-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Al. 1 : Publication annuelle du rapport d'activité.
- III. Al. 2 : Publication de constatations et de décisions d'intérêt général.
- Bibliographie
- Matériaux
En bref
La disposition relative aux relations publiques du PFPDT fait partie des dispositions les plus importantes, mais moins connues, de la loi sur la protection des données. Les expériences internationales ont montré dès les années 1980 qu'une mise en œuvre réussie des prescriptions légales en matière de protection des données nécessite un dialogue entre l'autorité de surveillance et les autres autorités fédérales ou la population civile (p. ex. lorsqu'il s'agit de mettre en évidence une nécessité de légiférer ou d'exercer une pression sur certains responsables qui ne respectent pas les prescriptions légales).
L'art. 57 al. 1 LPD oblige le PFPDT à informer une fois par an l'Assemblée fédérale - organe de nomination du PFPDT selon l'art. 43 al. 1 LPD - de ses activités. Le Conseil fédéral est informé par écrit des activités du PFPDT. Le deuxième alinéa doit permettre au PFPDT d'exercer son mandat d'information indépendamment des autorités fédérales surveillées. La disposition est formulée de manière très ouverte. Le PFPDT dispose donc de nombreuses possibilités pour exercer son mandat légal d'information.
I. Généralités
A. But de la norme et contexte
1 L'art. 57 LPD ne fait pas partie des dispositions les plus connues de la LPD. Pourtant, cette disposition légale relative au travail de relations publiques du PFPDT contribue de manière décisive à la mise en œuvre pratique des prescriptions en matière de protection des données. En effet, la sensibilisation au droit de la protection des données, tant dans le secteur privé que dans le secteur public, est surtout renforcée par le travail de relations publiques du PFPDT (et des commissaires cantonaux et communaux à la protection des données). Une sensibilisation réussie du public à la protection des données passe par un dialogue entre l'autorité de surveillance et le public. Les réflexions ou les mesures relevant du droit de la protection des données ne doivent donc pas rester purement internes aux services traitant des données, que ce soit dans le domaine privé ou public, mais être présentées à la population de manière très consciente et proactive.
2 La sensibilisation du public visée par le travail de relations publiques du PFPDT poursuit plusieurs objectifs concrets. D'une part, elle contribue à renforcer l'efficacité de l'activité de surveillance du PFPDT (art. 49 à 53 LPD) - dans le cadre de son activité de surveillance, le PFPDT peut sanctionner les traitements de données illicites. Sur la base de l'art. 57 LPD, il peut publier ses résultats et exercer ainsi une pression sur le responsable de la protection des données fautif et encourager d'autres responsables de la protection des données, non directement concernés par l'enquête, à adapter leur pratique. D'autre part, le travail de relations publiques du PFPDT peut le décharger de manière décisive dans son activité de conseil (art. 58 LPD). La publication d'outils faciles à comprendre, tels que des guides, des modèles de lettres ou des FAQ, contribue de manière décisive à réduire le temps consacré au conseil personnel et à prévenir les violations potentielles de la protection des données.
3 En outre, le PFPDT peut, sur la base de son travail de relations publiques, rendre compte de son activité à l'organe de nomination (Assemblée fédérale selon l'art. 43 al. 1 LPD) et donner ainsi à l'Assemblée fédérale un aperçu de sa gestion.
4 Le travail de relations publiques au sens de l'art. 57 LPD offre au PFPDT la possibilité de publier des informations sur des développements problématiques et de mettre en évidence ce qu'il considère comme un besoin d'agir au niveau législatif.
5 En l'occurrence, il convient de constater que l'application individuelle des droits par le biais des tribunaux civils (art. 32 al. 2 LPD), prévue par le législateur, joue un rôle secondaire, voire (presque) inexistant, dans la pratique. Face à une procédure longue et coûteuse à l'issue incertaine, il est extrêmement rare que les personnes concernées engagent une procédure devant le tribunal compétent. Ceci est d'autant plus vrai que de plus en plus de traitements de données sont effectués par des personnes privées à l'étranger. Une procédure prometteuse devant un tribunal civil suisse devient ainsi (presque) impossible. Par conséquent, les questions de principe de la protection des données sont rarement abordées dans la jurisprudence et les rares décisions de justice n'ont qu'une portée limitée au-delà du cas d'espèce. Le PFPDT joue donc un rôle important dans l'application du droit grâce à son travail de relations publiques.
