-
- Art. 3 Cst.
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 13 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 26 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 1 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123a Cst.
- Art. 123b Cst.
- Art. 130 Cst.
- Art. 136 Cst.
- Art. 166 Cst.
- Art. 178 Cst.
- Art. 191 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 let. d LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 3-5 LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 16 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 18 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 27 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 28 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
-
- Art. 2 al. 1 LBA
- Art. 2a al. 1-2 and 4-5 LBA
- Art. 3 LBA
- Art. 7 LBA
- Art. 7a LBA
- Art. 8 LBA
- Art. 8a LBA
- Art. 11 LBA
- Art. 14 LBA
- Art. 15 LBA
- Art. 20 LBA
- Art. 23 LBA
- Art. 24 LBA
- Art. 24a LBA
- Art. 25 LBA
- Art. 26 LBA
- Art. 26a LBA
- Art. 27 LBA
- Art. 28 LBA
- Art. 29 LBA
- Art. 29a LBA
- Art. 29b LBA
- Art. 30 LBA
- Art. 31 LBA
- Art. 31a LBA
- Art. 32 LBA
- Art. 38 LBA
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
ORDONNANCE SUR LES DISPOSITIFS MÉDICAUX
LOI SUR LE BLANCHIMENT D’ARGENT
LOI SUR LA TRANSPARENCE
LOI FÉDÉRALE SUR LE TRANSFERT INTERNATIONAL DES BIENS CULTURELS
- En bref
- I. Généralités
- II. Conditions (al. 1)
- III. Communication de données personnelles (al. 2)
- IV. Obligation d'informer et prise de position (al. 3)
- Bibliographie
- Matériaux
En bref
L'art. 55 LPD régit l'entraide administrative internationale entre le PFPDT et les autorités étrangères chargées de la protection des données. Cette disposition permet la coopération transfrontalière entre les autorités de protection des données et contribue ainsi de manière significative à l'application du droit en matière de protection des données. L'al. 1 régit les conditions dans lesquelles le PFPDT peut échanger des informations ou des données personnelles avec des autorités étrangères. L'al. 2 détermine les informations que le PFPDT est autorisé à communiquer dans le cadre d'un tel échange. L'al. 3 définit les droits de certaines personnes susceptibles d'être concernées par une mesure d'entraide administrative.
I. Généralités
A. Objet de la réglementation
1. Base
1 L'entraide administrative internationale a pour but l'assistance réciproque et transfrontalière des autorités compétentes en matière de protection des données (ci-après : autorités de protection des données) dans l'accomplissement de leurs tâches légales, par le biais d'une aide fournie en dehors d'une procédure régie par le droit procédural. L'art. 55 LPD régit l'entraide administrative internationale entre le PFPDT et les autorités étrangères de protection des données.
2 L'art. 55 est une nouvelle disposition de la LPD. La disposition précédente (art. 31, al. 1, let. c, aLPD) obligeait uniquement le PFPDT à collaborer avec les autorités étrangères chargées de la protection des données. Il s'agissait notamment d'un échange technique sur des thèmes spécifiques ou d'une collaboration régulière au sein d'organes, de groupes de travail ou de conférences. Cette disposition n'offrait toutefois pas une base légale suffisante au PFPDT pour coopérer avec les autorités étrangères et échanger des informations dans le cadre de la surveillance et du contrôle du droit fédéral en matière de protection des données. Néanmoins, le PFPDT a déjà coopéré pleinement avec les autorités étrangères de protection des données dans le cadre de l'aDSG. À l'époque, l'échange transfrontalier de données était largement régi par les règles générales de l'entraide administrative, qui se fondaient principalement sur les obligations découlant du droit international public (art. 13 ss de la Convention 108).
3 L'art. 55 LPD établit désormais de véritables règles de procédure en régissant les conditions de l'échange d'informations ou de données personnelles avec les autorités étrangères (al. 1) ainsi que les données pouvant être transmises (al. 2). L'al. 3 accorde ensuite aux détenteurs d'un secret professionnel, d'affaires ou de fabrication le droit d'être informés et la possibilité de prendre position lorsque le PFPDT communique à une autorité étrangère des informations susceptibles de contenir de tels secrets.
4 L'art. 55 LPD s'inscrit dans le cadre de l'harmonisation avec le droit européen. L'art. 50 de la directive (UE) 2016/680 exige que les autorités de contrôle se prêtent mutuellement assistance. Parallèlement, cette disposition satisfait aux exigences de l'art. 61 DSGVO et des art. 16 à 21 de la Convention 108+.
2. Contexte international
5 L'objectif de la Convention 108+ est de créer un niveau uniforme de protection des données et de renforcer les mécanismes d'application. Cela inclut notamment la coopération transfrontalière entre les autorités de contrôle. La Suisse a ratifié la Convention 108+ le 7 septembre 2023. Pour entrer en vigueur, la Convention 108+ doit être ratifiée par 38 États contractants. Au printemps 2025, ce nombre n'était pas encore atteint. Lors des références ultérieures à la Convention 108+, il convient donc de tenir compte du fait qu'elle n'est pas encore entrée en vigueur. Son entrée en vigueur prochaine semble toutefois probable.
6 La Convention 108+ oblige les parties contractantes à coopérer et à s'entraider dans la mise en œuvre de la convention. Elle prévoit différentes formes de coopération, sans que cette liste soit exhaustive. En premier lieu, les autorités de contrôle se prêtent mutuellement assistance, notamment en échangeant toutes les informations pertinentes et utiles. Il peut s'agir de deux types d'informations :
L'échange général d'informations et de documents sur le droit et la pratique administrative dans le domaine de la protection des données. Cet échange ne devrait poser aucun problème, car les informations peuvent être échangées librement et rendues publiques.
L'échange d'informations confidentielles, y compris de données à caractère personnel. En ce qui concerne les données à caractère personnel, la Convention 108+ prévoit qu'elles ne peuvent faire l'objet d'un traitement que si elles sont d'une importance cruciale pour la coopération (c'est-à-dire si, sans leur fourniture, la coopération serait inefficace) ou si la personne concernée a donné son consentement explicite, libre et éclairé, en se référant au cas concret. Dans le cas contraire, l'échange de données à caractère personnel issues d'un traitement concret est exclu.
7 Outre l'échange d'informations pertinentes et utiles, les objectifs de la coopération peuvent également être atteints par des enquêtes concertées, telles que des enquêtes ou des opérations coordonnées, ainsi que par la mise en œuvre de mesures communes.
8 Les autorités de contrôle sont tenues de donner suite aux demandes qui leur sont adressées par d'autres autorités de contrôle. L'art. 20 de la Convention 108+ prévoit de manière exhaustive le refus d'une demande uniquement si celle-ci n'est pas compatible avec les compétences de l'autorité de contrôle (let. a), si elle n'est pas conforme aux dispositions de la Convention 108+ (let. b) ou si l'exécution de la demande n'est pas compatible avec la souveraineté, la sécurité nationale ou l'ordre public (par exemple pour garantir la confidentialité des enquêtes policières) de la partie contractante ou avec les droits et libertés fondamentaux des personnes relevant de la juridiction de cette partie contractante (let. c).
9 Au niveau du droit de l'Union, il existe deux actes juridiques pertinents en matière de protection des données. Le DSGVO est le texte fondamental en matière de protection des données et régit la protection des données traitées dans le cadre du marché intérieur. Son article 61 régit en détail l'assistance administrative entre les autorités de contrôle des États membres de l'UE ou de l'EEE, sans qu'il soit nécessaire de conclure des accords particuliers entre les États membres dans des cas individuels. L'assistance administrative internationale est régie par l'art. 50, let. b, DSGVO. La DSGVO ne fait pas partie de l'acquis de Schengen et n'est donc pas contraignant pour la Suisse.
10 La directive (UE) 2016/680 vise à protéger les données à caractère personnel traitées à des fins de prévention, de recherche, de détection ou de poursuite d'infractions pénales ou à des fins d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de celles-ci. Étant donné que la directive (UE) 2016/680 s'inspire de la DSGVO, les deux actes juridiques contiennent des dispositions largement similaires. La directive fait partie de l'acquis de Schengen. En tant qu'État associé à Schengen, la Suisse est tenue d'accepter, de transposer et d'appliquer les développements de l'acquis de Schengen, la transposition en Suisse ayant été effectuée dans le cadre de la révision totale de la LPD en ce qui concerne l'autorité de contrôle. L'obligation d'assistance mutuelle des autorités de contrôle est prévue à l'art. 50 de la directive (UE) 2016/680.
B. Genèse
11 Dans l'avant-projet de LPD, la disposition relative à l'entraide administrative internationale (art. 47 AP-LPD) était encore divisée en deux alinéas, le premier régissant les demandes d'entraide administrative adressées par le PFPDT aux autorités étrangères et le second l'entraide administrative fournie par le PFPDT aux autorités étrangères. Le premier paragraphe définissait les informations que le PFPDT était autorisé à communiquer aux autorités étrangères afin d'obtenir leur assistance administrative ; le second paragraphe fixait les conditions dans lesquelles le PFPDT pouvait fournir une assistance administrative aux autorités étrangères.
