-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Al. 1 : Tâches particulières du PFPDT
- III. Al. 2 : Mandat de conseil élargi
- IV. Al. 3 : Entraide judiciaire internationale
- Bibliographie
- Matériaux
En bref
La liste des tâches fixée à l'art. 58 LPD complète les tâches du PFPDT déjà prévues à l'art. 57 LPD. Cette disposition prévoit par exemple que le PFPDT sensibilise la population à la protection des données, donne son avis sur les projets d'actes législatifs de la Confédération ou publie des recommandations de bonnes pratiques. La liste des tâches de l'art. 58 LPD n'est toutefois pas exhaustive. D'autres tâches non spécifiquement définies peuvent donc être assumées par le PFPDT, pour autant qu'elles soient en accord avec les objectifs fondamentaux de la LPD.
I. Généralités
A. But de la norme et contexte
1 Selon le libellé du préambule ("Le PFPDT assume en outre notamment les tâches suivantes"), l'art. 58 LPD doit être compris comme un complément ou une disposition subsidiaire à l'art. 57 LPD. L'art. 58 LPD concrétise l'étendue de l'activité de conseil et d'information du PFPDT selon l'art. 57 LPD, que le PFPDT définit en grande partie lui-même en raison de son indépendance ancrée dans la loi.
2 La liste des tâches du PFPDT n'est pas exhaustive ("en particulier"), même sous le régime du droit révisé. Le nouveau droit laisse donc une certaine marge de manœuvre pour des tâches supplémentaires, pour autant qu'elles ne soient pas contraires au but de la LPD. Dans ce contexte, il convient également de souligner que d'autres tâches du PFPDT sont définies à d'autres endroits de la LPD, par exemple à l'art. 11 LPD (avis sur les codes de conduite), à l'art. 12 al. 4 LPD (notification des listes d'activités de traitement), à l'art. 16 al. 2 LPD (communication de données à l'étranger), à l'art. 23 LPD (consultation du PFPDT dans le cadre d'évaluations d'impact sur la protection des données) ou à l'art. 24 LPD (notification des violations de la sécurité des données). D'autres tâches du PFPDT sont définies dans différentes lois spéciales, par exemple à l'art. 84b LAMal (garantie de la protection des données par les assureurs) ou à l'art. 63 al. 3 en relation avec la loi sur la protection des données. art. 64 LPD (examen par le PFPDT pour déterminer si le SRC a traité les données personnelles du requérant conformément à la loi).
3 Pour de plus amples explications sur le but et le contexte de la norme, nous renvoyons aux explications générales y relatives concernant l'art. 57 LPD.
B. Historique
4 Dans le cadre de la révision, l'art. 31 aDSG a été adapté au droit de l'UE et aux directives du Conseil de l'Europe. Pour cette raison, la liste des tâches du PFPDT a été légèrement adaptée ou complétée.
5 L'art. 31 al. 1 let. d aLPD (protection adéquate des législations de protection des données à l'étranger), l'art. 31 al. 1 let. e aLPD (examen des garanties pour les transferts de données vers des Etats non équivalents) et l'art. 31 al. 1 let. f aLPD (procédure de certification) n'ont pas été repris dans l'art. 58 LPD révisé. Désormais, ce n'est plus le PFPDT, mais le Conseil fédéral ou l'OFJ qui détermine si la législation d'un Etat concerné assure une protection adéquate (art. 16 al. 1 LPD). La liste des Etats, territoires, secteurs spécifiques dans un Etat et organisations internationales disposant d'une protection des données adéquate selon le Conseil fédéral figure désormais à l'annexe 1 de l'OLPD. L'examen des garanties pour un transfert de données vers un Etat non équivalent est désormais réglé en détail à l'art. 16 al. 2 LPD et est en principe repris par le PFPDT, même sous le nouveau droit. La certification est désormais réglée à l'art. 13 LPD. Sous le droit actuel, le PFPDT ne peut plus contrôler lui-même les procédures de certification (art. 31 al. 1 let. f aDSG). Une procédure de surveillance au sens des art. 49 ss LPD reste possible. LPD demeure réservée dans ce contexte.
6 Pour de plus amples explications sur la genèse des activités de conseil et d'information des autorités de surveillance en matière de protection des données, nous renvoyons aux explications relatives à l'art. 57 LPD.
