-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Faits objectifs
- III. Eléments subjectifs de l'infraction
- IV. Illégalité et culpabilité
- Bibliographie
- Matériaux
En bref
La disposition de l'article 61 sanctionne (i) la violation intentionnelle des prescriptions lors de l'exportation de données, (ii) la violation intentionnelle des prescriptions lors du transfert du traitement des données à un sous-traitant et (iii) le non-respect intentionnel des exigences minimales en matière de sécurité des données. En cas de réalisation de l'une de ces infractions, une amende de 250 000 francs au maximum est encourue. En ce qui concerne la variante de l'infraction consistant à ne pas respecter intentionnellement les exigences minimales en matière de sécurité des données (art. 61 let. c), il existe des doutes fondés quant à sa justiciabilité.
I. Généralités
1 La disposition de l'art. 61 est nouvelle. Le Conseil fédéral a justifié l'introduction de cette disposition dans le message par le fait que la loi sur la protection des données totalement révisée prévoit de "nouvelles obligations élémentaires" qui "ne sont pas couvertes par les dispositions pénales en vigueur". Il s'agit d'un délit de mise en danger abstraite ; le délit est consommé dès la réalisation de l'acte, la punissabilité ne présuppose donc pas la prise de connaissance des données personnelles concernées par des tiers non autorisés.
2 La norme pénale de l'art. 61 est un délit poursuivi sur plainte.
3 Le but de l'art. 61 est de donner du poids aux obligations des responsables du traitement et des sous-traitants ancrées dans la loi (art. 16 al. 1 et 2 en relation avec l'art. 17 ; art. 9 al. 1 et 2 ; art. 8 al. 3) en rendant leur violation punissable. Selon le message, la sanction pénale doit en fin de compte contribuer à ce que la personnalité des personnes concernées soit protégée efficacement. L'art. 61 let. a doit également être lu en relation avec l'objectif de la révision de la LPD, tel que le Conseil fédéral l'avait mentionné dans son rapport sur l'évaluation de la LPD du 9 décembre 2011 : la révision devait s'adresser à l'augmentation des traitements de données, à la dimension de plus en plus internationale des traitements de données et à la difficulté croissante de pouvoir continuer à contrôler des données une fois qu'elles ont été communiquées.
4 L'infraction visée à l'article 61 est un délit spécial : l'auteur de l'infraction ne peut être que celui qui est chargé d'assurer le respect des obligations visées à l'article 61, à savoir, dans le cas des personnes morales visées à l'article 29 du code pénal, leurs dirigeants. De par sa nature, la disposition de l'art. 61 s'adresse donc en premier lieu aux personnes habilitées à donner des instructions, puisque ce sont elles qui doivent garantir le respect des obligations en question. Celui qui n'empêche pas les infractions commises par des collaborateurs subordonnés ou qui n'en supprime pas les effets entre également en ligne de compte comme auteur (art. 6 al. 2 et 3 DPA en relation avec l'art. 64 al. 1 LPD).
5 En ce qui concerne l'infraction visée à l'art. 61 let. c, elle a été critiquée à plusieurs reprises au cours de la procédure législative comme étant trop vague. La demande de suppression n'a toutefois pas été acceptée en fin de compte. Meyle/Morand/Vasella remettent à juste titre en question la justiciabilité des "exigences minimales en matière de sécurité des données" régies par le RGPD (cf. ci-dessous, n. 17 ss).
II. Faits objectifs
6 L'art. 61 LPD mentionne trois faits dont la réalisation est considérée comme une violation du devoir de diligence. Une infraction commise par des personnes privées est passible d'une amende pouvant atteindre 250 000 francs. En particulier, la violation des trois éléments constitutifs suivants est poursuivie pénalement sur plainte : La violation des prescriptions lors de l'exportation de données (art. 61 let. a, n. 7 ss ci-dessous), la violation des prescriptions lors du transfert du traitement des données à un sous-traitant (art. 61 let. b, n. 12 ss ci-dessous) et le non-respect des exigences minimales en matière de sécurité des données (art. 61 let. c, n. 15 ss ci-dessous).
A. Violation des prescriptions lors de l'exportation de données (art. 61 let. a)
1. généralités
7 Sous l'ancien droit, celui qui ne respectait pas les prescriptions légales dans le cadre d'une communication de données à des Etats ne disposant pas d'une protection légale adéquate des données n'était pas punissable. En vertu de l'art. 34, al. 2, let. aDSG, n'était punissable que celui qui, tout en se souciant d'une protection sous forme de contrat, omettait intentionnellement de déclarer ce contrat au PFPDT conformément à l'art. 6, al. 3, aDSG ou donnait intentionnellement de fausses indications.