12 Dans le cadre de la procédure de consultation, certains participants ont fait valoir que la systématique de l'art. 47 était lacunaire. Ainsi, les conditions applicables à la communication d'informations ne seraient pas les mêmes selon que le PFPDT est l'autorité requérante ou l'autorité requise. Plusieurs participants se sont finalement prononcés en faveur de l'interdiction de communiquer des informations constituant des secrets d'affaires ou de fabrication dans le cadre d'une procédure d'entraide administrative entre le PFPDT et une autorité étrangère de protection des données, sans que la protection de ces secrets soit garantie ou que le détenteur du secret ait donné son accord.
13 La systématique de la disposition a subi une modification fondamentale dans le projet de LPD et après la consultation (art. 49 P-LPD). Au lieu de soumettre les demandes d'entraide administrative du PFPDT aux autorités étrangères et l'entraide administrative du PFPDT en faveur des autorités étrangères à des réglementations différentes, les conditions préalables à l'échange d'informations ou de données personnelles avec les autorités étrangères ont été harmonisées à l'al. 1 et la communication de données personnelles à l'al. 2. L'al. 2 régit ainsi de manière uniforme les informations que le PFPDT est autorisé à communiquer à l'autorité étrangère pour motiver sa demande d'entraide administrative ou pour donner suite à la demande d'une autorité étrangère. Les modifications ont également entraîné un durcissement : le projet a ainsi été complété par l'exigence de réciprocité (art. 49, al. 1, let. a, P-LPD) et un nouvel al. 3 a été ajouté concernant les secrets professionnels, d'affaires ou de fabrication. Les réserves émises lors de la consultation concernant la systématique et la communication des secrets d'affaires et de fabrication semblent ainsi avoir été entendues.
14 Lors des débats qui ont suivi au sein des Chambres fédérales, l'entraide administrative internationale n'a plus donné lieu à discussion ; la disposition a été adoptée dans la version du projet de loi avec seulement quelques modifications rédactionnelles mineures.
C. But de la norme
15 Compte tenu du caractère de plus en plus transfrontalier du traitement des données, la coopération internationale entre les autorités de protection des données revêt une importance croissante. L'augmentation quantitative du traitement transfrontalier des données personnelles a accru le risque d'atteintes à la vie privée et à la protection des données en général. Pour parer à ce risque, une coopération efficace et étroite sous la forme d'une entraide administrative internationale est indispensable. L'accent est mis sur l'assistance mutuelle des autorités chargées de la protection des données : Dans le cadre de leurs activités de surveillance et de conseil, elles ont pour mission de garantir le respect des dispositions applicables en matière de protection des données, y compris dans un contexte transfrontalier, et de préserver ainsi efficacement les droits des personnes concernées.
16 L'art. 55 LPD constitue la base légale permettant au PFPDT de collaborer avec les autorités étrangères de protection des données et d'échanger des informations et des données personnelles dans le cadre de ses activités de surveillance. Cela permet au PFPDT d'exercer son activité de surveillance également dans le cas de traitements transfrontaliers de données par des organes fédéraux et des personnes privées et ainsi de remplir ses tâches légales. Dans le cadre de sa surveillance et de son conseil en matière de traitements transfrontaliers de données par des organes fédéraux et des personnes privées, il peut ainsi, si nécessaire, prendre contact avec l'autorité de protection des données de l'État destinataire concerné. Cela s'avère notamment utile lorsqu'il doit, faute de connaissances spécialisées sur place, recourir aux connaissances et aux informations d'une autorité étrangère de protection des données afin d'évaluer dans quelle mesure les exigences en matière de protection des données sont respectées lors de l'échange de données.
17 La coopération internationale sous forme d'entraide administrative sert toujours à préserver la souveraineté. En vertu de la souveraineté territoriale prévue par le droit international public, un État dispose en principe d'une souveraineté exclusive sur son propre territoire. Les autres États doivent respecter cette souveraineté. Les autorités d'un État étranger ne peuvent donc pas effectuer d'actes officiels sur le territoire d'un autre État sans le consentement de celui-ci. Elles n'ont donc pas non plus d'accès direct aux données et informations qui se trouvent sur le territoire étranger. L'entraide administrative permet de surmonter cette barrière souveraine dans le cadre d'une procédure ordonnée, dans laquelle le PFPDT, qui dispose des données et informations nécessaires, peut fournir une assistance administrative aux autorités étrangères chargées de la protection des données. Les autorités étrangères chargées de la protection des données peuvent ainsi être renvoyées à la voie de l'entraide administrative. Cela permet en fin de compte d'empêcher les autorités étrangères chargées de la protection des données de prendre de leur propre chef des mesures (d'enquête) extraterritoriales. Cela vaut bien sûr également dans le cas inverse, lorsque le PFPDT a besoin d'informations et de données personnelles dont disposent les autorités étrangères chargées de la protection des données.
D. Délimitations
1. Assistance administrative nationale
18 À la différence de l'assistance administrative nationale, l'assistance administrative internationale comprend l'aide fournie à des autorités étrangères ou internationales ou celle que le PFPDT reçoit d'autorités étrangères ou internationales. Elle concerne donc l'assistance transfrontalière entre le PFPDT et les autorités étrangères chargées de la protection des données. Il s'agit toujours d'une assistance en faveur d'un autre État. L'entraide administrative nationale entre le PFPDT et d'autres autorités fédérales ou cantonales dans le cadre de l'accomplissement de leurs tâches légales respectives, qui est régie par l'art. 54 LPD, n'est pas concernée.
2. Distinction par rapport à l'entraide judiciaire
19 La distinction entre entraide administrative et entraide judiciaire dans le contexte international est difficile à établir. Alors qu'il existe au moins des critères de délimitation dans le contexte national – même si, là aussi, une distinction nette n'est pas toujours facile à établir –, la situation juridique est encore plus confuse dans le contexte international. Souvent, les deux institutions juridiques ne sont plus distinguées, mais font l'objet d'un traitement commun. Une partie de la doctrine demande donc que l'entraide administrative et l'entraide judiciaire soient regroupées sur le plan dogmatique. Certaines lois regroupent alors les deux types d'assistance dans le même paragraphe.
20 À notre avis, la distinction est toutefois essentielle en raison des effets juridiques qui y sont liés. Tant le choix du droit applicable (base juridique) – et donc les règles de procédure et de recours – que les conditions et les limites respectives des mesures peuvent varier : Ainsi, l'entraide judiciaire internationale en matière pénale peut, dans des circonstances particulières, relever du champ d'application de l'art. 6 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH ; RS 0.101). Un recours devant le Tribunal fédéral n'est recevable que dans le cas de l'entraide judiciaire internationale et de l'assistance administrative en matière fiscale, qui ont généralement un but répressif.
21 Les critères suivants, qui peuvent parfois être combinés, peuvent en principe être utilisés pour déterminer s'il s'agit d'une entraide administrative ou judiciaire :
Nature ou fonction des autorités concernées : l'entraide judiciaire internationale s'effectue entre les autorités judiciaires. L'entraide administrative, en revanche, est fournie entre les autorités administratives de l'État requérant et de l'État requis.
Nature de la procédure soutenue : d'un point de vue procédural, il y a entraide judiciaire internationale lorsqu'une aide est accordée à une autorité étrangère ou internationale dans le cadre d'une procédure pénale, administrative ou civile. Elle est généralement fournie dans le cadre d'une procédure externe à l'administration (c'est-à-dire judiciaire). L'assistance administrative internationale, en revanche, désigne l'assistance fournie entre les autorités de l'État requérant et de l'État requis en dehors d'une procédure (judiciaire) régie par le droit procédural, dans le but d'accomplir des tâches légales.
22 Étant donné que la coopération au sens de l'art. 55 LPD consiste en une assistance transfrontalière entre autorités administratives (PFPDT et autorités étrangères de protection des données) et que celle-ci est fournie en dehors d'une procédure régie par le droit procédural, la coopération administrative prend la forme d'une assistance administrative. L'art. 55 LPD ne régit donc que l'assistance administrative internationale ; la LPD ne régit en revanche pas l'entraide judiciaire internationale.
3. Simple coopération administrative
23 Toutes les aides transfrontalières entre le PFPDT et les autorités étrangères de protection des données qui sont fournies en dehors d'une procédure régie par le droit procédural ne constituent pas une assistance administrative. L'assistance administrative transfrontalière concerne toujours des personnes déterminées ou déterminables et s'inscrit donc dans le cadre d'un cas concret. Ainsi, l'al. 1 se réfère clairement à des cas individuels concrets dans lesquels des informations et des données personnelles sont communiquées à une autorité de protection des données afin que celle-ci puisse remplir son mandat légal.
24 La coopération administrative à des fins d'échange général d'informations et d'expériences (par exemple sur les bonnes pratiques) relève de la simple coopération administrative. À cette fin, le PFPDT peut établir des contacts avec des autorités étrangères de protection des données, indépendamment d'un cas particulier et de l'activité de surveillance concrète qui y est liée. Cela permet d'échanger sur des questions pertinentes qui se posent dans le cadre du traitement transfrontalier des données et d'élaborer des prises de position ou des recommandations. La simple coopération administrative peut se fonder sur l'art. 58, al. 1, let. b, LPD.
