-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Conditions du droit et de la procédure
- III. Les demandes
- IV. Disposition d'exception (al. 5)
- V. Droit de la procédure administrative (al. 6)
- Bibliographie
- Matériaux
En bref
Si une personne estime qu'un organe fédéral viole les dispositions applicables de la LPD lors du traitement de données personnelles, l'art. 41 LPD (conjointement avec le droit d'accès selon l'art. 25 LPD) met à sa disposition les droits nécessaires pour pouvoir imposer un traitement des données conforme à la loi à l'organe fédéral responsable. Elle peut notamment exiger que l'organe fédéral s'abstienne de traiter des données de manière illicite, qu'il élimine les conséquences d'un traitement illicite ou encore qu'il constate le caractère illicite du traitement (art. 41 al. 1 LPD). Cet article prévoit des exceptions, comme notamment la limitation du traitement (art. 41 al. 3 LPD). La décision de l'organe fédéral de ne pas entrer en matière ou d'accorder ou de refuser ces droits prend la forme d'une décision qui peut à son tour, si les conditions nécessaires sont remplies, être contestée selon les règles de la procédure fédérale générale.
I. Généralités
A. Remarques préliminaires
1 Le traitement de données personnelles par un organe fédéral constitue une atteinte au droit fondamental de la personne concernée à l'autodétermination en matière d'information, conformément à l'art. 13 al. 2 Cst. et à l'art. 8 CEDH. C'est pourquoi les autorités fédérales ne peuvent traiter des données personnelles que dans un cadre limité et en respectant les principes de traitement énoncés à l'article 6 LPD et en particulier aux articles 34 et suivants LPD. LPD, de traiter des données personnelles. Elles ont notamment besoin d'une base légale pour ce faire.
2 Les traitements de données effectués par un service fédéral constituent en règle générale des actes réels. L'article 41 LPD accorde à la personne concernée (ainsi que, le cas échéant, à des tiers, voir N. 8) une série de droits lui permettant d'exiger que la légalité d'un traitement de données soit rétablie ou que son caractère illicite soit au moins constaté. Au moins dans le cas d'une décision (partiellement) négative, la personne concernée obtient ainsi une décision contestable.
3Il convient de distinguer la protection juridique individuelle de l'art. 41 LPD, qui ne s'applique qu'en cas de revendication active de la personne concernée, des droits de contrôle du Préposé fédéral à la protection des données et à la transparence (cf. les explications relatives aux art. 49 ss LPD). Dans le cadre de ses compétences en matière de surveillance, le PFPDT est habilité à mener des enquêtes d'office et à rendre des décisions, ce qui permet de protéger également les personnes qui ne peuvent ou ne veulent pas intenter une action en justice contre un organe fédéral fautif (p. ex. parce qu'elles n'ont pas connaissance de l'illicéité ou du traitement des données en soi).
B. Historique
4Selon le message du Conseil fédéral relatif à la LPD initiale de 1992, le système juridique proposé devait d'une part s'inspirer des actions de droit privé de l'art. 28a CC, mais d'autre part s'intégrer dans le droit de procédure administrative alors en vigueur. Par la suite, les Chambres n'ont pas remis en question le principe de ce concept proposé par le Conseil fédéral et n'ont apporté que quelques modifications.
5La disposition a subi quelques modifications suite à la révision qui est entrée en vigueur le 1er septembre 2023. Un droit explicite à l'effacement ainsi qu'une limitation du traitement ont notamment été ajoutés. Ces modifications et compléments proposés par le Conseil fédéral ont été adoptés sans difficulté par les Chambres.