C. Indications de droit comparé
7 En droit européen, les tâches des autorités respectives de protection des données sont définies à l'article 57 du RGPD, sans préjudice d'autres tâches exposées à certains endroits du RGPD.
8 L'article 58 du RGPD définit les pouvoirs concrets dont disposent les autorités de contrôle pour atteindre les objectifs fixés à l'article 57 du RGPD.
9 En ce qui concerne le degré de détail, les articles 57 et 58 du RGPD vont nettement plus loin que les "réglementations sœurs" des articles 57 et 58 de la LPD. Ce souci du détail dans le droit européen de la protection des données vise à améliorer la sécurité juridique et la protection des droits fondamentaux, alors que la disposition précédente (article 28 de la directive 95/46/CE) n'offrait qu'un cadre sommaire qui, sous l'ancien droit, avait été rempli de manière très différente par les dispositions nationales. Hormis les différences formelles (niveau de détail et structure), on ne peut pas déceler de différences fondamentales sur le fond entre les dispositions européennes et les dispositions suisses. Cette constatation n'est pas surprenante : l'ancienne liste de tâches de l'art. 31 aDSG a été complétée dans le but explicite de mettre en œuvre les prescriptions du droit européen selon l'art. 46 al. 1 let. d et e de la directive (UE) 2016/680 et les exigences de l'art. 12bis ch. 2 let. e P-LPD.
II. Al. 1 : Tâches particulières du PFPDT
A. Let. a : Mandat d'information
10 L'art. 58 al. 1 let. a LPD a été nouvellement introduit dans la LPD dans le cadre de la révision. Cette nouvelle disposition vise à préciser le mandat d'information du PFPDT défini à l'art. 57 LPD.
11 Cette nouvelle disposition prévoit expressément que le PFPDT exerce son mandat de conseil et d'information non seulement à l'égard des organes publics, mais également à l'égard des particuliers. Cette précision linguistique, qui correspond à la pratique du PFPDT sous l'ancien droit, est à saluer.
12 Au vu tant du texte de la loi que du message, le PFPDT dispose d'une large marge de manœuvre quant à la manière dont il souhaite mettre en œuvre ce mandat d'information dans la pratique. Il est en principe libre de choisir les décideurs administratifs, politiques, scientifiques et économiques qu'il informera, formera ou conseillera. Toutefois, la marge d'appréciation du PFPDT n'est pas sans limites : L'indépendance du PFPDT doit toujours être respectée, même lors de la mise en œuvre du mandat d'information au sens de l'art. 58 al. 1 let. a LPD. Dans la pratique, il peut arriver que le PFPDT lui-même ou des membres de sa direction entretiennent des contacts personnels trop étroits avec certains décideurs et que ces contacts ou échanges donnent à des tiers l'impression que le PFPDT est partial ou qu'il influence le PFPDT dans une éventuelle procédure de surveillance en aval.
13 Dans le cadre de son mandat d'information, le PFPDT participe par exemple à la journée annuelle du droit de la protection des données de l'Université de Fribourg, publie des guides, des lettres-types et des FAQ concernant des traitements de données effectués par des organes fédéraux ou des particuliers, conseille des particuliers aussi bien par téléphone que par écrit ou échange régulièrement des informations avec l'Association pour la protection des données en entreprise (VUD). Il peut également organiser des séances d'information ou des formations continues pour les responsables du secteur public. Sous le mot-clé "former", une collaboration avec les différentes facultés de droit serait également envisageable. Actuellement, le droit de la protection des données n'est un cours obligatoire dans aucune université suisse. En l'état actuel, les futurs juristes ne sont pas du tout ou pas suffisamment préparés aux défis que pose la pratique juridique dans ce domaine transversal qu'est la protection des données.
14 Désormais, le PFPDT peut percevoir des émoluments pour les conseils donnés aux particuliers en matière de protection des données conformément à l'art. 58 al. 1 LPD, en vertu de l'art. 59 al. 1 let. e LPD en relation avec l'art. l'art. 44 OLPD, des émoluments sont perçus. Ces émoluments sont calculés en fonction du temps consacré, un tarif horaire de 150 à 250 CHF étant appliqué.