E. Formes de coopération
25 En l'absence d'une loi générale sur l'entraide administrative internationale, les différentes dispositions relatives à l'entraide administrative sont dispersées dans les différentes lois spécialisées et les bases conventionnelles internationales. Elles présentent une grande hétérogénéité, ce qui rend difficile toute catégorisation globale. L'approche sectorielle permet en revanche de tenir compte de manière ciblée des particularités du domaine concerné ainsi que des intérêts et des besoins des autorités impliquées et des personnes concernées. Le contenu et l'étendue de la coopération formelle avec les autorités étrangères de protection des données dans le domaine de la LPD sont donc principalement régis par l'art. 55 LPD. Les formes de coopération doivent toutefois encore être concrétisées dans le détail.
1. Formes de coopération
26 L'art. 55 LPD ne précise pas la forme que doit prendre la coopération. La disposition stipule simplement que le PFPDT peut échanger des informations ou des données personnelles avec des autorités étrangères afin de remplir leurs tâches respectives prévues par la loi dans le domaine de la protection des données. Il appartient donc au PFPDT de décider de l'intensité et de la forme de la coopération avec les autorités étrangères de protection des données.
27 Le libellé de l'art. 55 LPD, selon lequel le PFPDT peut échanger des informations et des données personnelles avec les autorités étrangères, montre clairement que l'assistance administrative en matière d'information est au cœur des échanges avec les autorités étrangères de protection des données. Celle-ci comprend la communication de données factuelles et personnelles dans le but d'aider le PFPDT et, inversement, par le PFPDT à d'autres autorités étrangères de protection des données afin qu'elles puissent remplir leurs tâches légales respectives. Cette forme de coopération peut être liée à l'enquête sur des violations présumées des dispositions des lois respectives sur la protection des données.
28 L'art. 55 LPD ne se prononce pas expressément sur la possibilité de mener des enquêtes coordonnées. Néanmoins, le PFPDT est habilité, en vertu de l'art. 55 LPD, à s'engager dans de telles formes de coopération. Le libellé de l'art. 55 LPD peut tout à fait être interprété comme signifiant que la conduite d'enquêtes coordonnées fait partie de l'échange d'informations et de données personnelles. Enfin, la coopération dans le cadre d'enquêtes concertées repose en fin de compte sur un échange d'informations. Les documents ne contiennent en outre aucune indication laissant supposer que les formes de coopération se limitent à l'échange d'informations. L'art. 55 LPD laisse au contraire ouvertes les formes de coopération, ce qui plaide en faveur d'une interprétation aussi large que possible de l'entraide administrative internationale. Compte tenu de l'objectif de l'entraide administrative internationale, qui est de garantir le plus efficacement possible le respect des règles de protection des données dans un contexte transfrontalier, il va de soi que toutes les formes de coopération – pour autant que les conditions énoncées à l'al. 1 soient remplies – relèvent de l'entraide administrative internationale. En conclusion, la fourniture d'une aide à l'enquête et la conduite d'enquêtes concertées sont également couvertes par l'art. 55 LPD.
29 Il n'existe actuellement aucune base juridique spécifique pour la reconnaissance et l'exécution des décisions des autorités étrangères chargées de la protection des données. Même les mesures d'assistance administrative accordées par le PFPDT en vertu de l'art. 55 LPD ne vont pas jusqu'à couvrir l'exécution en Suisse des décisions des autorités étrangères chargées de la protection des données, notamment les sanctions. Compte tenu de la divergence entre les normes pénales de la LPD et du DSGVO, l'exécution des sanctions prononcées par les autorités étrangères chargées de la protection des données échouerait souvent en raison de l'exigence de la double incrimination. Cela revêt une importance particulière dans la mesure où les responsables du traitement et les sous-traitants en Suisse peuvent être soumis au champ d'application territorial du DSGVO et donc aux sanctions prévues par celui-ci.
2. Coopération multilatérale
30 Le caractère de plus en plus transfrontalier du traitement des données entraîne un renforcement de la surveillance transfrontalière, qui se traduit par une mise en réseau des autorités de surveillance, à laquelle participe également le PFPDT. Ainsi, l'échange général d'informations transfrontalières, qui vise notamment à favoriser l'élaboration de normes transfrontalières, a souvent lieu au sein d'instances multilatérales et de réseaux internationaux. Ceux-ci présentent un degré d'institutionnalisation plus ou moins élevé et constituent une forme de simple coopération administrative (cf. N. 23 s.).
3. Traités internationaux
31 Au-delà de l'art. 55 LPD, le Conseil fédéral est libre de réglementer spécifiquement la coopération entre le PFPDT et les autorités étrangères de protection des données dans le cadre de traités internationaux. Le PFPDT aurait préféré que l'art. 55 LPD soit complété de manière à lui permettre de réglementer de manière autonome les modalités de la coopération avec les autorités étrangères dans le cadre d'un accord. L'art. 67, let. a, LPD prévoit toutefois que le Conseil fédéral peut conclure de manière autonome des traités internationaux relatifs à la coopération internationale entre autorités de protection des données.
32 L'art. 55 LPD constitue déjà une base suffisante pour permettre l'échange de données personnelles et, par exemple, de secrets professionnels, commerciaux et de fabrication, sous réserve des conditions prévues à l'al. 1. Un traité international n'est pas nécessaire à cet effet. Un tel traité est toutefois utile lorsqu'une coopération à long terme exige un degré de coopération plus élevé et que celle-ci doit être formalisée. La délimitation des compétences des différentes autorités de protection des données peut également être réglée dans le cadre d'un traité international. Enfin, un traité international est nécessaire si l'on veut établir des droits et des obligations pour les autorités de protection des données qui vont au-delà de l'art. 55 LPD. On peut penser, en dehors du champ d'application de la Convention 108+ et de la directive (UE) 2016/680, à une obligation d'assistance administrative ou à la réglementation de la communication à des tiers (voir N. 8 et N. 10).
F. Limites
33 Dans le cadre de l'entraide administrative internationale, il faut toujours tenir compte du fait que deux relations juridiques sont concernées. Celles-ci peuvent parfois être en conflit l'une avec l'autre. D'une part, il existe une relation de droit international entre l'État requérant et l'État requis. Cette relation est principalement régie par les conditions préalables à la fourniture d'une assistance administrative, telles que prévues à l'al. 1. La question centrale est de savoir dans quelle mesure la coopération avec l'État requérant est autorisée en matière de protection des données sur la base de l'al. 1. D'autre part, il existe également une relation juridique entre l'État requis et la personne concernée par les informations ou les données personnelles transmises dans le cadre de l'entraide administrative. Dans cette relation, le droit constitutionnel à la protection de la sphère privée s'oppose à la tâche de l'État de garantir le respect des dispositions en matière de protection des données dans un contexte transfrontalier, dans la mesure où des données personnelles sont concernées. Pour ces deux relations, la protection des droits fondamentaux et le droit en matière de protection des données imposent certaines exigences qui doivent être respectées lors de la communication transfrontalière d'informations et de données personnelles.
34 L'art. 13, al. 2, de la Constitution fédérale de la Confédération suisse (Cst. ; RS 101) protège les données personnelles et les données à caractère personnel. L'autodétermination informelle garantit qu'une personne peut décider de manière autonome à qui et quand elle divulgue des informations sur sa vie privée et si et à quelles fins des informations la concernant peuvent être traitées. Le champ d'application matériel n'est donc pas seulement concerné lorsqu'un traitement de données personnelles est effectué de manière abusive. Un traitement sans le consentement des personnes concernées suffit déjà à cet effet. La communication de données personnelles à des tiers est donc également couverte par l'art. 13, al. 2, Cst. La communication de données personnelles à une autorité étrangère de protection des données constitue donc généralement une atteinte aux droits fondamentaux des personnes concernées.
35 Les atteintes aux droits fondamentaux protégés sont admissibles sous certaines conditions (cf. art. 36 Cst.). L'art. 55 LPD constitue une base légale suffisante pour la communication de données personnelles à des autorités étrangères chargées de la protection des données. Le respect le plus efficace possible des règles de protection des données dans un contexte transfrontalier relève également d'un intérêt public important, qui découle en fin de compte des exigences de protection de l'art. 13, al. 2, Cst. La communication de données personnelles à des autorités étrangères chargées de la protection des données doit donc être proportionnée. Les éléments individuels des principes d'entraide administrative inscrits à l'art. 55, al. 1, LPD – principes de spécialité et de confidentialité (cf. N. 54 ss et N. 60 ss), le principe de la longue main (cf. N. 65 ss) ainsi que la possibilité de subordonner la communication de données personnelles à des conditions ou de les anonymiser (cf. N 68 s.) – contribuent indirectement à la proportionnalité de la communication dans ce contexte. Néanmoins, le PFPDT doit vérifier, pour chaque communication de données personnelles à des a.utorités étrangères de protection des données, dans quelle mesure la communication est proportionnée dans le cas concret. Cela amène Kerboas/Lennman à faire remarquer qu'un tel examen de proportionnalité nécessite beaucoup de temps et de ressources dans chaque cas particulier, mais ne donne parfois que des résultats limités.