II. Conditions du droit et de la procédure
6Le destinataire du droit est l'organe fédéral responsable qui traite ou fait traiter les données dans le cadre de l'exécution de son mandat légal. Sont considérés comme organes fédéraux non seulement les autorités fédérales, mais aussi les particuliers qui accomplissent des tâches de droit public de la Confédération (voir explications relatives à l'art. 5 let. i LPD). Ainsi, les prétentions découlant d'un traitement illicite de données à l'encontre d'une caisse de pension, qui est certes organisée en tant que fondation de droit privé, mais qui offre la prévoyance professionnelle obligatoire conformément à la LPP et qui est donc considérée comme un organe fédéral, doivent être formulées conformément à l'art. 41 LPD (et non à l'art. 32 LPD).
7Il convient de noter que le fait de faire valoir un droit à l'encontre d'un organe fédéral n'a pas d'effet contraignant pour les autres organes fédéraux (voir n. 21 concernant la communication à des tiers ou la publication) ; le cas échéant, il faut donc les faire valoir individuellement à l'encontre de chaque organe fédéral responsable qui traite des données.
8Toute personne disposant d'un intérêt digne de protection peut faire valoir son droit. L'existence d'un tel intérêt s'apprécie selon les principes généraux de la procédure administrative. L'intérêt digne de protection ne se limite pas non plus aux intérêts relevant du droit de la personnalité et ne doit en outre pas coïncider avec l'intérêt protégé par la norme violée. Il est uniquement nécessaire que le requérant ait un intérêt actuel, juridique ou factuel, dans l'issue de la procédure qu'il a engagée et que celle-ci puisse lui apporter un avantage pratique direct. Il doit avoir un rapport particulier avec l'objet du litige et être ainsi plus concerné que le grand public.
9 Dans le cas de la personne concernée, un intérêt digne de protection sera généralement donné. Des exceptions sont toutefois possibles, par exemple lorsque l'organe fédéral ne traite plus du tout les données, ce qui rendrait la demande sans objet. Dans quelques rares cas de figure, il est également envisageable que des tiers dont les données ne sont pas du tout traitées puissent faire valoir un intérêt digne de protection. Mais cela n'est généralement le cas que si ce tiers est un proche parent ou un ami de la personne concernée (décédée) et qu'il peut se prévaloir de la protection de la mémoire reconnue par le Tribunal fédéral.
III. Les demandes
A. Condition de l'illicéité
10 Conformément à l'article 41 al. 1 LPD, le requérant peut demander la cessation d'un traitement illicite de données, l'élimination des conséquences d'un traitement illicite de données ou la constatation du caractère illicite d'un traitement de données.
11 Ces droits ont en commun le fait qu'ils présupposent le caractère illicite du traitement des données. Ceci contrairement à l'opposition à la communication de données personnelles selon l'art. 37 LPD ; dans ce cas, seul l'intérêt digne de protection de la personne concernée est déterminant, mais pas le caractère illicite de la communication (voir le commentaire de l'art. 37 LPD).
12 L'illicéité peut notamment résider dans le fait que l'organe fédéral ne dispose pas d'une base légale suffisante pour le traitement de données en question. Par exemple, le Tribunal administratif fédéral a décidé qu'une caisse de pension qui envoie les certificats de prévoyance directement à l'employeur sans les fermer agit de manière illicite, car une telle communication n'est pas nécessaire à l'exécution de la prévoyance professionnelle selon la LPP et qu'aucune autre base légale (en particulier l'art. 86a LPP qui règle la communication des données dans le cadre de la LPP) ne le légitimerait. En outre, le traitement de données inexactes est également illicite dans la mesure où l'organe fédéral responsable ne remplit pas son obligation de vérification à cet égard (cf. commentaire de l'art. 6 al. 5 LPD).
B. Droit à l'omission (al. 1 let. a et al. 2 let. a)
1. Généralités
13 Le droit à l'omission présuppose qu'au moment où l'on fait valoir ce droit, il y a de sérieuses raisons de craindre que l'organe fédéral responsable procède à un traitement illicite de données déterminé dans un avenir proche. Une telle crainte sérieuse peut exister, d'une part, lorsque l'organe fédéral effectue déjà le traitement des données et que celui-ci se poursuit ou, d'autre part, lorsque des indices concrets permettent de conclure que les données seront traitées de manière illicite dans un avenir proche. Selon la jurisprudence du Tribunal fédéral, ce n'est qu'à ce moment-là que l'on peut admettre l'intérêt actuel de la protection juridique à l'omission.