15 Dans l'optique, entre autres, d'une mise en œuvre efficace et à l'échelle nationale de ce mandat d'information normé par la loi, il est également décisif, sous le nouveau droit, que le PFPDT et son suppléant ne proviennent pas de la même région linguistique. En principe, le PFPDT et son suppléant devraient donc continuer à être responsables de la mise en œuvre du mandat d'information dans leur région d'origine respective (p. ex. répondre aux demandes d'interviews).
16 Plus le PFPDT exerce son mandat d'information par divers canaux, plus il est susceptible d'informer un large public sur les défis actuels en matière de protection des données. Toutefois, la mise en œuvre effective du mandat d'information dépend des ressources en personnel disponibles, qui restent modestes.
B. Let. b : Soutien aux autorités cantonales et internationales
17 L'art. 58 al. 1 LPD let. b est issu de l'art. 31 al. 1 let. a et let. c aDSG. Selon le libellé explicite de la loi, le soutien aux autorités cantonales et internationales ne constitue pas un cas particulier de l'activité de conseil du PFPDT. Le PFPDT ne peut "que" soutenir les autorités cantonales et non pas les "conseiller". En raison de la répartition des compétences entre la Confédération et les cantons, il n'appartient pas au PFPDT, dans la mesure où les services cantonaux de protection des données sont compétents, de conseiller les organes cantonaux. Sous l'ancien droit, la formulation de la loi ("organes des cantons") excluait que le PFPDT assiste également les communes. Désormais, en raison d'une légère adaptation de la formulation de la loi ("autorités suisses"), il est envisageable que le PFPDT assiste également des organes communaux. En raison de la répartition des compétences dans le domaine de la protection des données, les organes communaux devraient toutefois continuer à s'adresser en pratique au service cantonal de protection des données compétent en cas de questions ou d'incertitudes.
18 Sous l'ancien droit, il n'était pas clair, en raison de la formulation de la loi, si la disposition en question ne s'appliquait qu'aux organes publics ou si elle englobait également les services de protection des données d'entreprises privées. Au vu du libellé actuel de l'art. 58 al. 1 let. b LPD, il est clair que le champ d'application de cette disposition se limite aux organes publics.
19 Il découle de ce qui précède que les consultations du PFPDT doivent se limiter aux domaines pour lesquels les cantons ne sont pas compétents (consultations de personnes privées et d'organes fédéraux, cf. art. 58 al. 1 let. a LPD) ainsi qu'aux clarifications concernant la délimitation des compétences entre la Confédération et les cantons. Une véritable collaboration dans des cas individuels concrets n'a pas lieu en raison de la répartition des compétences entre la Confédération et les cantons. En ce sens, le libellé choisi ("collabore avec les autorités suisses") est trompeur.
20 L'assistance fournie par le PFPDT au sens de l'art. 58 al. 1 let. b LPD n'est toujours soumise à aucune forme et reste gratuite sous le nouveau droit.
21 Au vu des problématiques de plus en plus transnationales, le soutien des autorités étrangères devient de plus en plus important. Au regard de l'art. 58 al. 1 let. b LPD, le PFPDT n'échange pas seulement avec des représentants des autorités cantonales, mais siège également dans diverses organisations internationales et soutient dans ce cadre les autorités étrangères ou internationales dans la mise en œuvre d'une protection des données efficace à l'échelle mondiale.
22 En raison de son indépendance fixée par la loi, le PFPDT doit toujours pouvoir décider lui-même si et dans quelle mesure il souhaite soutenir une autre autorité. Un mandat de soutien contraignant ne serait pas compatible avec l'indépendance du PFPDT.
23En ce qui concerne les limites de l'assistance offerte par le PFPDT, il convient de relever que l'art. 58 al. 1 let. b LPD ne constitue ni une base pour une compétence fédérale en matière de protection des données, ni une base pour un échange d'informations avec d'autres autorités (nationales ou internationales). Cette disposition devrait uniquement permettre un échange professionnel entre autorités et ainsi permettre aux autres organes publics de profiter des connaissances juridiques et techniques du PFPDT.