36 L'entraide administrative internationale entre le PFPDT et les autorités étrangères de protection des données relève également du champ d'application de la LPD. Il en résulte en premier lieu que le PFPDT ne peut communiquer des données personnelles que si, conformément à l'art. 16 LPD, l'État de l'autorité de protection des données requérante offre un niveau de protection adéquat. En ce qui concerne les parties contractantes à la Convention 108+, on peut généralement partir du principe qu'il existe un niveau de protection adéquat, sous réserve de circonstances particulières. Les motifs prévus à l'art. 36, al. 6, LPD s'opposent également à la communication de données personnelles à l'étranger par des organes fédéraux, et donc par le PFPDT. Le PFPDT refuse donc la communication dans le cadre de l'entraide administrative transfrontalière ou la limite lorsque cela est nécessaire pour des raisons d'intérêt public majeur, pour des intérêts manifestement dignes de protection de la personne concernée (let. a) ou en raison de prescriptions particulières en matière de protection des données (let. b). En ce qui concerne la possibilité de refuser ou de limiter la communication en raison d'obligations légales de garder le secret, il convient de se référer aux explications suivantes (cf. N. 64 et N. 77).
Les intérêts publics qui s'opposent à la communication peuvent être la sécurité militaire, la sûreté de l'État ou les affaires policières. De tels intérêts existent également lorsque la communication est susceptible de compromettre la position dans des négociations, le processus de formation de l'opinion et de la volonté de l'organe public, l'efficacité de mesures d'enquête, de sécurité ou de surveillance ou les relations avec l'étranger. Les intérêts publics peuvent également inclure des intérêts économiques, monétaires ou de politique monétaire. Si de tels intérêts sont concernés et s'il est probable que la divulgation causerait un préjudice important, celle-ci doit être refusée.
En ce qui concerne l'intérêt digne de protection de la personne concernée, il convient en premier lieu de prendre en considération la mesure dans laquelle la communication des informations porte atteinte de manière intolérable à la protection de la sphère privée.
G. Protection juridique
37 L'entraide administrative internationale est fournie entre le PFPDT et une autorité étrangère de protection des données. La communication d'informations et de données personnelles peut dans un premier temps être simplement qualifiée d'« [...] acte interne à l'autorité [...] » ou être attribuée à l'acte administratif effectif. Le fait que l'acte administratif effectif affecte la situation juridique de particuliers constitue alors un effet indirect que l'entraide administrative internationale peut avoir sur les particuliers. L'art. 55 LPD ne précise pas si les autorités sont tenues de fournir une assistance administrative pour la mise en œuvre d'une procédure administrative.
38 Une protection juridique efficace présuppose toutefois un objet de recours approprié et donc une décision. Dans la mesure où l'entraide administrative en matière d'information est un acte administratif sans décision au sens d'un acte réel du PFPDT, il faut donc d'abord obtenir une décision de constatation fondée sur l'art. 25a de la loi fédérale sur la procédure administrative (loi sur la procédure administrative, PA ; RS 172.021). Dans ces cas, la personne concernée n'aura toutefois souvent pas connaissance de l'acte d'entraide administrative, raison pour laquelle elle ne pourra de facto pas emprunter la voie prévue à l'art. 25a PA. Dans le contexte d'une protection juridique efficace, la question centrale est de savoir dans quels cas il existe un droit à la délivrance d'une décision. Seule la décision ouvre la possibilité de recourir à la protection juridique administrative.
39 La question de savoir si la communication d'informations et de données personnelles par le PFPDT nécessite une décision est régie par les règles générales de la PA. La LPD ne prévoit aucune dérogation légale spéciale à cet égard. La décision du PFPDT de fournir une assistance administrative doit être considérée comme une décision lorsque des intérêts dignes de protection de personnes privées sont concernés. L'intérêt digne de protection ne présuppose pas un intérêt juridiquement protégé. Des intérêts purement factuels, économiques ou idéaux suffisent, mais ceux-ci doivent toujours apparaître comme dignes de protection.
40 La notion d'intérêt digne de protection s'appuie sur la qualité de partie au sens de l'art. 6 PA, qui est lui-même lié à l'art. 48 PA. Au sens de la qualité de partie, toute personne a un intérêt à une décision qui, en cas d'adoption d'une décision, serait légitimée à la contester. La condition préalable est que la personne soit particulièrement concernée. Elle doit avoir un lien particulier avec l'objet qui doit être réglé dans la décision et donc être plus concernée que le grand public. Une telle implication est donnée pour Wyss lorsque des actes d'entraide administrative déterminent de manière durable et significative des droits et des obligations. Il en déduit que dans les cas où la situation juridique est modifiée de manière irréversible, une décision doit être rendue. À l'inverse, il convient de noter que la transmission de données personnelles ou d'informations ne constitue souvent « qu' » une mesure préparatoire en vue de l'adoption ultérieure d'une décision. L'ouverture d'une procédure administrative ne constitue pas en soi une décision. Dans le domaine de l'entraide administrative internationale, il convient toutefois de souligner que la transmission de données à l'étranger peut en soi constituer une atteinte aux intérêts dignes de protection des personnes concernées, ce que confirment les art. 16 ss LPD.
41 De manière plus générale, on peut retenir que la communication de données personnelles constitue dans chaque cas une atteinte au droit à l'autodétermination en matière d'information. Il y a donc toujours un intérêt suffisant. Si le PFPDT conclut que les conditions requises pour l'entraide administrative au sens de l'al. 1 sont remplies, il doit engager une procédure en cas de communication de données personnelles et statuer sur la communication des données personnelles à une autorité étrangère de protection des données dans une décision au sens des art. 5 et 34 s. PA. La qualité de partie à la procédure permet à la personne concernée d'exercer les droits qui lui sont accordés en vertu de la PA : elle a ainsi notamment le droit d'être entendue, le droit de consulter le dossier, le droit d'être représentée ou encore le droit de recevoir la décision. Enfin, la participation à la procédure administrative est également étroitement liée à la légitimation à recourir.
42 La divulgation de secrets professionnels, d'affaires ou de fabrication constitue également un cas particulier. L'al. 3 oblige le PFPDT à donner aux personnes concernées la possibilité de s'exprimer avant de communiquer à une autorité étrangère de protection des données des informations susceptibles de contenir des secrets professionnels, d'affaires ou de fabrication. Cela découle déjà du droit d'être entendu prévu à l'art. 29 PA. L'art. 55, al. 3, LPD n'apporte donc aucune valeur ajoutée notable sur le plan procédural, mais sert à clarifier la situation.
43 La participation des personnes concernées à la procédure administrative doit avoir lieu à un moment tel qu'elles puissent exercer efficacement leurs droits en tant que parties. En d'autres termes, la protection juridique doit être assurée en temps utile. Avant de communiquer les informations ou les données personnelles à l'autorité de protection des données requérante, le PFPDT doit informer les personnes concernées de la communication prévue : une fois que les informations ou les données personnelles ont été communiquées à l'autorité de protection des données requérante, la protection juridique nationale ne peut plus s'appliquer efficacement. Le traitement ultérieur des informations ou des données personnelles est déterminé en dehors de l'ordre juridique suisse. Comme l'utilisation des informations et des données personnelles à l'étranger ne peut être empêchée, la communication à l'autorité de protection des données requérante crée une situation irréversible. Le Tribunal fédéral l'a également reconnu dans le contexte de l'assistance administrative internationale en matière fiscale : « Une fois que les données ont été transmises à l'étranger, il n'est généralement plus possible d'empêcher leur utilisation. »
44 Avec le PFPDT, une autorité fédérale statue sur la coopération avec les autorités étrangères de protection des données et sur la communication d'informations et de données personnelles à celles-ci. Si la décision de communication est rendue sous la forme d'une décision au sens de l'art. 5 PA, la procédure de recours est également régie par la PA. Conformément à l'art. 44 PA, les décisions peuvent faire l'objet d'un recours devant le Tribunal administratif fédéral. Les décisions relatives à l'entraide administrative internationale sont en principe exclues du recours en matière de droit public devant le Tribunal fédéral. Cela permet de décharger le Tribunal fédéral et de permettre une procédure rapide grâce à la réduction du nombre d'instances. En conséquence, le Tribunal administratif fédéral statue en dernière instance sur l'entraide administrative internationale dans le champ d'application de la LPD. Il est toutefois concevable que, pour d'autres questions relevant de la compétence du Tribunal fédéral, il faille statuer à titre préjudiciel sur la recevabilité de l'entraide administrative internationale.
II. Conditions (al. 1)
A. Généralités
45 L'art. 55, al. 1, LPD régit les conditions dans lesquelles le PFPDT peut échanger des informations et des données personnelles avec les autorités étrangères afin de remplir leurs tâches légales respectives dans le domaine de la protection des données. Ces conditions constituent des éléments caractéristiques de l'entraide administrative transfrontalière. Elles ont été élaborées dans le contexte de l'entraide judiciaire et sont utilisées dans le domaine de l'entraide administrative.