8 Selon l'art. 61 let. a, est désormais punissable celui qui exporte intentionnellement des données vers un Etat ne disposant pas d'une protection des données adéquate et qui ne peut ni présenter une garantie suffisante de protection des données ni s'appuyer sur une exception selon l'art. 17. Si le Conseil fédéral n'a pas pris de "décision d'adéquation" sur la base de l'art. 16 al. 1, les données personnelles ne peuvent être communiquées à l'État concerné qu'aux conditions mentionnées à l'art. 16 al. 2, la conclusion de clauses contractuelles standard ("clauses standard de protection des données", let. d) étant la plus pertinente en pratique.
9 Dans le domaine d'application du DSGVO, la Commission européenne a abrogé les anciennes clauses contractuelles standard avec effet au 27 septembre 2021 par la décision d'exécution (UE) 2021/914 du 4 juin 2021 et les a remplacées par de nouvelles clauses contractuelles standard. Le 27 août 2021, le PFPDT a reconnu ces nouvelles clauses contractuelles standard, sous réserve qu'elles soient adaptées et/ou complétées si nécessaire dans des cas d'application concrets. Quiconque communique des données dans un Etat qui ne dispose pas d'une protection légale adéquate des données ne peut toutefois pas se contenter de conclure des clauses contractuelles standard reconnues. Au contraire, le libellé de l'art. 16 al. 2 let. d exige que ces clauses contractuelles standard garantissent effectivement une protection des données "appropriée". Les nouvelles clauses contractuelles types prévoient que les parties (i) s'assurent en outre qu'elles peuvent respecter les clauses contractuelles types indépendamment du droit national de l'importateur et (ii) documentent leur évaluation à cet égard. Il faut donc procéder à une évaluation de l'impact du transfert (TIA) et les données ne peuvent être transférées que si cette TIA est satisfaisante.
10 L'article 10 al. 1 du RGPD précise ou relativise le fait que l'exportateur de données doit prendre des "mesures appropriées" en cas de communication de données au moyen de clauses contractuelles types afin de s'assurer que l'importateur de données respecte les clauses en question. Il s'ensuit que (dans l'esprit de l'approche fondée sur les risques) il est permis d'accepter un risque résiduel que le droit local de l'importateur fasse échec au respect des clauses contractuelles types par l'importateur, tant que des mesures ont été prises pour réduire ce risque de manière appropriée. Voir à ce sujet le commentaire sur les articles 16 et 17.
2. Pas de responsabilité pénale de l'importateur
11 Celui qui (en tant qu'exportateur) communique des données personnelles à l'étranger en sachant que le destinataire (importateur) des données n'assure pas une protection des données appropriée malgré le contrat, s'expose au risque de punissabilité selon l'art. 61 let. a. En revanche, l'importateur qui reçoit des données personnelles ou qui les utilise en violation du contrat ou de la protection des données n'est pas soumis à un risque de punissabilité - seule la communication de données personnelles est constitutive d'une infraction au sens de l'art. 61 let. a.
B. Violation des prescriptions lors de la remise du traitement des données à un sous-traitant (art. 61 let. b)
1. généralités
12 Selon l'art. 61 let. b, est punissable quiconque remet intentionnellement le traitement de données à un sous-traitant sans que les conditions de l'art. 9 al. 1 et 2 soient remplies. Selon l'art. 9 al. 1, le traitement de données personnelles peut être confié par contrat ou par la loi à un sous-traitant si (a) les données sont traitées comme le responsable du traitement serait en droit de le faire lui-même et si (b) aucune obligation légale ou contractuelle de garder le secret n'interdit la délégation. Selon l'article 9 al. 2, le responsable du traitement doit notamment s'assurer "que le sous-traitant est en mesure d'assurer la sécurité des données". L'état de fait objectif de l'art. 61 let. b serait par exemple rempli si une entreprise, en tant que responsable, faisait appel à un sous-traitant (p. ex. un fournisseur de services cloud) sans avoir conclu avec lui un contrat de traitement des données de commande juridiquement suffisant.
13 L'art. 7 RGPD précise ces conditions du traitement sur commande : le responsable doit autoriser au préalable le recours à des sous-traitants de manière générale ou concrète (art. 7 al. 1 RGPD). En cas d'autorisation générale, le responsable doit être informé de tout changement envisagé concernant le recours à d'autres tiers ou leur remplacement, le responsable pouvant s'y opposer (art. 7 al. 2 RGPD). Voir sur l'ensemble le commentaire relatif à l'article 9.