24 Depuis la création de "privatim", les échanges avec les autorités cantonales sont organisés par des représentants de cette association ou par certains groupes de travail. Dans la pratique, il s'est avéré à plusieurs reprises que les échanges entre la Confédération et les représentants des cantons sont enrichissants dans les domaines où leurs compétences respectives se recoupent, notamment lors de la pandémie du Covid-19, qui a soulevé diverses questions de protection des données dans le domaine de la santé non seulement au niveau cantonal, mais aussi au niveau national (et international). Récemment, le PFPDT et "privatim" ont révisé ensemble leur guide "Elections et votations" dans la perspective des élections fédérales de 2023 : Les élections et les votations se déroulent à tous les niveaux fédéraux et sont confrontées à des défis similaires à tous les niveaux fédéraux.
C. Let. c : Mission de sensibilisation
25 L'art. 58 al. 1 let. c LPD précise le mandat de sensibilisation du PFPDT défini à l'art. 57 LPD.
26 La sensibilisation des personnes vulnérables a été nouvellement introduite dans la LPD en s'inspirant du droit européen (art. 57 al. 1 let. b RGPD). La notion de "personnes vulnérables" n'est toutefois définie ni à l'art. 58 LPD ni à l'art. 5 LPD (définitions). Dans le message, les mineurs et les personnes âgées sont mentionnés comme personnes vulnérables. En raison du choix des termes ("notamment"), cette énumération n'est pas exhaustive. Les malades et les réfugiés, par exemple, devraient également être considérés comme des personnes particulièrement dignes de protection au sens de l'art. 58 al. 1 let. c LPD, surtout si l'on considère que dans ces cas de figure, des données personnelles sensibles sont souvent traitées au sens de l'art. 5 let. c ch. 1, 2 ou 5 LPD. Le PFPDT intervient par exemple chaque année au sujet du traitement de données personnelles dans le domaine de la santé.
27 Sous l'ancien droit, le PFPDT s'est déjà efforcé de sensibiliser les jeunes à la protection des données. Il a par exemple conçu sept leçons pour les élèves des niveaux secondaires I et II, chacune consacrée à un thème particulier pertinent pour les jeunes dans leur vie quotidienne. Il a également publié sur son site web des conseils pour les nouveaux parents. Le service interactif de sensibilisation à la protection des données et à la transparence dans les organisations "Think Data", soutenu par le PFPDT, s'adresse aussi explicitement, entre autres, aux étudiantes et aux étudiants. La mission de sensibilisation des enfants et des jeunes connaît toutefois aussi ses limites. Selon l'art. 62 al. 1 Cst., l'éducation est l'affaire des cantons. Il appartient donc en premier lieu aux directrices et directeurs cantonaux de l'éducation de s'occuper de la sensibilisation à la protection des données pendant la scolarité obligatoire.
28 En ce qui concerne le mandat de sensibilisation des personnes âgées, il n'existe actuellement aucune collaboration spécifique avec une organisation active dans ce domaine ou un projet s'adressant spécialement à ce groupe social. Une collaboration avec "pro senectute" ou d'autres associations ou groupements d'intérêts serait envisageable ou souhaitable sur la base de l'art. 58 al. 1 let. c LPD.
29 L'attribution de prix et de distinctions sur le modèle, par exemple, du Rodotà Award du Conseil de l'Europe ou des Big Brother Awards du Chaos Computer Club Suisse serait une possibilité de sensibiliser la population civile d'une manière un peu différente.
30 Lors de la mise en œuvre du mandat de sensibilisation du PFPDT, il faut toutefois toujours garder à l'esprit qu'il s'agit - comme dans le cadre de la lutte contre le changement climatique - de sensibiliser le grand public à un danger dont les conséquences ne se feront sentir ou ne seront perceptibles qu'à un stade ultérieur. Le travail de sensibilisation s'en trouve considérablement compliqué.
