I. Généralités

1 La notion de traitement doit être comprise au sens large et englobe tout traitement de données à caractère personnel – «en gros : tout ce que l'on fait avec des données à caractère personnel». À titre d'exemple, l'art. 5 let. d cite les formes de traitement suivantes : «collecte, enregistrement, conservation, utilisation, modification, communication, archivage, effacement ou destruction». Les termes «enregistrer» et «supprimer» ont été ajoutés afin de rapprocher la formulation de l'art. 5 let. d LPD de celle de l'art. 4 n° 2 DSGVO. Cependant, le contenu du terme «traitement» reste inchangé après la révision de la loi. Le terme «collecte de données» de l'ancienne loi a été intégré dans le terme «traitement».

2 Une harmonisation terminologique complète avec le DSGVO n'a pas été réalisée pour des «raisons pratiques». Ainsi, la LPD parle de traitement ou de traitement, tandis que le DSGVO parle de traitement / traitement. En outre, les exemples de l'article 5 let. d LPD diffèrent clairement de ceux mentionnés à l'article 4 n° 2 DSGVO. Cependant, malgré les différences rédactionnelles, le traitement au sens de la LPD et le traitement au sens du DSGVO doivent être compris comme étant identiques. Lors de l'interprétation du terme de traitement selon l'art. 5 let. d LPD, la jurisprudence relative à l'art. 4 n° 2 DSGVO peut donc être utilisée à titre indicatif.

3 L'un des principes fondamentaux de la LPD est son caractère technologiquement neutre. C'est pourquoi, pour déterminer s'il y a traitement, peu importe les moyens et les procédures utilisés. Les traitements au sens de la LPD peuvent donc être aussi bien manuels qu'automatisés. Le caractère technologiquement neutre de la LPD implique également que celle-ci couvre ou couvrira les formes de traitement futures, encore inconnues à ce jour.

II. Le traitement en tant que condition d'application de la LPD

4 La notion de traitement est d'une importance capitale, car la LPD n'est applicable que si des données personnelles sont traitées par un service quelconque impliqué dans le traitement de données personnelles. Les obligations qui en découlent dépendent du fait que le service concerné est (conjointement) responsable ou sous-traitant. Le traitement suppose une action qui a pour but et pour conséquence que quelque chose soit fait avec les données, ou une action qui se rapporte objectivement aux données. En revanche, les actions qui concernent simplement les données ne constituent pas un traitement, comme le transport de passagers en bus ou en train, si ces passagers transportent avec eux des données personnelles stockées sur des supports de données, par exemple. Peu importe que les données personnelles concernées soient effectivement portées à la connaissance d'une personne ou non, c'est pourquoi le traitement par le biais de programmes informatiques est également couvert. Le traitement purement mental de données personnelles n'est pas un traitement au sens de l'art. 5 let. d. Par conséquent, les informations qui ne sont présentes que dans la mémoire d'une personne ne sont pas non plus couvertes par le droit d'accès prévu par la loi sur la protection des données.

5 Parfois, la définition du concept de traitement ou l'attribution de traitements de données à des personnes spécifiques pose problème, comme le montre l'affaire de stockage de dossiers jugée par un tribunal allemand : à la suite d'une procédure d'insolvabilité, une société foncière est devenue propriétaire d'un hôpital désaffecté dans lequel se trouvaient des dossiers de patients. La propriétaire s'est opposée à l'ordre des autorités de stocker les dossiers dans un lieu particulièrement protégé. Le tribunal a finalement jugé qu'il n'y avait pas eu de traitement par la propriétaire, car celle-ci n'avait pas elle-même stocké les dossiers et ne les avait pas non plus manipulés d'une autre manière. Cela n'a bien sûr pas permis de déterminer si un autre organisme avait traité ou fait traiter les données en tant que sous-traitant ou responsable.

6 Des questions sur la portée de la notion de traitement se posent depuis peu également en rapport avec les systèmes d'IA. Le fait que le traitement d'informations – dans la mesure où elles sont à caractère personnel – au moyen de systèmes d'IA constitue un traitement est une conséquence de la définition large du traitement et de la conception technologiquement neutre de la LPD. En revanche, la distinction entre les différents processus de traitement, tels qu'ils se produisent dans le cadre de l'utilisation de systèmes d'IA en partage de tâches, peut être moins claire dans certains cas. Cette distinction est pertinente car elle a une incidence sur la personne responsable du respect de la législation sur la protection des données (en particulier la protection des droits des personnes concernées) et des éventuelles violations lors du traitement. Le règlement européen sur l'IA différencie les rôles des acteurs, entre autres entre les fournisseurs et les exploitants de systèmes d'IA, afin de définir les obligations. De telles distinctions n'ont pas encore été établies dans le droit de la protection des données. Il serait toutefois logique de faire ici aussi la distinction entre la création d'un système d'IA (c'est-à-dire la formation qui l'accompagne, dans la mesure où des données personnelles sont impliquées) et son utilisation.