1. Autorités compétentes
46 L'art. 55, al. 1, LPD vise les autorités étrangères qui sont compétentes en matière de protection des données dans leur pays. En d'autres termes, l'échange d'informations et de données personnelles n'a lieu qu'avec les autorités étrangères chargées de la protection des données. La LPD ne contient pas d'exigences plus précises concernant la qualification en tant qu'autorité étrangère chargée de la protection des données. Pour comprendre cette notion, on peut, à notre avis, se référer à l'autorité de contrôle telle qu'elle est décrite à l'art. 15 de la Convention 108+. Cette disposition oblige les parties contractantes à créer une ou plusieurs autorités publiques de contrôle et de surveillance indépendantes et impartiales qui contribuent à la protection des personnes physiques lors du traitement de leurs données à caractère personnel. Ces autorités peuvent être un seul délégué à la protection des données ou un collège. Outre son indépendance, il est essentiel que l'autorité de contrôle dispose d'instruments de surveillance et de contrôle efficaces. L'autorité doit donc également disposer de compétences d'enquête.
47 Il convient en outre de distinguer entre les organes chargés du traitement des données dans les différents États – y compris les autorités de contrôle dans certains secteurs économiques ou branches – et les autorités de contrôle spécifiques dans le domaine de la protection des données. La coopération transfrontalière dans le domaine de la protection des données s'effectue principalement au niveau des organes traitant des données. Dans le cadre de l'accomplissement de leurs tâches légales quotidiennes, ceux-ci doivent évaluer si l'échange d'informations et de données personnelles avec un organisme étranger est autorisé. Pour les organes traitant des données, la coopération est régie par la loi applicable en la matière. Les art. 16 et 36 LPD doivent également être respectés dans tous les cas. Le PFPDT est quant à lui chargé de la surveillance de ces organes traitant des données, pour laquelle il peut recourir à l'entraide administrative internationale prévue à l'art. 55 LPD.
2. Étendue et contenu
48 L'échange d'informations et de données personnelles concerne toutes les tâches légales du PFPDT ou de l'autorité étrangère de protection des données. L'étendue des tâches légales découle de la législation nationale et la licéité de l'échange est déterminée par la demande, qui doit exposer dans quelle mesure les informations ou les données personnelles sont nécessaires à l'accomplissement des tâches légales. Les tâches légales du PFPDT sont énumérées au chapitre 7 de la LPD. Pour répondre aux demandes d'entraide administrative étrangères, le PFPDT peut accomplir tous les actes auxquels il est habilité en vertu des dispositions de la LPD applicables à son activité.
49 Outre des informations, le PFPDT peut également échanger des données personnelles au sens de l'art. 5, let. a, LPD. Le PFPDT peut donc communiquer toutes les informations qui se rapportent à une personne physique identifiée ou identifiable.
3. Nature juridique
50 L'art. 55 LPD ne contient aucune obligation d'assistance administrative transfrontalière. Il autorise simplement le PFPDT à fournir une assistance administrative ou à demander une assistance administrative dans les conditions prévues à l'al. 1. Toutefois, dans les relations avec les autorités étrangères de protection des données qui sont parties à la Convention 108+, il convient de respecter l'obligation de fournir une assistance administrative prévue par la convention et les motifs de refus (cf. N. 8).
B. Conditions de recevabilité
51 Pour que le PFPDT puisse échanger des informations et des données personnelles avec les autorités étrangères de protection des données, les cinq conditions suivantes doivent être remplies de manière cumulative, conformément à l'art. 55, al. 1, LPD. Dans la pratique, il est difficile d'évaluer de manière définitive dans quelle mesure les différentes conditions sont remplies. Dans la pratique, il convient donc de consigner par écrit les conditions requises dans le cadre de l'octroi de l'assistance administrative et de les communiquer à l'autorité étrangère de protection des données requérante.
1. Réciprocité (let. a)
52 L'art. 55, al. 1, let. a, LPD prévoit que la réciprocité de l'entraide administrative doit être garantie entre la Suisse et l'État étranger. La réciprocité est un élément caractéristique de l'entraide administrative. Par conséquent, une autorité de protection des données requérante ne peut demander une entraide administrative sous forme d'informations et de données personnelles que si elle est elle-même disposée à accorder une entraide administrative.
53 Une telle assistance administrative est garantie dans les relations avec les parties contractantes à la Convention 108+ ainsi qu'avec les États membres de l'UE sur la base de la directive (UE) 2016/680. Dans les relations avec d'autres autorités étrangères de protection des données, la réciprocité est garantie de manière contraignante, pour autant qu'un traité international prévoie l'assistance administrative avec réciprocité. Le Conseil fédéral peut conclure de tels traités internationaux de manière indépendante, en vertu de l'art. 67, let. a, LPD. En l'absence de base conventionnelle internationale, le PFPDT doit obtenir l'assurance de la réciprocité au cas par cas, et il ne peut donner suite à la demande d'assistance administrative que sur la base d'une telle assurance.
2. Principe de spécialité (let. b)
54 L'art. 55, al. 1, let. b, LPD est l'expression du principe de spécialité. Le principe de spécialité ou le principe de limitation de la finalité est un principe traditionnel du droit international public en matière d'entraide administrative et judiciaire internationale, qui découle du droit de l'extradition. Il est en outre inscrit à l'art. 19 de la Convention 108+. Le Tribunal fédéral reconnaît à ce principe – du moins dans le domaine du droit de l'extradition – le caractère d'une règle de droit international coutumier. En matière d'entraide administrative, ce principe est toutefois également inscrit dans de nombreuses lois fédérales.
55 Selon ce principe, les informations et les données personnelles échangées ne peuvent être utilisées par l'autorité requérante que pour la procédure de protection des données qui est à la base de la demande d'entraide administrative et pour laquelle les informations ou les données personnelles ont été transmises. Une utilisation ultérieure n'est autorisée que si les lois des deux États ou un traité international prévoient une telle possibilité et si l'autorité requise qui a fourni les informations ou les données personnelles autorise cette utilisation ultérieure dans le cas concret. Pour une utilisation ultérieure et parallèle des informations et des données personnelles dans une éventuelle procédure pénale, les principes de l'entraide judiciaire internationale en matière pénale doivent être respectés.
56 Le principe de spécialité sert de barrière qui protège en premier lieu la souveraineté de l'État requis. Dans le même temps, la limitation de la finalité sert également à renforcer les droits de la personnalité des personnes concernées et vise à garantir une utilisation proportionnée des informations et des données personnelles. La limitation de la finalité interdit toute réutilisation illimitée par l'État requérant.
57 Outre sa fonction de barrière, le principe de spécialité sert également de condition d'admissibilité pour la communication d'informations et de données personnelles : l'autorité de protection des données requérante doit offrir des garanties suffisantes qu'elle n'utilisera les informations ou les données personnelles qu'aux fins pour lesquelles elles ont été transmises par l'autorité requise. Se fondant sur le principe de bonne foi en droit international public, le Tribunal fédéral a jusqu'à présent estimé que le respect du principe de spécialité par les États pouvait être considéré comme allant de soi. Ce n'est qu'en cas d'indices concrets d'une utilisation abusive dans l'État requérant qu'il convient de vérifier le respect de ce principe. Au vu de cette jurisprudence, le PFPDT n'a pas à obtenir de garanties lorsque l'entraide administrative repose sur un traité international qui contient le principe de spécialité. En vertu du principe de bonne foi prévu à l'art. 26 de la Convention de Vienne sur le droit des traités (RS 0.111), les deux parties contractantes sont directement tenues de respecter le principe de spécialité. En revanche, si l'entraide administrative est fondée exclusivement sur l'art. 55, al. 1, let. b, LPD, le PFPDT doit, dans le cadre de l'entraide administrative, signaler expressément à l'autorité étrangère de protection des données requérante l'obligation de (ré)utilisation liée au principe de spécialité et lui rappeler les limites dans lesquelles les informations ou les données personnelles transmises peuvent être utilisées.
58 Au sens d'une condition de recevabilité, la limitation de la finalité découlant du principe de spécialité exige que l'autorité de protection des données requérante indique la finalité pour laquelle les informations ou les données personnelles demandées sont nécessaires. Il résulte donc de ce principe une obligation de justification.
59 La contrôlabilité et l'applicabilité de la limitation de la finalité sont toutefois limitées. Si une autorité étrangère de protection des données enfreint le principe de spécialité, le PFPDT peut refuser les futures demandes d'entraide administrative de cette autorité au motif qu'il n'existe pas de garantie suffisante quant au respect du principe de spécialité. Indépendamment de cela, il faut partir du principe que l'application doit régulièrement être assurée par la personne concernée et par le biais de la protection des droits individuels. Cela s'applique lorsque les données personnelles de la personne concernée sont effectivement utilisées dans le cadre d'une procédure ultérieure, c'est-à-dire dans une procédure qui ne repose pas sur la demande d'entraide administrative initiale et pour laquelle les données personnelles n'ont pas été transmises. Dans un tel cas, la personne concernée devrait dénoncer la transmission illicite dans le cadre de la procédure en question. La possibilité d'exercer ce droit dépend notamment du droit procédural applicable (éventuellement étranger).