B. Historique
Ad al. 1 :
6 Une disposition très similaire à l'al. 1 actuel figurait déjà à l'art. 30 aDSG. S'appuyant sur les expériences internationales qui avaient déjà montré dans les années 1980 que la sensibilisation au droit de la protection des données était renforcée notamment par le travail de relations publiques des autorités de protection des données, cette disposition avait été introduite dans le droit suisse en 1988 et était entrée en vigueur en 1992.
7 L'art. 30a LPD n'a pas donné lieu à des débats au Parlement - l'article correspondait au projet du Conseil fédéral de 1988. Il en va de même pour l'art. 57 LPD. Dans le cadre de la révision, la disposition a uniquement été précisée dans la mesure où le PFPDT doit désormais établir un rapport annuel (et non plus périodique). Cette précision correspond à la pratique sous l'ancien droit.
8 Le PFPDT fait rapport à l'Assemblée fédérale et donne ainsi à l'organe électoral une vue d'ensemble de l'exercice de sa fonction. Comme sous l'ancien droit, le Conseil fédéral ne reçoit que le rapport d'activité écrit.
9 En outre, l'expression "et en cas de besoin" a été supprimée. Désormais, le PFPDT rendra compte une fois par an. Ni l'évaluation de la procédure de consultation ni le message ne font référence à cette suppression. Dans la pratique, la possibilité d'informer le public également en cas de besoin (c'est-à-dire à tout moment et pas seulement une fois par an) n'a pas joué un grand rôle. En outre, il convient de souligner que le PFPDT peut, si nécessaire, informer le public de ses activités en vertu de l'art. 57 al. 2 LPD.
Ad al. 2 :
10 L'art. 57 al. 2 LPD a été raccourci dans le cadre de la révision par rapport à l'al. 2 de l'ancienne LPD. Dans le sens d'un renforcement de l'indépendance du PFPDT, déjà souhaité en décembre 2011, le PFPDT peut désormais décider lui-même de ce dont il informe le public. La publication de données personnelles soumises au secret de fonction ne dépend plus de l'accord de l'autorité concernée et il n'est plus prévu de distinguer expressément les données personnelles des données matérielles dans le cadre du mandat d'information du PFPDT.
11 Le deuxième alinéa précise en outre que le PFPDT "informe" et non plus simplement "peut informer" sur les constatations d'intérêt général. Cette précision linguistique est à saluer, mais ne change pas grand-chose dans la pratique. La disposition "peut" de l'ancien droit établissait déjà un mandat d'information contraignant.
C. Remarques de droit comparé
Ad al. 1 :
12 L'établissement régulier d'un rapport d'activité était déjà prévu à l'art. 28 al. 5 de la directive 95/46/CE et est régi depuis le 25 mai 2018 par l'art. 59 du DSGVO. Du point de vue du contenu, cette disposition se distingue de l'art. 57 al. 1 LPD dans la mesure où la règle correspondante du droit européen définit un contenu possible du rapport d'activité (liste des types de violations signalées et des types de mesures prises conformément à l'art. 58 al. 2 RGPD).
13 L'art. 15 al. 7 STE 108 stipule que chaque autorité de contrôle européenne prépare régulièrement un rapport d'activité et le publie ensuite. Selon le rapport explicatif, un rapport d'activité doit être publié une fois par an. Ce rapport doit notamment contenir des informations sur les mesures prises pour faire respecter la législation nationale en matière de protection des données. A l'exception du fait que la LPD révisée ne comporte pas de prescriptions relatives au contenu, le législateur suisse a repris aussi bien les prescriptions du Conseil de l'Europe que celles de l'UE. Il va toutefois de soi que les mesures prises pour faire respecter les dispositions de protection des données sont mentionnées dans le rapport d'activité du PFPDT, même en l'absence de dispositions légales correspondantes.