2. Pas de punissabilité du sous-traitant (ou des personnes agissant pour son compte).
14 La violation de l'art. 9 al. 3, c'est-à-dire l'obligation pour le sous-traitant de faire approuver au préalable par le responsable du traitement de nouveaux sous-traitants, n'est pas punissable. Même en cas de violation de l'art. 9 al. 1 ou 2, le texte de l'art. 61 let. b exclut toute punissabilité du sous-traitant (ou des personnes agissant en son nom) : seul le responsable (ou les personnes agissant en son nom) peut être sanctionné. Il en va de même lorsque le responsable du traitement confie à son tour le traitement des données à un sous-traitant : les normes pénales doivent être interprétées de manière restrictive.
C. Violation des exigences minimales en matière de sécurité des données (art. 61 let. c)
1. Généralités
15 Selon l'art. 61 let. c, est punissable celui qui, intentionnellement, ne respecte pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral en vertu de l'art. 8 al. 3. Il est fait référence ici à la première section ("Sécurité des données", art. 1 ss) du premier chapitre de l'OLPD.
16 La disposition de l'art. 61 let. c est un délit de mise en danger abstraite conçu comme une norme en blanc (cf. déjà ci-dessus, n. 1) ; il n'est pas nécessaire qu'il y ait eu une "violation de données". Inversement, chaque "data breach" n'entraîne pas non plus une punissabilité - s'il y a bien eu "data breach", mais que les "exigences minimales en matière de sécurité des données" ont été respectées, il n'y a pas de punissabilité.
2. Violation des principes de l'art. 1 OLPD
17 La disposition de l'art. 1 RGPD contient des principes que le responsable du traitement et le sous-traitant doivent respecter lorsqu'ils déterminent le niveau de protection adéquat et les mesures appropriées à cet effet. Il s'agit de lignes directrices générales et non d'exigences (minimales) concrètes en matière de sécurité des données. Selon l'avis exact de Meyle/Morand/Vasella, cette disposition très générale concernant la procédure du responsable lors de la détermination des mesures de sécurité n'est pas justiciable - on ne voit pas quelles "exigences minimales" en matière de sécurité des données au sens de l'art. 8 al. 3 devraient découler de l'art. 1 OLPD.
18 Si le responsable ne respecte pas les principes de l'art. 1 OLPD, par exemple s'il ne détermine pas le besoin de protection des données personnelles selon les critères prévus à l'al. 1, s'il ne tient pas compte de critères pertinents lors de l'évaluation des risques comme prévu à l'al. 2 ou s'il ne vérifie pas ses mesures "pendant toute la durée du traitement" comme prévu à l'al. 5, cela n'indique pas encore une violation des "exigences minimales" en matière de sécurité des données : d'une part, l'art. 1 RGPD ne définit justement pas de telles exigences, mais contient uniquement des lignes directrices sur la manière de les atteindre, et d'autre part, un responsable peut également mettre en œuvre des mesures efficaces pour garantir une sécurité adéquate des données sans procéder strictement selon l'art. 1 RGPD.
3. Violation des objectifs de l'article 2 du RGPD
19 La disposition de l'art. 2 RGPD définit des objectifs de protection de la sécurité des données que le responsable du traitement et le sous-traitant doivent atteindre au moyen de mesures techniques et organisationnelles : Confidentialité (let. a), Disponibilité (let. b), Intégrité (let. c) et Traçabilité (let. d).
20 Ces objectifs de protection sont identiques à ceux de l'art. 6 al. 2 de la loi fédérale du 18 décembre 2020 sur la sécurité de l'information au sein de la Confédération (loi sur la sécurité de l'information). A l'instar des principes énoncés à l'art. 1 OLPD, les objectifs visés à l'art. 2 OLPD sont formulés de manière très générale (ce qui ressort déjà du seul titre "Objectifs") et il n'est pas possible d'en déduire des "exigences minimales" en matière de sécurité des données au sens de l'art. 8 al. 3. Il n'en ressort pas quelles mesures techniques et organisationnelles concrètes devraient être mises en œuvre. Meyle/Morand/Vasella remettent à juste titre en question la justiciabilité de cette disposition.
4. Violation de la disposition relative aux mesures techniques et organisationnelles (art. 3 OLPD)
21 La disposition de l'article 3 OLPD contient des prescriptions relatives aux mesures techniques et organisationnelles et concrétise ainsi la sécurité des données. Elle ne contient toutefois pas (non plus) d'"exigences minimales" en matière de sécurité des données au sens de l'article 8 al. 3 ; l'art. 3 OLPD ne fait que concrétiser les objectifs de protection contenus dans l'article 2 OLPD.
