-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
En bref
Le respect des prescriptions en matière de protection des données par le PFPDT est une obligation légale qui découle déjà de la qualité d'organe fédéral du PFPDT. Comme aucune surveillance externe de la protection des données n'est prévue pour le PFPDT, le législateur l'oblige à s'autocontrôler : selon l'art. 48 LPD, le PFPDT doit s'assurer, par des mesures de contrôle appropriées, qu'une exécution conforme au droit est garantie. L'art. 40 OLPD concrétise le fait que le PFPDT doit établir un règlement de traitement pour tous ses traitements automatisés de données - et ce, indépendamment du fait qu'il traite des données personnelles sensibles ou qu'il procède à un profilage. Cela garantit que le respect des prescriptions en matière de protection des données est également contrôlé au sein du PFPDT, ce qui renforce la crédibilité du PFPDT en tant qu'autorité de surveillance vis-à-vis des tiers.
I. Généralités
1 L'art. 48 LPD s'adresse au PFPDT - non pas en tant qu'autorité de surveillance, mais en tant qu'organe fédéral traitant des données personnelles. Il oblige le PFPDT à assurer des mesures de contrôle appropriées afin de garantir la sécurité des données en particulier et l'exécution conforme au droit des prescriptions fédérales sur la protection des données en général, également au sein de son institution. Etant donné qu'aucune surveillance externe de la protection des données n'est prévue pour le PFPDT en tant qu'autorité de surveillance, le législateur oblige par cette disposition le PFPDT à s'autocontrôler lors du traitement de données personnelles.
2 Le PFPDT traite des données personnelles, y compris des données personnelles sensibles, dans les buts suivants (art. 39 OLPD) :
pour exercer ses activités de surveillance (let. a),
pour exercer ses activités de conseil (let. b),
pour collaborer avec d'autres autorités (let. c),
pour accomplir ses tâches dans le cadre des dispositions pénales de la LPD (let. d),
pour accomplir ses tâches conformément à la loi sur la transparence (let. e-g),
pour informer la surveillance parlementaire (let. h), pour informer le public (let. i) et pour exercer ses activités de formation (let. j).
Le PFPDT traite des données personnelles aussi bien dans sa fonction de préposé à la protection des données que dans celle de préposé à la transparence. Concrètement, il gère notamment une administration des affaires (art. 57h LOGA), un système de gestion du personnel, une liste des conseillers à la protection des données (art. 10, al. 3, let. d, LPD ; art. 10, al. 4, LPD en relation avec l'art. 27, al. 2, OLPD), le registre des activités de traitement des organes fédéraux (art. 12, al. 4, LPD) et un portail de notification des violations de la sécurité des données (art. 24 LPD). Dans le cadre de ses tâches légales, le PFPDT devrait notamment traiter des données personnelles de ses collaborateurs, des données personnelles d'autres employés de la Confédération, ainsi que des données de tiers, y compris des données de personnes morales (art. 57r LOGA).
3 Le PFPDT lui-même n'est pas soumis à une surveillance externe de la protection des données, c'est pourquoi il est tenu de s'autocontrôler. La disposition de l'art. 48 LPD montre clairement que le PFPDT, en tant qu'autorité de surveillance dans le domaine de la protection des données, n'est pas au-dessus de la loi sur la protection des données et qu'il doit garantir le respect des prescriptions, même au sein de sa propre autorité. Un contrôle externe du PFPDT limiterait de manière disproportionnée son indépendance par rapport au risque plutôt faible d'abus de données.
4 En tant qu'organe fédéral, le PFPDT est tenu de respecter, outre les dispositions générales des art. 5 à 13 et 16 à 29, les dispositions particulières relatives au traitement des données par des organes fédéraux, conformément aux art. 33 et suivants LPDS. LPD sont tenus de respecter. L'art. 48 LPDT prévoit que le PFPDT doit prévoir des mesures de contrôle appropriées pour le respect de ces obligations. Cette obligation d'autocontrôle est due au fait qu'il n'existe pas de surveillance externe correspondante de la protection des données pour le PFPDT. Les obligations primaires ne diffèrent donc pas de celles des autres organes fédéraux ; l'art. 48 LPDT concerne uniquement les obligations du PFPDT en matière de contrôle du respect de ces obligations primaires. Le PFPDT doit notamment prendre toutes les mesures de contrôle qu'il applique habituellement dans le cadre de son activité de surveillance à l'égard d'autres organes fédéraux, dans la mesure où celles-ci s'avèrent également appropriées lors de l'autocontrôle. La crédibilité du PFPDT dans son activité de surveillance à l'égard des organes fédéraux et des particuliers s'en trouve ainsi renforcée.
5 La disposition de l'art. 48 LPD concernant l'autocontrôle du PFPDT a été introduite dans la loi fédérale sur la protection des données lors de la révision totale du 25 septembre 2020 (entrée en vigueur le 1er septembre 2023).