14 Si ces conditions sont remplies, la personne concernée ne peut pas seulement exiger que l'organe fédéral renonce à un traitement illicite des données. Elle peut également demander le rétablissement de la légalité, notamment en exigeant la rectification, l'effacement ou la destruction des données concernées sur la base de l'art. 41 al. 2 let. a LPD.
2. Rectification et mention de contestation (al. 4)
15 Le traitement de données personnelles inexactes n'est illicite que si l'inexactitude résulte d'une violation de l'obligation de vérifier les données conformément à l'art. 6 al. 5 LPD. Un organe fédéral traitant des données doit donc s'assurer d'office de l'exactitude des données dès leur collecte ou pendant la durée du traitement en prenant des mesures appropriées (cf. commentaire de l'art. 6 al. 5 LPD). Même s'il le fait, le traitement des données devient illicite au moins à partir du moment où la personne concernée s'adresse à l'organe fédéral avec un droit de rectification et que celui-ci omet de clarifier à nouveau de manière suffisante l'exactitude ou l'inexactitude.
16 Si l'exactitude ou l'inexactitude des données ne peut pas être établie ou ne peut pas être établie facilement malgré la demande de rectification motivée de la personne concernée, l'organe fédéral doit restreindre le traitement conformément à l'art. 41 al. 3 LPD pendant la durée des clarifications nécessaires (voir ci-dessous let. E). Cela signifie que pendant cette durée, l'organe fédéral ne peut plus traiter les données que pour constater leur exactitude ou leur inexactitude.
17 Si l'organe fédéral n'est pas en mesure de prouver l'exactitude des données traitées, le cas échéant malgré des investigations supplémentaires, mais que la personne concernée n'est pas non plus en mesure de prouver en retour l'exactitude des rectifications qu'elle a demandées, l'organe fédéral doit apposer une mention de contestation. Cela permet d'une part de satisfaire les intérêts de la personne concernée en démontrant qu'elle n'est pas d'accord avec la présentation des faits par l'organe fédéral. D'autre part, elle garantit que l'organe fédéral ne doit pas renoncer à des traitements de données dont il a besoin pour remplir son mandat légal.
18 Le matériel législatif relatif à la nouvelle restriction introduite par la révision 2023 ne s'exprime pas sur le rapport entre l'art. 41 al. 3 et al. 4 LPD. Toutefois, comme expliqué, la mention de contestation a notamment pour but de permettre à l'organe fédéral de continuer à accomplir ses tâches légales. Si l'examen de l'exactitude ou de l'inexactitude des données n'aboutit pas, l'organe fédéral doit pouvoir lever une limitation du traitement au sens de l'art. 41, al. 3, LPD, apposer une mention de contestation et traiter à nouveau l'intégralité des données en question, du moins dans la mesure où il n'est pas possible de renoncer totalement au traitement et où aucun autre motif de limitation (cf. let. E) ne s'applique.
C. Droit à l'élimination (al. 1 let. b)
19 La personne concernée a en outre le droit d'obtenir l'élimination des conséquences d'un traitement illicite de données au moyen de mesures appropriées et proportionnées. Il s'agit ici de l'élimination réelle des conséquences négatives dues à un traitement illicite des données, par exemple l'octroi ultérieur de prestations légales. Si une assurance-maladie dans le domaine de l'assurance obligatoire des soins (AOS) devait déterminer l'état de santé général d'un assuré au moyen d'un questionnaire de santé et, sur cette base, ne pas lui proposer certaines prestations AOS, la base légale ferait défaut (et serait en contradiction avec l'obligation d'admission de la LAMal) ; la collecte de données serait illicite et l'assurance-maladie devrait accorder à l'assuré les prestations prévues par la loi sur l'assurance-maladie.
