faut pas perdre de vue que l'application de l'art. 17a aDSG ou de l'art. 35 LPD va toujours de pair avec une érosion du principe de légalité. Il faut donc éviter de recourir trop généreusement à l'article 35 LPD sans qu'il existe par exemple une norme de mission au sens formel ou que l'indispensabilité de la phase de test ait été sérieusement vérifiée. Il ne faut pas non plus oublier que les projets pilotes s'accompagnent de coûts d'investissement élevés - la décision de ne pas poursuivre l'exploitation d'un système après la phase de test devrait donc être non seulement difficile, mais aussi rare.
Dans ce commentaire, l'auteur donne son avis personnel.
Bibliographie
Husi-Stämpfli Sandra, Kommentierung zu Art. 35, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Huber René, die Teilrevision des Eidg. Datenschutzgesetzes, ungenügende Pinselrenovation, in: recht 2006, S. 205.
Schäfer Marc Frédéric, Kommentierung zu Art. 17a DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Oberlin Jutta Sonja/Kessler Rainer, Daten: Die Schlüsselrolle im Kampf gegen die Coronavirus-Pandemie?, in: jusletter 16.11.2020.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Vokinger Kerstin Noëlle, Die digitale Bekämpfung von Covid-19 und die Rolle des Bundes(rates), SJZ 116/2020, S. 412.