Ad al. 2 :
14 L'art. 15 al. 2 let. e STE 108 fixe le cadre des tâches de sensibilisation des autorités de surveillance. Selon le rapport explicatif, les autorités de surveillance doivent rendre visibles de manière proactive les mesures qu'elles prennent, leurs tâches et leurs compétences. Elles peuvent à cet effet publier des rapports d'activité périodiques (cf. art. 15 al. 7 STE 108), des avis ou des recommandations générales. Ils peuvent en outre sensibiliser le public par d'autres canaux de communication qu'ils choisissent librement. Selon le rapport explicatif, le travail de relations publiques consiste également à informer les personnes et les responsables de leurs droits et obligations respectifs dans un langage approprié, c'est-à-dire facilement compréhensible (surtout lorsque le traitement de données concerne des enfants ou d'autres personnes particulièrement vulnérables).
II. Al. 1 : Publication annuelle du rapport d'activité.
A. Publication annuelle
15 Dans le cadre de la révision, l'art. 30 aDSG a été légèrement précisé : la publication doit avoir lieu "chaque année". Cette précision avait été souhaitée lors de la procédure de consultation, mais elle ne change pas grand-chose dans la pratique. La loi ne contient toujours pas de directives sur le moment de la publication. Sous l'ancien droit, l'habitude avait été prise que le rapport couvre la période allant du 1er avril au 31 mars de l'année suivante et qu'il soit publié fin juin. Une conférence de presse est organisée à l'occasion de la publication. Le PFPDT présente personnellement le rapport, souvent accompagné d'un autre collaborateur de la direction, et répond aux questions des journalistes. Rien n'indique que cette pratique ne sera pas maintenue sous le nouveau droit.
16 Le rapport n'est pas soumis au Conseil fédéral ou à l'Assemblée fédérale pour une éventuelle adaptation, ni avant ni après sa publication. En d'autres termes, le rapport est publié de la même manière qu'il est soumis à l'Assemblée fédérale et au Conseil fédéral (voir les directives à ce sujet à l'art. 37 OLPD). Le PFPDT exerce entre autres la surveillance des traitements de données effectués par les organes fédéraux. On peut donc imaginer que, selon les résultats de l'enquête, des organes fédéraux soumis à un contrôle prudentiel pourraient exiger certaines adaptations du rapport d'activités. Dans ce contexte, la publication du rapport d'activités inchangé est à saluer et contribue à renforcer l'indépendance du PFPDT.
17 Il n'est pas prévu de présenter le rapport d'activités devant la commission chargée de préparer l'élection du PFPDT ou devant les Chambres, même si la doctrine en fait parfois la demande.
B. Rapport d'activité
18 Le rapport d'activité est la pièce maîtresse du travail de relations publiques du PFPDT (cf. art. 57 al. 2 et art. 58 LPD pour d'autres possibilités de sensibiliser le public).
19 Contrairement au droit européen - c'est-à-dire l'art. 59 RGPD et l'art. 15 al. 7 STE 108 - en Suisse, ni la LPD ni l'OLPD ne fixent de directives quant au contenu. Le PFPDT décide donc en principe librement du contenu du rapport d'activité. Conformément à l'art. 58 al. 1 let. f LPD, le préposé assume également les tâches qui lui sont confiées par la loi du 17 décembre 2004 sur la transparence (LTrans, RS 152.3). Selon l'art. 19 LTrans, le Préposé fédéral à la transparence est tenu de présenter régulièrement un rapport au Conseil fédéral et de le publier. Depuis l'entrée en vigueur de la LTrans le 1er juillet 2006, le PFPDT publie un rapport d'activités qui retrace à la fois ses activités de préposé à la protection des données et ses tâches de préposé à la transparence.
20 Année après année, le rapport d'activité suit une structure similaire, mais la pondération des différents thèmes peut varier : Défis actuels, Protection des données (numérisation et droits fondamentaux ; justice, police, sécurité ; fiscalité et finances ; commerce et économie ; santé ; travail ; assurances ; transports ; international), Principe de transparence (généralités ; demandes d'accès ; procédures de médiation ; procédures législatives), Le PFPDT (tâches et ressources ; communication ; statistiques ; organisation du PFPDT). Le PFPDT met en outre l'accent sur plusieurs thèmes dans chaque rapport d'activités. Par exemple, dans le rapport d'activités 2020/2021, il a consacré son premier thème à la LPD révisée et son deuxième thème au Privacy Shield et aux défis qui y sont liés.