3. Principe de confidentialité (let. c)
60 L'art. 55, al. 1, let. c, LPD vise à préserver des intérêts particuliers en matière de confidentialité. Il exige ainsi que l'autorité requérante s'engage à protéger ces secrets. La portée et le contenu des secrets à préserver découlent des dispositions pénales pertinentes et de la jurisprudence y afférente. Pour le secret professionnel, il convient de se référer à l'art. 321 CP, pour le secret de fabrication et le secret d'affaires, aux art. 162 CP et 273 CP.
61 Sont notamment soumis au secret professionnel les ecclésiastiques, les avocats, les médecins, les dentistes, les pharmaciens, les sages-femmes et les psychologues.
62 La notion de secret est généralement comprise au sens large dans le contexte des secrets d'affaires ; il n'existe pas de définition légale. Selon la jurisprudence du Tribunal fédéral, ne sont pas considérés comme des secrets les faits manifestes ou accessibles à tous (relative méconnaissance) dont la personne qui détient le secret a un intérêt légitime à ce qu'ils restent secrets (intérêt objectif à la confidentialité) et qu'elle souhaite garder secrets pour des raisons légitimes (intérêt subjectif à la confidentialité). Les secrets d'affaires sont des informations qui pourraient nuire au succès commercial de l'entreprise ou fausser la concurrence si elles étaient portées à la connaissance d'entreprises concurrentes. Sont donc considérés comme secrets d'affaires tous les faits techniques, organisationnels, commerciaux et financiers de la vie économique qui peuvent influencer le succès commercial du détenteur du secret.
63 Les secrets de fabrication doivent être traités de la même manière que les secrets d'affaires : ils concernent en particulier l'aspect technique de la production, c'est-à-dire les connaissances qui contiennent des instructions pour agir sur le plan technique. Il s'agit donc de connaissances utilisées dans la fabrication de produits et qui ne sont pas reconnaissables sur le produit vendu et peuvent donc être considérées comme secrètes. Il s'agit par exemple d'informations sur les procédés et les instructions de fabrication, de production ou de construction, ainsi que des résultats de recherche, des plans de production et de construction ou des sources d'approvisionnement.
64 Les obligations légales de confidentialité ne s'opposent pas en soi à la communication d'informations aux autorités étrangères chargées de la protection des données. L'art. 55, al. 1, let. c, LPD précise que ces informations peuvent être communiquées à condition que l'autorité de protection des données requérante respecte le secret professionnel ainsi que les secrets d'affaires et de fabrication (cf. N. 77 ss) ; l'art. 55 LPD autorise donc une dérogation à l'obligation légale de confidentialité. L'art. 55, al. 3, LPD oblige toutefois le PFPDT à demander l'avis des détenteurs du secret concernés avant de communiquer des informations susceptibles de contenir un secret professionnel, d'entreprise ou de fabrication (cf. N. 78). Il apparaît ainsi clairement qu'il convient dans chaque cas de mettre en balance l'intérêt à communiquer l'information et l'intérêt à la confidentialité.
4. Principe de la longue main (let. d)
65 Selon l'art. 55, al. 1, let. d, LPD, les informations et les données personnelles ne peuvent être communiquées à des tiers, y compris à d'autres autorités, que si l'autorité de protection des données requise a préalablement autorisé cette communication. Par tiers, on entend en premier lieu les autorités tierces de l'État requérant qui ne participent pas à l'échange entre le PFPDT et l'autorité étrangère de protection des données.
66 L'obligation d'autorisation protège les personnes concernées contre une divulgation ultérieure des informations ou des données personnelles les concernant. Elle garantit en outre que le PFPDT conserve le contrôle des informations et des données personnelles. En cas d'intérêt particulier, la personne concernée doit être entendue avant que la communication ne soit autorisée ; les autres droits des parties doivent également être respectés. Cela vaut en particulier pour la communication de données personnelles. Pour le reste, il est renvoyé aux considérations relatives à la protection juridique (cf. N. 37 ss).
67 Le PFPDT doit obtenir une garantie correspondante de la part de l'autorité étrangère de protection des données. Il peut renoncer à une telle garantie si l'interdiction de la communication à des tiers est déjà efficacement garantie par une autre base légale, telle qu'un traité international.
5. Respect des conditions et des restrictions (let. e)
68 En vertu de l'art. 55, al. 1, let. e, LPD, l'autorité requérante doit respecter les conditions et restrictions imposées par l'autorité qui lui a transmis les informations et les données personnelles. Cette disposition autorise la communication d'informations et de données personnelles dans les cas où, sans la possibilité d'imposer des conditions ou des restrictions telles que l'anonymisation, une demande d'entraide administrative devrait être rejetée.
69 Étant donné que le PFPDT est lié par l'art. 36, al. 6, LPD dans le cadre de l'entraide administrative et que cette disposition subordonne déjà la communication de données personnelles à la possibilité de conditions et de restrictions, la let. e constitue pour l'essentiel une répétition. La disposition précise toutefois que, même dans le cadre de l'entraide administrative internationale, le PFPDT doit fonder la communication de données personnelles sur une pondération au cas par cas entre l'intérêt à l'entraide administrative et les intérêts contraires au sens de l'art. 36, al. 6, LPD.
III. Communication de données personnelles (al. 2)
70 L'art. 55, al. 2, LPD définit les informations que le PFPDT est autorisé à communiquer à l'autorité étrangère de protection des données afin de justifier sa demande d'entraide administrative ou de répondre à la demande d'une autorité étrangère de protection des données. La liste n'est pas exhaustive, comme l'indique le terme « en particulier » dans la phrase introductive. En d'autres termes, le PFPDT peut également fournir d'autres informations pour justifier sa demande d'entraide administrative ou pour répondre à une demande d'entraide administrative émanant d'une autorité étrangère.
71 Selon cette disposition, le PFPDT peut fournir des informations sur l'identité du responsable du traitement, du sous-traitant ou d'autres tiers impliqués (let. a) ainsi que sur les catégories de personnes concernées (let. b). La mention de catégories sert à classer les personnes dans des groupes types qui présentent certaines caractéristiques communes. Le message cite comme exemples de telles catégories notamment les « consommateurs », les « militaires » ou les « employés ».
72 Le PFPDT ne peut communiquer l'identité des personnes concernées que si celles-ci y ont consenti (let. c, ch. 1). Il y a divulgation de l'identité dès lors qu'une personne est identifiable. Cela peut résulter des données elles-mêmes. L'identité est toutefois déjà identifiable lorsqu'elle peut être déduite sans effort disproportionné du contexte des données ou en combinaison avec d'autres données.
73 La divulgation de l'identité nécessite le consentement de chaque personne concernée. Dans le cas contraire, la divulgation est interdite. Pour que le consentement soit valable, les exigences de l'art. 6, al. 6 et 7, LPD s'appliquent. Le consentement n'est donc valable que s'il est donné librement, après avoir reçu des informations adéquates, et s'il se rapporte à la communication concrète. Des informations adéquates comprennent les indications relatives à la personne responsable, à l'objectif ou au but, à la manière et à l'étendue du traitement des données, aux catégories de données traitées et à la communication des données. Le consentement n'est soumis à aucune forme particulière et n'est donc pas lié à une déclaration écrite. Toutefois, la communication de données personnelles particulièrement sensibles à des autorités étrangères chargées de la protection des données nécessite un consentement explicite. Selon le message relatif à la LPD, une déclaration de volonté est expresse « […] lorsqu'elle est faite par des mots écrits ou prononcés ou par un signe et que la volonté exprimée ressort directement des mots ou du signe utilisés. »
74 Le consentement est essentiel dans le cadre du traitement par des personnes privées, car il sert de justification à une atteinte à la personnalité. Indépendamment du consentement, le PFPDT reste toutefois le destinataire des droits fondamentaux. La communication de l'identité à des autorités étrangères chargées de la protection des données doit donc, en raison de l'atteinte à l'art. 13, al. 2, Cst. (cf. N. 34 s.), continuer à servir un intérêt public et être proportionnée pour pouvoir être justifiée. L'exigence du consentement ne constitue donc pas une justification pour le traitement des données par des organes fédéraux tels que le PFPDT, mais une barrière supplémentaire à la divulgation.
75 À titre exceptionnel, le PFPDT peut communiquer l'identité des personnes concernées lorsque cette communication est indispensable à l'accomplissement de la tâche légale du PFPDT ou de l'autorité étrangère de protection des données (let. c, ch. 2). Cette disposition dérogatoire est formulée de manière analogue à l'art. 36, al. 2, let. a et b, LPD, qui pose de telles exigences pour l'entraide administrative nationale, pour autant qu'il n'existe pas de base légale spéciale. Le caractère indispensable signifie que la tâche ne peut être accomplie sans la communication des données.
76 En outre, le PFPDT peut fournir des informations sur les données personnelles traitées ou les catégories de données personnelles traitées (let. d), sur la finalité du traitement (let. e), sur les destinataires et les catégories de destinataires (let. f) et sur les mesures techniques et organisationnelles (let. g).