III. Types de traitement désignés

7 La liste des types de traitement désignés est donnée à titre d'exemple et les termes se recoupent en partie. Seuls certains des types de traitement désignés sont associés à des instructions spécifiques, par exemple la collecte, la divulgation et la destruction des données. En outre, les principes de traitement de la protection des données doivent être pris en compte pour tout traitement. Lorsqu'une activité ne peut être rattachée à aucune forme de traitement définie, il est toujours possible qu'il s'agisse d'une forme de traitement non définie (voir chapitre I ci-dessus). Les formes de traitement définies sont donc moins importantes pour l'application de la LPD.

A. Collecte

8 Il y a collecte de données lorsque l'organisme qui collecte les données prend volontairement connaissance de ces données ou en justifie la disposition. Il n'y a pas collecte de données lorsque les données sont fournies par la personne concernée elle-même ou par des tiers sans qu'elle en fasse la demande et que le destinataire des données ne souhaite pas les traiter (par exemple, lors de la réception d'un e-mail mal acheminé, lors de l'écoute d'une conversation, etc. En revanche, il y a collecte de données personnelles lorsque le service concerné souhaite collecter des données en général et accepte que cela implique également la collecte de données personnelles. Conformément à l'art. 6 al. 3 LPD, la collecte de données ne peut être effectuée qu'à des fins spécifiques et reconnaissables par la personne concernée et entraîne l'obligation d'informer conformément à l'art. 19 LPD. Les exemples typiques d'opérations de collecte sont la compilation de données provenant d'autres sources, l'enregistrement ou la journalisation d'informations. Que les données soient protégées ou librement disponibles n'a pas d'importance. Par conséquent, une recherche ciblée sur Internet peut également constituer une collecte de données personnelles et entraîner l'applicabilité de la LPD. Il n'est pas nécessaire de prendre effectivement connaissance du contenu des données, il suffit que les données parviennent pour la première fois dans le domaine de disponibilité d'un responsable. Ainsi, les formes automatisées de collecte de données, telles que le « data scraping », sont également considérées comme une collecte au sens de la LPD. Les principes ci-dessus s'appliquent également aux systèmes d'IA générative : Lorsque des données personnelles sont collectées par inadvertance, il n'y a généralement pas de collecte, et il n'y en a pas non plus lorsque des données personnelles existantes sont simplement modifiées (par exemple par la génération ou le traitement d'un texte). En revanche, lorsque des systèmes d'IA générative sont utilisés pour obtenir des informations supplémentaires sur une personne ou pour en inventer, il y a généralement collecte de données du point de vue de la protection des données.

B. Stockage

9 La notion de stockage a été introduite afin de se rapprocher de la formulation des sources juridiques européennes pertinentes, notamment de l'article 4, paragraphe 2, du DSGVO. Selon l'art. 4 n° 2 DSGVO, le stockage est défini comme la conservation de données sous forme matérielle sur un support de données (disque dur, serveur, clé USB, etc.) dans le but de pouvoir continuer à traiter les données ultérieurement. Selon l'objectif visé, la conservation d'informations dans des systèmes d'IA peut également être considérée comme un stockage (voir ci-dessus n. 6).

10 L'OPDo fait référence à la notion de stockage en ce qui concerne les exigences en matière de sécurité des données (art. 3 al. 2 let. b et e OPDo) et l'obligation de journalisation (art. 4 al. 2 et 3 OPDo).

C. Conservation

11 La conservation peut être décrite comme l'activité par laquelle les données sont maintenues disponibles dans le contexte du traitement. Contrairement à l'archivage (voir n. 15 ci-dessous), les données conservées peuvent donc toujours être utilisées. En tant que forme de traitement, la conservation est expressément soumise à la LPD, car des atteintes à la personnalité sont encore possibles à ce stade du traitement, par exemple en raison de lacunes dans la sauvegarde des données. La conservation est abordée à l'art. 12 al. 2 let. e LPD, selon lequel la durée de conservation doit être indiquée dans le registre des traitements, ainsi que dans le cadre du droit d'accès conformément à l'art. 25 al. 2 let. d LPD.

D. Utilisation

12 L'utilisation des données désigne toute activité ayant pour but d'utiliser le contenu informatif des données (y compris la prise de connaissance des données). L'utilisation des données est mentionnée à l'art. 5 let. f LPD (profilage), à l'art. 21 OPDo (exigences techniques relatives à la mise en œuvre de la communication des données) ainsi qu'à l'art. 4 al. 5 OPDo (journalisation). Cependant, la LPD ou l'OPDo ne prévoient pas de consignes spécifiques pour l'utilisation des données.

E. Modification

13 La modification des données peut être décrite comme une « activité par laquelle le contenu informatif des données personnelles est modifié (remanié quant au contenu) ». La LPD ne prévoit pas d'instructions particulières, à part le respect des principes de traitement, ni de conséquences juridiques ; la modification des données est mentionnée à l'art. 3 al. 3 let. a OPDo (contrôle de la saisie) et à l'art. 4 al. 2 et 3 OPDo (journalisation).