21 Comme toutes les autorités fédérales, le PFPDT doit, dans l'exercice de ses tâches légales, respecter les dispositions légales en vigueur, notamment celles relatives à la protection des secrets de fabrication et d'affaires. Il est en outre soumis au secret de fonction selon l'art. 22 de la loi sur le personnel de la Confédération (LPers, RS 172.220.1). Par conséquent, il doit garantir le traitement confidentiel des données personnelles auxquelles il a accès dans l'exercice de ses tâches de surveillance, notamment lorsqu'il publie son rapport d'activité.
22 En raison de la brièveté des articles du rapport d'activité (sous l'ancien droit, environ une colonne par enquête prudentielle), il est difficile d'imaginer que des secrets de fabrication ou d'affaires soient divulgués dans le rapport d'activité, contrairement à ce qui se passe lors de la publication de décisions.
23 Dans la pratique, le PFPDT rend anonymes les noms des personnes privées contre lesquelles une procédure de droit de surveillance a été ouverte, mais n'est pas encore terminée. Dès que la procédure est terminée, le nom de la personne morale concernée est mentionné dans le rapport d'activité qui suit. La mention du nom des entreprises fautives n'est pas toujours agréable pour les personnes concernées, mais elle ne relève pas du secret de fabrication ou du secret d'affaires. En outre, la mention des noms des responsables fautifs est couverte par le but normatif de l'art. 57 al. 1 LPD, car le travail de relations publiques du PFPDT vise notamment à exercer une pression sur le responsable fautif et à encourager d'autres responsables de la protection des données qui ne sont pas directement concernés par l'enquête à adapter leur pratique.
24 Il en va autrement des secrets de fonction, qui peuvent également être révélés sur une ligne. Toutefois, dans ces cas, l'intérêt public à informer le public sur les traitements de données illégaux effectués par les autorités fédérales - également au vu de la responsabilité historique du PFPDT après le scandale des fiches - devrait prévaloir (cf. explications ci-dessous concernant l'art. 57 al. 2 LPD).
25 La loi ne donne pas non plus de directives concernant la forme du rapport d'activités. Le design et le tirage sont donc déterminés de manière autonome par le PFPDT. Le rapport d'activités n'est expressément pas publié dans le format interne de l'administration fédérale. L'indépendance du PFPDT s'exprime ainsi également sur le plan formel.
26 En raison de l'objectif du rapport, le rapport d'activité doit être un document accessible au public. Le PFPDT publie le rapport sous forme de e-paper gratuit sur son site web, le rapport imprimé peut être commandé pour CHF 17.00 auprès de l'Office fédéral des constructions et de la logistique.
27 Depuis 2017/2018, le rapport est également publié en italien et en anglais. Entre 1993 et 2017, le rapport n'était publié qu'en allemand et en français. L'absence de traduction italienne constituait une violation manifeste de l'art. 10 de la loi fédérale sur les langues nationales et la compréhension entre les communautés linguistiques (RS 441.1). Même si cette loi fédérale n'impose pas la publication en anglais, il faut saluer le fait que le rapport d'activité soit également publié en anglais depuis quelques années. Cette nouvelle traduction facilite le conseil personnel du PFPDT, car de plus en plus de personnes anglophones demandent au PFPDT ses conseils juridiques. Un renvoi à la version anglaise du rapport d'activités contribue à rendre ces consultations en langue étrangère plus efficaces.
28 Les destinataires du rapport d'activités sont l'Assemblée fédérale en tant qu'organe d'élection du PFPDT, les conseillers fédéraux en tant que chefs des différents départements, qui effectuent tous d'innombrables traitements de données, ainsi que le grand public (journalistes, conseillers juridiques, techniciens et population civile en général). En d'autres termes, l'art. 57 al. 1 LPD s'applique à toutes les activités du PFPDT. Ces destinataires très hétérogènes constituent un défi à ne pas sous-estimer lors de la rédaction du rapport d'activités.
29 Dans ce contexte, il convient de souligner, pour être complet, que les défis en matière de protection des données qui se posent dans le secteur privé et dans le secteur public sont souvent de nature similaire. C'est pourquoi il peut être instructif de lire les rapports d'activité des commissaires cantonaux à la protection des données, qui sont tenus de publier leurs rapports d'activité en vertu du droit cantonal.