D. Let. d : Mandat de conseil
31 Le mandat de conseil du PFPDT a été expressément introduit dans la LPD dans le cadre de la révision. La loi reflète ainsi un changement observé dans la pratique : contrairement à ce que le législateur de 1988 avait prévu, ce n'est pas la surveillance, mais le conseil aux personnes privées qui constitue l'essentiel de l'activité du PFPDT :
32 L'application individuelle des droits par le biais des tribunaux civils (art. 32 al. 2 LPD), prévue par le législateur, joue un rôle secondaire, voire (presque) inexistant, dans la pratique. Face à une procédure longue et coûteuse à l'issue incertaine, il est extrêmement rare que les personnes concernées engagent une procédure devant le tribunal compétent. Ceci est d'autant plus vrai que de plus en plus de traitements de données sont effectués par des personnes privées ayant leur siège à l'étranger et qu'ils entraînent une atteinte à la personnalité en Suisse. Une procédure prometteuse devant un tribunal civil suisse devient ainsi (presque) impossible ou plus difficile. Par conséquent, les questions de principe relatives à la protection des données ne sont guère abordées dans la jurisprudence, et les rares décisions de justice n'ont qu'une portée limitée au-delà du cas d'espèce. Le PFPDT joue donc un rôle important dans l'application du droit grâce à son mandat de conseil.
33 Le PFPDT est libre quant à la forme. Il exerce son mandat de conseil aussi bien oralement (hotline) que par écrit (formulaire de contact, modèles de lettres ou de plaintes, guides, FAQ, communiqués de presse, Twitter).
34 Contrairement aux conseils donnés aux "personnes privées en matière de protection des données" selon l'art. 58 al. 1 let. a LPD, les "renseignements sur la manière dont une personne privée peut exercer ses droits" selon l'art. 58 al. 1 let. d LPD en liaison avec l'art. l'art. 59 al. 1 let. e a contrario LPD est gratuit. Il va de soi que la délimitation entre le champ d'application de la let. a et celui de la let. d LPD risque d'être difficile dans la pratique. Dans l'intérêt de l'égalité de droit, il faut espérer que le PFPDT fera généreusement usage de l'exception prévue à l'art. 59 al. 3 LPD (renonciation à la perception d'émoluments) dans ce contexte.
35 Dans le cadre de ses consultations, le PFPDT apprend de première main dans quels domaines ou dans quelles entreprises il existe éventuellement des problèmes en matière de protection des données. Une mise en œuvre aussi large que possible du mandat de conseil contribue ainsi notamment à ce que le PFPDT puisse remplir efficacement son mandat de surveillance selon les art. 49 ss LPDS. LPD de manière efficace.
E. Let. e : consultation du PFPDT dans le cadre de la procédure législative de la Confédération.
36 La consultation du PFPDT dans le cadre de la procédure législative fédérale est un cas particulier du mandat de conseil du PFPDT.
37 Selon la nouvelle teneur de la loi, le préposé doit être consulté sur tous les projets d'actes législatifs et de mesures de la Confédération qui concernent un traitement de données (et pas seulement sur les projets qui touchent de manière importante à la protection des données). Cette précision linguistique reflète la pratique sous l'ancien droit et doit être saluée dans l'optique de la sécurité juridique.
38 L'art. 38 al. 2 OLPD précise encore cette obligation pour tous les organes fédéraux : Les organes fédéraux soumettent au PFPDT tous les projets législatifs qui concernent le traitement de données personnelles, la protection des données et l'accès aux documents officiels.
39Le délai interne (non officiel) pour prendre position dans le cadre des consultations des offices est de trois semaines. Dans la pratique, tous les offices ne respectent toutefois pas cet accord officieux. Dans certains cas, le délai très court pour prendre position peut entraîner une baisse de la qualité de l'avis du PFPDT. Il faut espérer que ce délai sera à nouveau plus souvent respecté après la fin de la pandémie de Corona. Un retour au "courant normal" permettrait au PFPDT de préparer soigneusement ses prises de position et, s'il le juge nécessaire, de rechercher le dialogue avec l'office fédéral compétent et de trouver une solution acceptable pour tous les services impliqués.
40 Si le PFPDT a été écarté de la procédure législative et qu'il estime que cette information présente un intérêt public, il peut s'adresser directement au public en vertu de l'art. 57 al. 2 LPD (en relation avec l'art. 39 let. i OLPD).