IV. Obligation d'informer et prise de position (al. 3)
77 L'art. 55, al. 3, LPD oblige le PFPDT, dans le cadre d'une procédure d'entraide administrative, à ne communiquer à une autorité étrangère de protection des données des informations susceptibles de contenir des secrets professionnels, d'affaires ou de fabrication que s'il a préalablement donné aux personnes concernées la possibilité de prendre position. Les personnes concernées peuvent être aussi bien des personnes physiques que des personnes morales. Contrairement à ce qui avait été demandé lors de la consultation, le législateur n'a pas soumis la communication de secrets d'affaires et de fabrication à l'exigence du consentement de la personne concernée.
78 Cette disposition a pour but de préserver les droits des personnes concernées qui détiennent des secrets professionnels, commerciaux ou de fabrication. À cette fin, l'al. 3 prévoit une obligation d'informer et un droit d'être entendu. Avant de communiquer à une autorité étrangère de protection des données des informations susceptibles de contenir un secret professionnel, d'affaires ou de fabrication, le PFPDT doit informer les personnes concernées qui détiennent ces secrets de la communication éventuelle. Le PFPDT est ensuite tenu de recueillir l'avis des personnes concernées. Cela leur donne la possibilité d'exposer leur point de vue au PFPDT dans une prise de position et de justifier pourquoi les informations relatives à des secrets professionnels, d'affaires ou de fabrication ne doivent pas être communiquées à l'autorité étrangère de protection des données.
79 En informant préalablement les personnes concernées et en leur donnant la possibilité de prendre position, le PFPDT contribue à la prise en compte de leurs intérêts et à la protection de leurs secrets. La prise de position doit être prise en compte dans la décision du PFPDT, mais elle n'a aucun effet contraignant quant au fond : l'al. 3 n'oblige pas le PFPDT à se conformer au contenu des prises de position des personnes concernées. Il a toutefois l'obligation de prendre connaissance des avis et de leur accorder une grande importance dans sa prise de décision. Plus les secrets professionnels, d'affaires ou de fabrication du détenteur de secrets sont concernés, plus il convient d'accorder d'importance aux avis des personnes concernées.
80 Selon Gerschwiler, les personnes concernées doivent être informées dès lors qu'il existe une certaine probabilité que des secrets professionnels, d'affaires ou de fabrication soient divulgués. Il convient d'approuver cette position. La protection des secrets professionnels, d'affaires et de fabrication ne peut être efficacement garantie que si le PFPDT n'informe pas les personnes concernées uniquement lorsqu'il est certain que des secrets protégés par le droit pénal sont concernés. Afin de pouvoir prendre efficacement en compte les intérêts des détenteurs de secrets et de les associer en temps utile à la prise de décision en leur donnant la possibilité de prendre position, il convient d'appliquer un critère généreux. Cela peut également contribuer à éviter des recours ultérieurs.
81 À titre exceptionnel, le PFPDT n'est pas tenu de demander l'avis des personnes concernées. C'est le cas lorsqu'il n'est pas possible de recueillir leur avis ou que cela impliquerait des efforts disproportionnés. Cette exception a manifestement été introduite pour des raisons pratiques et vise à empêcher que la communication des informations aux autorités étrangères de protection des données ne soit compromise lorsque l'obtention d'un avis est impossible ou ne peut se faire qu'au prix d'efforts disproportionnés. Étant donné que le PFPDT porte atteinte aux secrets professionnels, commerciaux ou de fabrication des personnes concernées, protégés par le droit pénal, il ne faut pas présumer trop rapidement qu'il est impossible ou déraisonnable de recueillir leur avis. La procédure admissible devra toutefois être déterminée en fin de compte par la jurisprudence.
Bibliographie
Bachmann Gregor, Anspruch auf Verfahren und Entscheid, Bern 2019.
Baeriswyl Bruno, Die Einwilligung hilft (nicht) weiter, digma 2020, S. 62–66.
Baeriswyl Bruno, Kommentierung zu Art. 31, in: Bruno Baeriswyl/Kurt Pärli (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz (DSG), 1. Aufl., Bern 2015.
Baeriswyl Bruno, Kommentierung zu Art. 55 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Baeriswyl Bruno, Kommentierung zu Art. 6 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Bai Alain, Der Rechtsschutz gemäss Art. 6 EMRK in Verfahren der internationalen Amtshilfe im Bereich der direkten Steuern, Zürich 2018.
Bellanger François, L’entraide administrative en Suisse, in: Bellanger François/Tanquerel Thierry (Hrsg.), L’entraide administrative, Zürich/Basel 2005, S. 9–28.
Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011.
Benhamou Yaniv/Jacot-Guillarmod Emilie, GDPR on the Swiss Territory, Jusletter IT vom 24. Mai 2018.
Biaggini Giovanni, BV Kommentar, 2. Aufl., Zürich 2017.
Blöchlinger Karin, Amtsgeheimnis und Behördenkooperation, Zum Spannungsfeld von Geheimnisschutz und Verwaltungstätigkeit, Zürich 2015.
Bopp Christian, Das Schweizerische Bankgeschäft, 8. Aufl., Zürich 2021.
Breitenmoser Stephan, Internationale Amtshilfe in Finanzmarktsachen in der Rechtsprechung des Bundesverwaltungsgerichts – aktuelle Fragen und Tendenzen, in: Breitenmoser Stephan/ Ehrenzeller Bernhard (Hrsg.), Internationale Amts- und Rechtshilfe in Steuer- und Finanzmarktsachen, Zürich 2017, S. 185–199.
Breitenmoser Stephan/Bai Alain, Internationale Amts- und Rechtshilfe mit Bezügen zum Ausländerrecht, in: Uebersax Peter/Rudin Beat/Hugi Yar Thomas/Geiser Thomas/Vetterli Luzia (Hrsg.), Ausländerrecht, 3. Aufl., Basel 2022, S. 1921–2015.
Breitenmoser Stephan/Weyeneth Robert, Amts- und Rechtshilfe ist nicht gleich Amts- und Rechtshilfe, in: Fankhauser Roland/Widmer Lüchinger Corinne/Klingler Rafael/Seiler Benedikt (Hrsg.), Das Zivilrecht und seine Durchsetzung, Festschrift für Professor Thomas Sutter-Somm, Zürich 2016, S. 1063–1084.
Diggelmann Oliver, Kommentierung zu Art. 13 BV, in: Waldmann Bernhard/Belser Eva Maria/Epiney Astrid (Hrsg.), Basler Kommentar, Bundesverfassung, Basel 2015.
Dix Alexander, Kommentierung zu Art. 61 DSGVO, in: Kühlig Jürgen/Buchner Benedikt (Hrsg.), DS-GVO/BDSG, Datenschutz-Grundversorgung, Bundesdatenschutzgesetz, Kommentar, 3. Aufl., München 2020.
Donatsch Andreas/Heimgartner Stefan/Meyer Frank/Simonek Madeleine, Internationale Rechtshilfe, 2. Aufl., Zürich 2015.
du Pasquier Shelby R., Internationale Amtshilfe: Informationsaustausch und verfahrensrechtliche Aspekte, AJP 2006, S. 74–82.
Egli Patricia, Kommentierung zu Art. 44 BV, in: Ehrenzeller Bernhard et al. (Hrsg.), St. Galler Kommentar, Bundesverfassung, 4. Aufl., Zürich 2023.
Ferrari-Visca Reto, Strafrechtliche Datenschutzbestimmungen, in: Dal Molin Luca/Wesiak-Schmidt Kirsten (Hrsg.), Datenschutz im Unternehmen, Praxishandbuch mit Beispielen und Checklisten, Zürich/St. Gallen 2023, S. 365–427.
Frei Nula, Kommentierung zu Art. 67 DSG, in: Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz (Version: 07.09.2023), https://onlinekommentar.ch/de/kommentare/dsg67.
Gächter Thomas/Egli Philipp, Kommentierung zu Art. 43 VwVG, in: Auer Christoph/Müller Markus/Schindler Benjamin (Hrsg.), Kommentar, Bundesgesetz über das Verwaltungsverfahren (VwVG), 2. Aufl., Zürich 2019.
Gerschwiler Stefan, Kommentierung zu Art. 55 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar, DSG, Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023.
Häberli Thomas, Kommentierung zu Art. 83 BGG, in: Niggli Marcel Alexander/Uebersax Peter/Wiprächtiger Hans/Kneubühler Lorenz (Hrsg.), Basler Kommentar, Bundesgerichtsgesetz, 3. Aufl., Basel 2018.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl., Zürich 2020.
Harrendorf Stefan/König Stefan/Voigt Lea, Kommentierung zu Art. 6 EMRK, in: Meyer-Ladewig Jens/Nettesheim Martin/von Raumer Stefan (Hrsg.), Handkommentar, Europäische Menschenrechtskonvention, 5. Aufl., Baden-Baden 2023.
Husi-Stämpfli Sandra/Rudin Beat, Datenschutz, in: Tschudi Hans Martin/Schindler Benjamin/Ruch Alexander/Jakob Eric/Friesecke Manuel (Hrsg.), Die Grenzüberschreitende Zusammenarbeit der Schweiz, Zürich/St. Gallen 2014, S. 623–648.