III. Al. 2 : Publication de constatations et de décisions d'intérêt général.
A. Constatation
30 La "constatation" n'est pas une notion juridiquement clairement définie, elle décrit de manière exhaustive le mandat d'information juridiquement contraignant du PFPDT.
31 Les faits d'intérêt général relevant de la protection des données peuvent être portés à la connaissance du PFPDT par les médias, par le biais de la hotline ou du formulaire de contact, ou encore lors d'échanges avec d'autres autorités fédérales ou cantonales. La manière dont le PFPDT souhaite réagir à une information constatée est laissée à son appréciation, notamment en ce qui concerne le moment et le canal d'information.
32 La notion juridiquement floue de "constatation" offre l'avantage de réagir à une (éventuelle) infraction à la LPD de manière plus flexible et plus rapide que par le biais d'une décision. De plus, cette notion floue offre la possibilité d'informer le public d'un fait pertinent en matière de protection des données même si les conditions pour l'ouverture d'une enquête selon l'article 49 LPD ne sont pas remplies.
33 L'avenir nous dira si et à quelle fréquence les constatations seront publiées à l'avenir. Comme pour toutes les notions juridiquement floues, l'interprétation de cette notion dépend du PFPDT concerné.
B. Décision
34 Le PFPDT peut désormais rendre des décisions (cf. art. 49 à 51 LPD). Dans le cadre de la consultation, certains participants issus de l'économie ont souhaité que le PFPDT ne publie pas ses décisions, mais uniquement les faits sur lesquels une enquête a été ouverte. Ces participants étaient d'avis que c'était la seule manière de garantir les droits de la personnalité des personnes concernées. Certains participants ont par contre estimé que toutes les décisions du PFPDT devaient être publiées. La règle fixée dans la loi représente donc un compromis et permet au PFPDT de mettre en balance, dans un cas particulier, d'éventuels secrets d'affaires ou de fonction avec l'intérêt général à l'élucidation d'un fait illicite. L'intérêt général devrait en principe être interprété de manière large au vu des objectifs du travail de relations publiques du PFPDT.
C. Intérêt général
35 Ni la LPD révisée, ni l'OLPD révisée, ni le message de 2017 ne définissent l'"intérêt général". Cette notion n'était pas non plus définie dans le précédent message relatif à l'ancienne LPD. Seul un exemple était alors cité par le Conseil fédéral : la publication d'une recommandation relative à un système d'information d'importance nationale était dans l'intérêt général. La doctrine mentionne d'autres exemples plus actuels : le traitement de données en question représente une situation de menace particulière pour les droits fondamentaux et les droits de la personnalité des personnes concernées, il concerne la mise en œuvre générale de la LPD, il a un caractère préjudiciel ou il fait l'objet d'un large débat public. En outre, selon Rosenthal/Jöhri, la publication d'irrégularités constatées peut être d'intérêt public (sans autre précision). En raison du marché numérique actuel, la publication d'une violation de la LPD par un leader du marché devrait également être d'intérêt public. En tout état de cause, la notion doit être interprétée de manière large, même sous le régime du droit révisé. Dans le cas contraire, le PFPDT pourrait ne pas être en mesure de mener à bien son travail de relations publiques.
36 En règle générale, les informations d'intérêt général revêtent un certain caractère d'urgence et s'écartent des rapports habituels. En l'absence d'urgence, ces informations peuvent être publiées dans le rapport d'activité suivant.
37 La question de savoir quelles informations sont d'intérêt général et devraient donc être publiées dépend entre autres de la priorisation des affaires en cours sur la base des ressources en personnel disponibles. Même s'il est vrai que l'Assemblée fédérale a créé des postes supplémentaires avec l'entrée en vigueur de la nouvelle LPD, le PFPDT reste en sous-effectif chronique. Il est donc possible qu'à l'avenir également, des constatations qui seraient dans l'intérêt général soient publiées tardivement, voire pas du tout.
D. Publication
38 Le moment de la publication peut être choisi librement, comme c'était déjà le cas sous l'ancien droit. La question du moment de la publication n'a pas toujours la même importance. Mais si la publication d'une constatation est utilisée comme moyen de pression, une publication stratégique du point de vue du temps est décisive.