F. Divulgation

14 La communication de données, qui constitue une forme de traitement particulièrement délicate, fait l'objet d'une réglementation distincte dans OK-NN, art. 5 let. e LPD. [Commentaire à paraître]

G. Archivage

15 L'archivage consiste à maintenir la disponibilité des données indépendamment du contexte de traitement. Contrairement à la conservation (voir ci-dessus n° 11), l'archivage consiste à retirer les données du contexte de traitement dans lequel elles ont été traitées jusqu'à présent. Il s'ensuit que l'atteinte à la personnalité des personnes concernées est généralement réduite. Cela est exprimé dans l'art. 32 al. 1 let. b et l'art. 41 al. 5 LPD, qui limitent les droits des personnes concernées en cas de traitement à des fins d'archivage. Par ailleurs, l'art. 38 LPD (règle spéciale pour les organes fédéraux concernant la mise à disposition de certaines données personnelles pour les archives fédérales) fait référence aux fins d'archivage ou à l'archivage.

H. Effacement ou destruction

16 Le terme de « destruction » implique que les données sont détruites de manière irréversible. Dans le cas d'un stockage physique des données sur papier, le papier doit être brûlé ou déchiqueté. Dans le cas de données stockées électroniquement, le support de données correspondant doit être rendu inutilisable et toutes les copies doivent être traitées de manière à ce que les données ne soient plus lisibles.

17 Le terme d'effacement de données est généralement utilisé pour le traitement électronique des données et a une portée plus limitée : pour effacer des données, il suffit en principe d'utiliser les commandes d'effacement du programme concerné, de sorte que les données ne sont plus reconnaissables dans le cadre des processus habituels du programme et ne peuvent être restaurées qu'avec des moyens disproportionnés. En d'autres termes, les données personnelles sont effacées lorsqu'il n'est plus possible d'établir un lien avec une personne. Une anonymisation efficace équivaut donc à un effacement ou constitue une méthode d'effacement des données personnelles. Parallèlement à la notion de données personnelles, il faut appliquer l'approche dite relative, ce qui signifie que le point de vue des personnes ou des organismes qui ont accès aux données est déterminant. Il peut donc être difficile de déterminer si des données personnelles ont été supprimées de manière efficace, car des données peuvent rester dans les systèmes après l'exécution des ordres de suppression et être restaurées dans certaines circonstances. Dans ces cas, la question se pose de savoir si la restauration des données ou l'accès aux données nécessite un effort disproportionné. Cela ne peut être évalué qu'au cas par cas, en fonction des conditions techniques, mais aussi en fonction de l'intérêt que des tiers pourraient avoir à restaurer la référence personnelle.

18 La distinction clairement établie dans les documents législatifs entre les notions d'effacement et de destruction n'est pas systématiquement appliquée dans la LPD. Ainsi, l'art. 6 al. 4 LPD exige que les données soient « détruites ou rendues anonymes dès qu'elles ne sont plus nécessaires au traitement » - il serait plus juste de mentionner ici également l'effacement. Même si la loi n'utilise pas les termes de manière cohérente, il convient, par souci de clarté, de veiller à ce que les termes « effacement » et « destruction » ne soient pas confondus par inadvertance lors de la rédaction de contrats, par exemple dans le cadre de contrats de traitement de commandes. Il faut notamment éviter que la destruction de données soit convenue par inadvertance au lieu d'une obligation d'effacement, car la destruction pourrait être difficile à réaliser ou non souhaitable dans le cas d'un traitement électronique des données (voir ci-dessus n. 16).

Bibliographie

Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG, Bearbeiter/-in).

Blechta Gabor/Vasella David, Basler Kommentar Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl, Basel 2024 (zit. BSK DSG, Bearbeiter-in).

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988, abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/en, besucht am 30.6.2023 (zit. Botschaft 1988).

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 694, abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 30.6.2023 (zit. Botschaft 2017).

Freund Bernhard, Anmerkung zu OVG Hamburg: Datenlagerung ist keine Datenverarbeitung, Zeitschrift für Datenschutz 2021, S. 283-284 (zit. Freund, ZD 2021).

Griesinger Marcel, Schweizerisches Datenschutzgesetz: Datenschutz-Compliance für Unternehmen beim Einsatz von KI-Anwendungen, CB 2024, S. 485 f. (zit. Griesinger, CB 2004, S. 485).

Kühling Jürgen/Buchner Benedikt, Kommentar Datenschutz-Grundverordnung/BDSG, 4. Aufl, München 2024 (zit. Kühling/Buchner, Bearbeiter-in).

Rosenthal David, Löschen und doch nicht löschen, Zeitschrift für Datenrecht und Informationssicherheit 2019, S. 190-197 (zit. Rosenthal, digma 2019).

Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter 2020).

Rosenthal David, Datenschutz beim Einsatz generativer künstlicher Intelligenz, in: Jusletter vom 6.11.2023 (zit. Rosenthal, Jusletter 6.11.2023).

Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).

Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Taeger/Gabel, Bearbeiter-in).

Wolff Heinrich Amadeus/Brink Stefan/v. Ungern-Sternberg Antje, BeckOK Datenschutzrecht, 44. Edition, Stand: 1.11.2024 (zit. BeckOK Datenschutzrecht, Bearbeiter-in).