II. Mesures de contrôle
A. Sécurité des données en particulier
6 L'art. 48 LPD oblige le PFPDT à mettre en place des mesures de contrôle appropriées afin de garantir la sécurité des données au sein de sa propre institution. Selon l'art. 5 let. h LPD, on entend par violation de la sécurité des données "toute violation de la sécurité entraînant accidentellement ou de manière illicite la perte, l'effacement, la destruction ou la modification de données personnelles, ou entraînant leur divulgation ou leur mise à disposition de personnes non autorisées".
7 L'obligation de garantir la sécurité des données pour le PFPDT découle déjà, de manière générale, de l'article 8 LPD. Conformément à cette disposition, les responsables du traitement et les personnes chargées du traitement sur mandat doivent garantir une sécurité des données adaptée au risque par des mesures techniques et organisationnelles appropriées. Les mesures mises en place doivent permettre non seulement de constater a posteriori les violations de la sécurité des données, mais aussi de les éviter de manière préventive. La sécurité des données est concrétisée dans le RGPD. L'art. 3 OLPD, en particulier, mentionne une série de mesures techniques et organisationnelles pour atteindre les objectifs de la sécurité des données selon l'art. 2 OLPD, comme par exemple le contrôle de l'accès, de l'accès, de l'utilisateur, de la saisie et de la communication. Le règlement de traitement pour les organes fédéraux selon l'art. 6 OLPD sert également de moyen pour assurer la sécurité des données.
8 Dans ce contexte, le Conseil fédéral a concrétisé l'obligation d'autocontrôle du PFPDT à l'art. 40 OLPD. Le PFPDT doit établir un règlement de traitement pour tous les traitements automatisés - et ce, indépendamment du fait que, par exemple, des données personnelles sensibles soient traitées, qu'un profilage soit effectué ou que le but du traitement ou la manière dont les données sont traitées puissent conduire à une atteinte grave aux droits fondamentaux de la personne concernée. L'art. 40 OLPD déclare en effet l'art. 6 al. 1 OLPD et les conditions qu'il prévoit pour l'établissement d'un règlement de traitement inapplicables dans le cas du PFPDT.
9 L'art. 40 OLPD ne mentionne pas d'autres mesures que l'obligation d'établir un règlement de traitement dans le cadre de l'autocontrôle du PFPDT. Dans les explications relatives à l'art. 40 OLPD, l'Office fédéral de la justice précise que le PFPDT, à l'instar des autres organes fédéraux, doit également prévoir des processus internes appropriés pour mettre en œuvre le règlement de traitement et en vérifier le respect. La disposition légale de l'art. 48 LPD parle toutefois de manière plus générale de "mesures de contrôle appropriées, notamment en ce qui concerne la sécurité des données". L'élaboration, la mise en œuvre, la vérification et l'adaptation régulière du règlement de traitement conformément à l'art. 40 OLPD ne dispense donc pas le PFPDT de son obligation plus générale de prévoir des mesures de contrôle plus étendues conformément à l'art. 48 LPD, pour autant que celles-ci soient jugées appropriées et adéquates.
B. Exécution conforme au droit des dispositions relatives à la protection des données en général
10 L'art. 48 LPD oblige le PFPDT à mettre en place des mesures de contrôle qui garantissent une exécution conforme au droit des prescriptions fédérales en matière de protection des données. Cette obligation va au-delà de l'élaboration et de la mise en œuvre d'un règlement de traitement au sens de l'art. 40 OLPD. Elle exige notamment que les traitements de données prévus soient régulièrement contrôlés quant à leur conformité avec les prescriptions fédérales en matière de protection des données. C'est précisément dans le cadre du système de contrôle interne (SCI) que le PFPDT devrait prévoir d'autres mesures afin de garantir le respect des prescriptions de la LPD.
11 Contrairement à l'obligation d'établir un règlement de traitement, des mesures de contrôle allant au-delà ne sont toutefois exigées que dans la mesure où elles sont, d'une part, aptes à garantir le respect des prescriptions en matière de protection des données et, d'autre part, proportionnées au risque d'abus de données et à la menace pesant sur les droits fondamentaux de la personne concernée. Concrètement, l'obligation du PFPDT ne doit pas avoir pour effet de rendre impossible ou de compliquer de manière disproportionnée ses tâches légales de surveillance et de conseil. Ceci étant dit, le PFPDT peut tenir compte des ressources en personnel nécessaires dans le cadre de l'autocontrôle dans le cadre de sa demande de budget.
L'avis exprimé reflète l'opinion personnelle des auteurs et n'engage pas l'Office fédéral de la justice.
Bibliographie
Baeriswyl Bruno, Kommentierung zu Art. 48 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Petermann Büttler Judith, Kommentierung zu Art. 48 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Datenschutzgesetz, Orell Füssli Kommentar, Zürich 2023.
Matériaux
Botschaft des Bundesrates vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBl 2017 S. 6941).
Erläuternder Bericht des BJ zur Datenschutzverordnung DSV vom 31. 8.2022.