Jaag Tobias/Häggi Furrer Reto, Kommentierung zu Art. 43 VwVG, in: Waldmann Bernhard/Weissenberger Philippe (Hrsg.), Praxiskommentar, Verwaltungsverfahrensgesetz, 2. Aufl., Zürich 2016.
Kerboas Cécile/Lennman Catherine, Kommentierung zu Art. 55 DSG, in: Meier Philippe/Métille Sylvain (Hrsg.), Commentaire Romand, Loi fédérale sur la protection des données, Basel 2023.
Kiener Regina/Rütsche Bernhard/Kuhn Mathias, Öffentliches Verfahrensrecht, 3. Aufl., Zürich 2021.
Kölz Alfred/Häner Isabelle/Bertschi Martin/Bundi Livio, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 4. Aufl., Zürich/Genf 2025.
Mazidi Simon, Kommentierung zu Art. 59 DSG, in: Blechta Gabor-Paul/Vasella David (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 4. Aufl., Basel 2023.
Mund Claudia, Kommentierung zu Art. 36 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Opel Andrea, Amtshilfe ohne Information der Betroffenen – eine rechtsstaatlich bedenkliche Neuerung, ASA 83 (2014), S. 265–295 (zit. als Opel, Amtshilfe).
Opel Andrea, Neuausrichtung der schweizerischen Abkommenspolitik in Steuersachen: Amtshilfe nach dem OECD-Standard, Bern 2015 (zit. als Opel, Neuausrichtung).
Oswald Diana, Verfahrensrechtliche Aspekte der internationalen Amtshilfe in Steuersachen, Zürich 2015.
Pasquier Aurélien, Die Sanktionen in der DSGVO, in: Epiney Astrid/Rovelli Sophia (Hrsg.), Datenschutzgrundverordnung (DSGVO): Tragweite und erste Erfahrungen/Le Règlement général sur la protection des données (RPDG): portée et premières expériences, Zürich 2020, S. 99–138.
Poltier Etienne, L’entraide administrative interne, in: Poltier Etienne/Favre Anne-Christine/Martenet Vincent (Hrsg.), L'entraide administrative, Évolution ou révolution?, Zürich 2019, S. 61–102.
Popp Peter, Grundzüge der internationalen Rechtshilfe in Strafsachen, Basel 2001.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Roth Florian/Mazidi Simon, Kommentierung zu Art. 54 DSG, in: Steiner Thomas/Morand Anne-Sophie/Hürlimann Daniel (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz (Version: 30.01.2024), https://onlinekommentar.ch/de/kommentare/dsg54.
Rudin Beat, Kommentierung zu Art. 5 DSG: in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Schweizer Rainer J., Anforderungen der EGMR-Rechtsprechung an die internationale Amts- und Rechtshilfe, in: Lorandi Franco/Staehelin Daniel (Hrsg.), Innovatives Recht, Festschrift für Ivo Schwander, Zürich 2011, S. 985–1010 (zit. als Schweizer, FS Schwander).
Schweizer Rainer J., Kommentierung zu Art. 44 BV, in: Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J./Vallender Klaus A. (Hrsg.), St. Galler Kommentar, Bundesverfassung, 3. Aufl., Zürich 2014.
Schweizer Rainer J., Von einer Amts- und Rechtshilfe auf Ersuchen zum internationalen Informationsverbund: Grundsätzliche Aspekte, in: Breitenmoser Stephan/Ehrenzeller Bernhard (Hrsg.), Internationale Amts- und Rechtshilfe in Steuer- und Finanzmarktsachen, Zürich 2017, S. 227–293 (zit. als Schweizer, Informationsverbund).
Seferovic Goran, Kommentierung zu Art. 21 UWG, in: Heizmann Reto/Loacker Leander D. (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Kommentar,2. Aufl., Zürich/St. Gallen 2025 (zit. als Seferovic, in: Heizmann/Loacker).
Seiler Hansjörg, Internationale Amtshilfe aus Schweizer Sicht, Liechtensteinische Juristenzeitung 32 (2011), S. 42–50.
Thurnherr Daniela, Verfahrensgrundrechte und Verwaltungshandeln, Zürich/St. Gallen 2013.
Vasella David, Zur Freiwilligkeit und zur Ausdrücklichkeit der Einwilligung im Datenschutzrecht, Jusletter 16. November 2015.
Vest Hans, Kommentierung zu Art. 32 BV, in: Ehrenzeller Bernhard et al. (Hrsg.), St. Galler Kommentar, Bundesverfassung, 4. Aufl., Zürich 2023.
Waldmann Bernhard, Anspruch auf den Erlass einer Verfügung, in: Häner Isabelle/Waldmann Bernhard (Hrsg.), 8. Forum für Verwaltungsrecht – Brennpunkt «Verfügung», Bern 2022, S. 55–85.
Waldmann Bernhard/Kraemer Raphael, Kommentierung zu Art. 44 BV, in: Waldmann Bernhard/Belser Eva Maria/Epiney Astrid (Hrsg.), Basler Kommentar, Bundesverfassung, Basel 2015.
Weber-Dürler Beatrice/Kunz-Notter Pandora, Kommentierung zu Art. 25 VwVG, in: Auer Christoph/Müller Markus/Schindler Benjamin (Hrsg.), VwVG – Bundesgesetz über das Verwaltungsverfahren, Kommentar, 2. Aufl., Zürich 2019 (zit. als Weber-Dürler/Kunz-Notter, in: Auer/Müller/Schindler).
Weissenberger Philippe, Grenzüberschreitende Amtshilfe auf dem Prüfstand – Wege zu mehr Rechtssicherheit, Rechtsschutz und Effizienz, ASA 77 (2009), S. 825–835.
Widmer Thomas, Les amendes «administratives» prévues par l’art. 83 du RGPD peuvent-elles être reconnues et exécutées en Suisse?, sic! 2023, S. 387–390.
Wyss Martin Philipp, Gesetzgebungsbedarf bei der internationalen Amtshilfe?, in: Ehrenzeller Bernhard/Breitenmoser Stephan (Hrsg.), Aktuelle Fragen der internationalen Amts- und Rechshilfe, St. Gallen 2009, S. 217–248.
Matériaux
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff. (zit. als Botschaft DSG 1988).
Botschaft zur Auferlegung der Kosten für die Behandlung zweier Amtshilfegesuche des Internal Revenue Service der Vereinigten Staaten von Amerika auf die UBS AG, BBl 2010 3211 (zit. als Botschaft Kostenauferlegung).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff. (zit. als Botschaft DSG 2017)
Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, BBl 2020 565 ff. (zit. Botschaft Konvention 108+).
Botschaft zur Totalrevision der Bundesrechtspflege, BBl 2001 4202 ff. (zit. als Botschaft Bundesrechtspflege 2001).
Bundesamt für Justiz, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vn-ber-d.pdf.download.pdf/vn-ber-d.pdf, besucht am 1.8.2023 (zit. als Erl. Bericht VE).
Bundesamt für Justiz, Rechtsfragen im Zusammenhang mit der Zusammenarbeit mit ausländischen Behörden (Amtshilfe, Rechtshilfe, Souveränitätsschutz), Bericht vom 14.3.2011, https://www.bj.admin.ch/dam/bj/de/data/sicherheit/gesetzgebung/archiv/zssg/ber-auslandszusammenarbeit-d.pdf.download.pdf/ber-auslandszusammenarbeit-d.pdf, besucht am 1.10.2023 (zit. als BJ, Bericht Zusammenarbeit).
Bundesamt für Justiz, Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens vom 10.8.2017, https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ve-ber-d.pdf.download.pdf/ve-ber-d.pdf, besucht am 1.8.2023 (zit. als Ergebnisse Vernehmlassungsverfahren DSG).
Bundesamt für Justiz, Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, Stellungnahme der Organisationen A–H, https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/organisationen-a-h.pdf.download.pdf/organisationen-a-h.pdf, besucht am 1.8.2023 (zit. als Vernehmlassungsverfahren DSG, Stellungnahme der Organisationen A–H).
Council of Europe, Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, https://rm.coe.int/cets-223-explanatory-report-to-the-protocol-amending-the-convention-fo/16808ac91a, besucht am 20.9.2023 (zit. als CoE, Explanatory Report).
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, 30. Tätigkeitsbericht 2022/23, https://edb.reader.epaper.guru/de-CH/viewer/616971da-d98a-4d01-9554-87a20c0277e9/fd949f38-fa10-4c60-a59a-0354346b8612, besucht am 9.10.2023 (zit. als EDÖB, 30. Tätigkeitsbericht 2022/23).
OECD, Review of the OECD Recommendation on Cross-Border Co-operation in the Enforcement of Laws Protecting Privacy, 22.9.2023, https://www.oecd-ilibrary.org/docserver/67774f69-en.pdf?expires=1696874300&id=id&accname=guest&checksum=20FD51C34B496C02E3550F9EE3868428, besucht am 9.10.2023 (zit. als OECD 2023).