20 Le droit ne permet toutefois pas aux personnes concernées d'annuler des décisions formellement exécutoires. Cela n'est toujours possible qu'avec les motifs de révision prévus par la loi conformément à l'art. 66 PA. Il n'est pas non plus possible pour les personnes concernées de demander des dommages-intérêts ou une réparation du tort moral sur la base de l'art. 41 al. 1 let. b LPD, car ces droits doivent être exercés par le biais de la loi fédérale sur la responsabilité.
21 Dans la pratique, le droit à la suppression jouera régulièrement un rôle en cas de communication illicite de données. Dans ce cas, la personne concernée peut notamment exiger la publication de la décision concernant le traitement illicite des données (notamment la rectification, l'effacement ou la destruction, la mention de contestation mais aussi l'opposition à la communication selon l'art. 37 LPD) ou sa communication aux éventuels destinataires des données (art. 41 al. 2 let. b LPD). Cela a pour but de permettre à un destinataire de données de reprendre volontairement la décision et d'effacer ou de rectifier les données ; il ne peut toutefois pas y être contraint. Dans ce cas, la personne concernée n'a d'autre choix que de faire valoir ses droits éventuels auprès du destinataire des données.
D. Droit à la constatation (al. 1 let. c)
22 Le requérant peut en outre demander la constatation du caractère illicite du traitement des données. Ce droit n'est que subsidiaire par rapport au droit à l'omission et à la suppression. Tant qu'il est possible d'exiger la cessation du traitement illicite ou l'élimination des conséquences qui en découlent, il n'existe pas d'intérêt digne de protection à la constatation du caractère illicite.
23 Selon la jurisprudence du Tribunal fédéral, un intérêt à la constatation est donné lorsqu'un traitement illicite (passé) de données ou l'atteinte à la personnalité qui y est liée continue à avoir des effets perturbateurs et que la constatation de l'illicéité est de nature à éliminer ces effets persistants.
E. Limitation du traitement (al. 3)
24 L'art. 41 al. 3 LPD a été ajouté lors de la révision de 2023. Selon celui-ci, l'organe fédéral doit, au lieu d'effacer ou de détruire les données, limiter le traitement si l'un des cas suivants se présente :
La personne concernée conteste l'exactitude des données personnelles, mais ni l'exactitude ni l'inexactitude ne peuvent être établies (voir ci-dessus N. 18) ;
Des intérêts prépondérants de tiers ou des intérêts publics prépondérants exigent que les données continuent d'exister ;
L'effacement ou la destruction des données compromettrait une enquête, une investigation ou une procédure administrative ou judiciaire.
25 Il convient de noter que l'article 18 du RGPD prévoit également la "limitation du traitement". Contrairement à la disposition du RGPD, où il s'agit d'un droit de la personne concernée à l'égard du responsable du traitement, l'art. 41 al. 3 LPD est conçu comme une exception à l'effacement/la destruction ou également à la rectification. Lors du traitement d'une demande d'effacement/de destruction, mais aussi de rectification (bien qu'elle ne soit pas explicitement mentionnée, la limitation du traitement pour vérifier l'exactitude ou l'inexactitude des données a un sens du point de vue de la logique légale), l'organe fédéral doit vérifier d'office si l'un des motifs de limitation existe. Si la demande est acceptée et que la limitation est confirmée, l'organe fédéral doit réduire le traitement à la finalité qui s'oppose à l'effacement/la destruction ou à la rectification.
26 La décision relative à la limitation doit être rendue sous forme de décision ou de décision incidente si elle ne met pas fin à la procédure.