39 La LPD ne prévoit aucune exigence de forme pour le travail de relations publiques du PFPDT. Le canal de communication peut donc être choisi librement, même sous le nouveau droit. Par le passé, le PFPDT a publié des lettres types, des contrats types, des guides, des fiches d'information et des FAQ sur son site Internet. Il rédige également des expertises internes à l'administration. En outre, le PFPDT donne des conférences sur des thèmes d'actualité, publie des articles écrits dans des revues spécialisées et accorde des interviews dans les médias. Le service de communication gère un compte Twitter (@lePréposé) et rédige régulièrement des communiqués de presse. Plusieurs collaborateurs ont collaboré à l'élaboration d'un matériel pédagogique destiné aux jeunes. Des campagnes plus larges seraient également envisageables. Quel que soit le canal de communication choisi, le PFPDT doit toujours suivre les principes d'une politique de communication professionnelle en vue de sensibiliser efficacement le public.
40 Les constatations publiées n'ont pas la portée juridique d'une décision ou d'une loi. Elles ne sont pas juridiquement contraignantes. En cas de litige, le tribunal saisi statue en toute indépendance, même si le responsable concerné s'est adressé au préalable au PFPDT dans sa fonction de conseiller ou s'est appuyé sur une constatation publiée. Le fait que la personne privée ait suivi le conseil du PFPDT peut toutefois jouer un rôle important dans l'examen de la faute dans le cadre d'actions en réparation.
41 La publication des constatations connaît toutefois aussi des limites, fixées à l'art. 36 al. 6 LPD (intérêts publics essentiels, intérêt manifestement digne de protection de la personne concernée, obligations légales de garder le secret ou prescriptions particulières en matière de protection des données). Comme toutes les autorités fédérales, le PFPDT doit respecter les dispositions légales en vigueur, notamment celles qui protègent les secrets de fabrication et d'affaires et celles qui protègent le domaine secret et le domaine privé (diffamation [art. 173 CP], calomnie [art. 174 CP], injure [art. 177 CP]) ainsi que l'interdiction de la contrainte (art. 181 CP). En outre, il est soumis au secret de fonction selon l'art. 22 LPers. Par conséquent, le PFPDT doit garantir le traitement confidentiel des données personnelles auxquelles il a accès dans l'exercice de ses tâches de surveillance. Rien n'indique que le PFPDT change sa pratique qui consiste à contacter les responsables concernés avant une publication prévue et à leur demander s'il faut éventuellement caviarder des secrets d'affaires ou de fonction avant la publication. Il ne faut toutefois pas confondre cette prise de contact avec l'obtention d'un consentement.
42 En outre, le principe de l'anonymisation des données personnelles s'applique. Pour cette raison, les données personnelles qui doivent être publiées sont en principe rendues anonymes avant la publication prévue. Les noms des cadres de l'administration qui agissent dans l'exercice de leur mandat administratif ou les noms des responsables privés ne bénéficient pas d'une protection particulière dans ce contexte.
43 Le principe de l'anonymisation connaît une exception importante. Si le PFPDT estime que la publication de la constatation ou de la décision non expurgée est dans l'intérêt public, il peut désormais renoncer lui-même à l'anonymisation (sous l'ancien droit, le PFPDT ne pouvait publier des données personnelles soumises au secret de fonction qu'avec l'accord de l'autorité concernée). Cette évolution est à saluer, car elle renforce clairement l'indépendance du PFPDT. Avec la sensibilisation croissante du public aux questions de protection des données, cette révision de la loi n'est pas surprenante. En résumé, il faut donc partir du principe que le principe de l'anonymisation sera interprété de manière plutôt restrictive et que toutes les publications ne seront pas rendues anonymes par principe.
44 En ce qui concerne l'anonymisation, il convient en outre de noter qu'une anonymisation effective des données personnelles devient de plus en plus difficile au vu des progrès technologiques. En outre, l'anonymisation peut ne pas être efficace, notamment si la publication de la constatation doit être utilisée comme moyen de pression.
45 Les dispositions pénales, telles que la diffamation, la calomnie, l'injure, la contrainte ou l'abus d'autorité, sont bien entendu réservées. Le PFPDT ne bénéficie pas d'une immunité pénale et doit respecter ces dispositions pénales dans le cadre de ses activités de relations publiques.