41 La notion de "mesures" est une notion floue. Ce flou linguistique permet au PFPDT de siéger dans différents organes ou groupes de travail. En vertu de l'art. 58 al. 1 let. e LPD, le PFPDT peut donc être impliqué dès la première phase d'un nouveau projet relevant de la protection des données. Par exemple, le PFPDT a été consulté très tôt dans le cadre de la stratégie d'informatique en nuage de l'administration fédérale. Le SECO a également fait appel aux conseils du PFPDT lors de la révision des directives relatives à l'art. 26 OLT 3, qui ont été publiées en février 2023. Il convient toutefois de préciser que le fait de consulter le PFPDT au début d'un nouveau projet n'exclut pas que le PFPDT, dans le cadre de son activité de surveillance au sens des art. 49 ss LPD, puisse intervenir dans le cadre d'un nouveau projet. LPD, le projet en question sera examiné a posteriori. En d'autres termes, la consultation du PFPDT ne doit pas être confondue avec une sorte de "procédure de certification".
F. Let. f : tâches prévues par la LTrans.
42 La mention des tâches du PFPDT selon la LTrans a un caractère purement déclaratoire. Les tâches du PFPDT en rapport avec le principe de transparence découlent directement de l'art. 18 LTrans (direction de la procédure de médiation, relations publiques, consultation dans le cadre de la procédure législative) et de l'art. 19 LTrans (évaluation).
43 La coordination entre la LPD et la LTrans est régie par les art. 7, al. 2, et 9 LTrans ou par l'art. 36, al. 3, LPD.
44 La question de savoir si la protection des données ou le principe de transparence sont servis lorsque la même autorité doit, d'une part, s'engager pour une protection des données efficace et, d'autre part, accorder le plus grand accès possible aux documents officiels est controversée. La solution suisse est également en vigueur dans certains autres pays, comme l'Allemagne (au niveau fédéral) ou la Grande-Bretagne. La France, en revanche, a confié chacune de ces deux tâches à deux autorités différentes. Au niveau européen, le compromis à ce sujet est réglé par l'article 86 du DSGVO.
G. Let. g : Recommandations de bonnes pratiques
45 L'art. 58 al. 1 let. g LPD a été nouvellement introduit dans la LPD dans le cadre de la révision. Le PFPDT s'acquittait toutefois déjà intensivement de cette tâche dans le cadre de son activité de conseil sous l'ancien droit, en publiant de nombreux guides, modèles de lettres et FAQ sur son site Internet.
46 La publication des recommandations de bonnes pratiques est, tout comme la consultation du PFPDT dans le cadre de la procédure législative au niveau fédéral (art. 58 al. 1 let. e LPD), un cas particulier de l'activité de conseil du PFPDT. En ce qui concerne les recommandations de bonnes pratiques, il faut également souligner que la mise en œuvre des recommandations n'exclut pas toute procédure de surveillance. En d'autres termes, les recommandations ne sont pas juridiquement contraignantes. Le PFPDT ne peut pas légiférer sur la base de l'art. 58 al. 1 let. g LPD. Un éventuel tribunal saisi décidera, indépendamment des éventuelles recommandations du PFPDT, s'il y a ou non violation de la LPD dans un cas particulier. Le fait qu'une personne privée ait suivi les recommandations du PFPDT peut toutefois jouer un rôle important dans l'examen de la faute dans le cadre d'actions en réparation.
47 En ce qui concerne la notion de personnes vulnérables, on peut se référer aux explications précédentes relatives à l'art. 58 al. 1 let. c LPD.
III. Al. 2 : Mandat de conseil élargi
48 Du point de vue du contenu, l'art. 58 al. 2 LPD correspond à l'art. 31 al. 2 aDSG.
49 Certains traitements de données sont exclus du champ d'application de la LPD en vertu de l'art. 2 al. 2, 3 et 4 LPD et de l'art. 4 al. 2 LPD. L'art. 58 al. 2 LPD permet au PFPDT, s'il le souhaite, de prendre position sur des questions qui sont exclues du champ d'application de la LPD conformément au texte de loi. La précision linguistique apportée dans la deuxième phrase clarifie le fait que les organes fédéraux éventuellement concernés peuvent autoriser le PFPDT à consulter les dossiers. En d'autres termes, le secret de fonction est levé dans ces cas.
50 L'art. 58 al. 2 LPD est une disposition dite "potestative". Contrairement aux tâches définies à l'al. 1, il n'existe aucun droit pour les mandats de conseil mentionnés à l'al. 2.