27 Le message prévoit que la limitation doit être mise en œuvre de manière à ce que les données contestées soient clairement identifiées, ce qui peut signifier dans la pratique qu'elles soient temporairement déplacées vers un autre système de traitement ou que les droits d'accès soient limités. Dans cette argumentation, le législateur n'a pas tenu compte du fait que cela entraînera régulièrement des problèmes de mise en œuvre dans la pratique, car on ne peut pas partir du principe que tous les systèmes permettent de prendre de telles dispositions pour des données individuelles, c'est-à-dire pour ainsi dire "sur le terrain", et qu'ils ne peuvent pas non plus les mettre en œuvre sans autre. Si les possibilités techniques de mise en œuvre font défaut, la restriction doit au moins être garantie par des mesures organisationnelles, par exemple au moyen d'indications dans le système, de directives ou de listes séparées.
IV. Disposition d'exception (al. 5)
28 La rectification, l'effacement ou la destruction de données personnelles ne peut pas être exigée en ce qui concerne les fonds de ce que l'on appelle les lieux de mémoire publics, comme notamment les bibliothèques accessibles au public, les établissements d'enseignement, les musées ou les archives. Dans ces cas, il n'est pas non plus possible d'obtenir une note de contestation. Le but de ces institutions est de reproduire un moment du passé, ce qui ne peut être atteint que si les fonds sont fidèles à l'original et inchangés.
29 La personne concernée peut tout de même exiger que l'accès aux données controversées soit limité. En principe, l'intérêt public à un accès libre et non faussé aux documents prévaut. Toutefois, il faut admettre un intérêt prépondérant de la personne concernée à la limitation de l'accès si elle subirait des inconvénients personnels considérables en raison d'un accès libre, par exemple parce qu'elle serait limitée dans son avancement professionnel et que la valeur archivistique des données en question apparaît en revanche comme moindre. Selon le message, cette exception doit être prise en compte en particulier dans la perspective de la publication croissante de documents d'archives sur Internet.
V. Droit de la procédure administrative (al. 6)
30 La procédure pour faire valoir les droits de l'art. 41 al. 1-2 LPD est régie par la PA. Ceci même si la PA ne s'applique pas du tout au domaine concerné (les exceptions des articles 2 et 3 de la PA ne s'appliquent pas).
31 Cela signifie notamment que l'organe fédéral doit établir les faits d'office (principe de l'instruction, art. 12 PA). Le requérant est toutefois soumis à une obligation de collaborer (art. 13 PA) ; par exemple, dans le cadre d'une demande de rectification, il doit présenter des moyens de preuve qui démontrent l'exactitude des modifications qu'il demande.
32 L'organe fédéral peut également décider de ne pas entrer en matière, d'approuver ou de rejeter la demande. La décision est rendue sous la forme d'une décision qui peut à son tour faire l'objet d'un recours devant le Tribunal administratif fédéral.
Bibliographie
Bangert Jan, Kommentierung zu Art. 25/25bis DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz, 3. Aufl., Basel, 2014.
Burkert Herbert, Datenschutz und Rechtsschutz, in: Schweizerisches Zentralblatt für Staats- und Verwaltungsrecht, ZBl 108 (2007), S. 374-379.
Fanger Reto, Kommentierung zu Art. 41 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), OFK-Orell Füssli Kommentar (Navigator.ch), Zürich 2023.
Gautschi Adrian, Kommentierung zu Art. 42 DSG, in: Blechta, Gabor-Paul/Vasella David (Hrsg.), Balser Kommentar, Datenschutzgesetz, 4. Aufl. Basel 2024.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl., Zürich/St. Gallen 2020.
Häner Isabelle, Kommentierung zu Art. 25 und 25a VwVG, in: Waldmann Bernhard/Weissenberger Philippe (Hrsg.), Praxiskommentar Verwaltungsverfahrensgesetz, 2. Aufl., Zürich 2016.
Jöhri Yvonne, Kommentierung zu Art. 25 DSG, in: Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008.
Sturny Monique, Kommentierung zu Art. 41, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika, Stämpflis Handkommentar (SHK) zum Datenschutzgesetz, 2. Aufl., Zürich 2023.
Matériaux
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988 (BBl 1988 413).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017 (BBl 2017 6941).