46 Dans ce contexte, il convient de rappeler pour finir que la LPD ne s'applique qu'aux communications ou aux publications de données personnelles (cf. art. 1 LPD ou art. 36 LPD). Il est toutefois envisageable que le PFPDT, dans le cadre de son activité de surveillance, tombe sur des données matérielles au sens de l'art. 5 let. a a contrario. La communication de données matérielles n'est pas soumise à la LPD, mais ces données peuvent être protégées par le secret de fonction et leur communication peut donc être soumise aux dispositions de la LPers (p. ex. stratégies, plans ou mesures dans le domaine de la cybersécurité). Dans ces cas, les explications relatives à la communication de données personnelles (art. 36 ss LPD) s'appliquent par analogie. La LPD ne contient pas de disposition sur la levée du secret de fonction concernant les données matérielles. Il faut donc partir du principe que le PFPDT peut également se libérer lui-même du secret de fonction dans de tels cas de figure. On peut se demander si cela correspond effectivement à la volonté du législateur, surtout au vu de la situation politique tendue en Europe.
Bibliographie
Baeriswyl Bruno, Datenschutzgesetzgebung in der Schweiz – Standortbestimmung und Ausblick, in: Kieser Ueli/Pärli Kurt (Hrsg.), Datenschutz im Arbeits-, Versicherungs- und Sozialbereich: Aktuelle Herausforderungen, St. Gallen 2012, S. 10 ff. (zit. Baeriswyl, Standortbestimmung).
Baeriswyl Bruno, Kommentierung zu Art. 30 aDSG, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 1. Aufl., Bern 2015 (zit. SHK-Baeriswyl, Art. 30 aDSG).
Baeriswyl Bruno, Kommentierung zu Art. 57 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK-Baeriswyl, Art. 57 DSG).
Huber René, Kommentierung zu Art. 30 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014 (zit. BSK-Huber, Art. 30 aDSG).
Jöhri Yvonne, §8 Aufgabe und Bedeutung der öffentlichen Datenschutzbeauftragten, in: Passadelis Nicolas/Rosenthal David/Thür Hanspeter (Hrsg.), Datenschutzrecht: Beraten in Privatwirtschaft und öffentlicher Verwaltung, Handbücher für die Anwaltspraxis, Basel 2015, S. 245 ff. (zit. Jöhri).
Meier Philippe, Protection des données: fondements, principes généraux et droit privé, Berne 2011 (zit. Meier, Protection).
Meier Philippe, Le défi de Big Data dans les relations entre privés: avec quelques réflexions de lege ferenda, in: Epiney Astrid (Hrsg.), Big Data und Datenschutzrecht, Zürich 2016, S. 47 ff. (zit. Meier, Big Data).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).
Waldmann Bernhard/Oeschger Marcus, §15 Aufsicht, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011 (zit. Waldmann/Oeschger).
Walter Jean-Philippe, L’indépendance des autorités de protection des données, in: Epiney Astrid/Hänni Julia/Brülisauer Flavia (Hrsg.), Die Unabhängigkeit der Aufsichtsbehörden und weitere aktuelle Fragen des Datenschutzrechts/L’indépendance des autorités de surveillance et autres questions actuelles en droit de la protection des données, Zurich/Bâle/Genève 2012, S. 71 ff. (zit. Walter).
Ziebarth Wolfgang, Kommentierung zu Art. 59 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Ziebarth, Art. 59 DSGVO).
Matériaux
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988 (zit. BBl 1988 II S. 413 ff.).
14. Tätigkeitsbericht des EDÖB 2006/2007 vom 31.3.2007 (zit. EDÖB, 14. Tätigkeitsbericht 2006/2007).
Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011 (zit. BBl 2012 S. 335 ff.).
Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens vom 10.8.2017 (zit. Zusammenfassung Vernehmlassungsverfahren).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.72017 (zit. BBl 2017 S. 6941 ff.).
Rapport explicatif relatif à la Convention modernisée pour la protection des personnes à l’égard du traitement des données à caractère personnel du 18.5.2018 (zit. Rapport explicatif Convention 108+).
28. Tätigkeitsbericht des EDÖB 2020/2021 vom 31.3.2021 (zit. EDÖB, 28. Tätigkeitsbericht 2020/2021).
29. Tätigkeitsbericht des EDÖB 2021/2022 vom 31.3.2022 (zit. EDÖB, 29. Tätigkeitsbericht 2021/2022).