51 La liste fixée à l'art. 58 al. 1 LPD n'est pas exhaustive. Il est donc admissible que le PFPDT conseille également sur des traitements de données qui n'entrent pas dans le champ d'application de la LPD (cf. art. 2 al. 2 let. a LPD). Cette possibilité est l'expression du fait que l'art. 13 Cst. a une portée générale et ne s'applique pas uniquement aux domaines dans lesquels la LPD est applicable.
52 En raison des ressources toujours limitées du PFPDT, l'art. 58 al. 2 LPD sera probablement rarement appliqué, tout comme la disposition qui l'a précédé.
53 Par souci d'exhaustivité, il convient de préciser que dans les domaines où la LPD n'est pas applicable, toute activité de surveillance du PFPDT est exclue, par exemple dans une procédure civile en cours.
IV. Al. 3 : Entraide judiciaire internationale
54L'art. 58 al. 3 LPD a été ajouté à la LPD dans le cadre de la révision. Cette disposition a pour but de simplifier la transmission de documents officiels aux responsables privés de la protection des données qui ont leur siège à l'étranger, mais qui doivent désigner une représentation en Suisse conformément à l'art. 14 LPD.
Bibliographie
Baeriswyl Bruno, Datenschutzgesetzgebung in der Schweiz – Standortbestimmung und Ausblick, in: Kieser Ueli/Pärli Kurt (Hrsg.), Datenschutz im Arbeits-, Versicherungs- und Sozialbereich: Aktuelle Herausforderungen, St. Gallen 2012, S. 10 ff. (zit. Baeriswyl, Standortbestimmung).
Baeriswyl Bruno, Kommentierung zu Art. 31 aDSG, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 1. Aufl., Bern 2015 (zit. SHK-Baeriswyl, Art. 31 aDSG).
Belser Eva Maria, § 5 Die Kompetenzverteilung zwischen Bund und Kantonen, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 4 ff. (zit. Belser).
Cottier Bertil, Transparence et protection des données, Une relation amour-haine?, in: Waldmann Bernhard/Bergamin Florian (Hrsg.), 10 Jahre InfoG Freiburg, Bern 2021, S. 159 ff. (zit. Cottier).
Huber René, Kommentierung zu Art. 31 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014 (zit. BSK-Huber, Art. 31 aDSG).
Jöhri Yvonne, §8 Aufgabe und Bedeutung der öffentlichen Datenschutzbeauftragten, in: Passadelis Nicolas/Rosenthal David/Thür Hanspeter (Hrsg.), Datenschutzrecht: Beraten in Privatwirtschaft und öffentlicher Verwaltung, Handbücher für die Anwaltspraxis, Basel 2015, S. 245 ff. (zit. Jöhri).
Meier Philippe, Protection des données: fondements, principes généraux et droit privé, Berne 2011 (zit. Meier).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).
Specht Louisa/Bienemann Linda, Kommentierung zu Art. 86 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Specht/Bienemann, Art. 86 DSGVO).
Waldmann Bernhard/Oeschger Marcus, §15 Aufsicht, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011 (zit. Waldmann/Oeschger).
Ziebarth Wolfgang, Kommentierung zu Art. 57 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Ziebarth, Art. 57 DSGVO).
Ziebarth Wolfgang, Kommentierung zu Art. 58 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Ziebarth, Art. 58 DSGVO).
Matériaux
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988 (zit. BBl 1988 II S. 413 ff.).
Zusammenstellung der Ergebnisse des Vernehmlassungsverfahrens zum Bundesgesetz über die Öffentlichkeit der Verwaltung (Öffentlichkeitsgesetz, BGÖ) vom März 2001 (zit. Zusammenstellung Vernehmlassungsverfahren).
Gutachten 051124 des Bundesamtes für Justiz, VPB 70.54, vom 24.11.2005 (zit. Gutachten des BJ, VPB 70.54).
Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011 (zit. BBl 2012 S. 335 ff.).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017 (zit. BBl 2017 S. 6941 ff.).
28. Tätigkeitsbericht des EDÖB 2020/2021 vom 31.3.2021 (zit. EDÖB, 28. Tätigkeitsbericht 2020/2021).
29. Tätigkeitsbericht des EDÖB 2021/2022 vom 31.3.2022 (zit. EDÖB, 29. Tätigkeitsbericht 2021/2022).