22 En cas d'interprétation large, l'art. On pourrait y lire des "exigences minimales" dans la mesure où, selon cette disposition, les objectifs de protection au sens de l'article 2 du RGPD "doivent être garantis". Une telle interprétation signifierait toutefois que toute violation d'un objectif de protection serait la preuve de l'absence d'une mesure appropriée. Cela serait à son tour incompatible avec l'approche basée sur les risques reconnue dans le domaine de la sécurité des données. Le terme "garantir" doit donc être interprété comme "s'efforcer de".
23 L'article 3 du RGPD doit être lu conjointement avec les articles 1 et 2 du RGPD comme une concrétisation de la notion de sécurité des données, sans qu'il soit possible d'en déduire des "exigences minimales" en matière de sécurité des données. En outre, le responsable du traitement et le sous-traitant ne doivent pas nécessairement tenir compte de tous les objectifs de protection visés à l'article 3 du RGPD pour leurs mesures techniques et organisationnelles. La justiciabilité de cette disposition est également remise en question à juste titre par Meyle/Morand/Vasella.
5. Omission de la journalisation selon l'art. 4 OLPD
24 La disposition de l'art. 4 OLPD reprend l'actuel art. 10 OLPD. La journalisation doit permettre de garantir la finalité.
25 En règle générale, la journalisation ne constitue pas une "exigence minimale en matière de sécurité des données", comme le mentionne l'art. 61 let. c (même si l'art. 4 OLPD est mentionné dans la première section "Sécurité des données" de l'OLPD) et l'omission de la journalisation ne peut donc pas non plus être punissable. Une punissabilité serait exceptionnellement envisageable si une autorité de poursuite pénale pouvait prouver dans un cas particulier que la journalisation, en tant que mesure de traçabilité, devait indirectement servir à la sécurité des données et que la personne accusée en était consciente, du moins dans les grandes lignes.
6. Omission de l'établissement d'un règlement de traitement conformément à l'article 5 f. DSV
26 Les dispositions de l'art. 5 f. OLPD reprennent les anciens art. 11 OLPD et art. 21 OLPD. Dans le rapport explicatif OLPD, le Conseil fédéral constate lui-même que l'établissement d'un règlement de traitement porte sur l'obligation de rendre compte - et donc pas sur la sécurité des données. Le fait que l'obligation d'établir un tel règlement n'existe qu'en cas de risque accru n'y change rien.
27 Une "exigence minimale en matière de sécurité des données", telle que mentionnée à l'art. 61 let. c, est l'établissement d'un "règlement de traitement" (même si l'art. 5 f. DSV sont mentionnés dans la première section "Sécurité des données" du DSV) n'en font pas partie et l'omission de cet établissement ne peut pas non plus être punissable dans cette mesure.
7. Prise en compte des coûts lors de la détermination de la sécurité adéquate des données et des mesures appropriées
28 Selon l'art. 1 al. 1 RGPD, pour garantir une sécurité adéquate des données, le responsable du traitement et le sous-traitant doivent déterminer le besoin de protection des données personnelles et définir "les mesures techniques et organisationnelles appropriées au regard du risque". L'art. 1 al. 2 OLPD décrit les critères d'évaluation du besoin de protection des données personnelles et l'art. 1 al. 3 OLPD décrit les critères d'évaluation du risque pour la personnalité ou les droits fondamentaux de la personne concernée. Plus le besoin de protection des données personnelles est élevé et/ou plus le risque mentionné est important, plus les exigences relatives aux mesures sont strictes. Selon l'art. 1 al. 4 OLPD, les "coûts de mise en œuvre" doivent également être pris en compte lors de la définition des mesures techniques et organisationnelles.
29 Selon le Conseil fédéral, les coûts de mise en œuvre doivent être compris au sens large et englober non seulement les ressources financières nécessaires, mais aussi les ressources en personnel et en temps. Les coûts doivent déjà être pris en compte lorsqu'il s'agit de déterminer quelles mesures sont "appropriées" ou non. Meyle/Morand/Vasella font remarquer à juste titre que l'avis défendu par le Conseil fédéral, selon lequel les responsables du traitement et les sous-traitants "ne peuvent pas se dispenser de l'obligation d'assurer une sécurité appropriée des données au motif que cela entraîne des coûts excessifs", viderait de son sens la disposition de l'art. 1 al. 4 OLPD : "seule" une sécurité "appropriée" est exigée et les coûts doivent être pris en compte comme critère dans la détermination du caractère approprié.
30 Les "exigences minimales en matière de sécurité des données" ne sont donc pas violées (et il n'est pas punissable) si le responsable du traitement ou le sous-traitant tient compte, entre autres, des coûts lors de la détermination du caractère adéquat de la sécurité des données et des mesures appropriées.
III. Eléments subjectifs de l'infraction
31 D'un point de vue subjectif, l'infraction de l'article 61 requiert l'intention, le dol éventuel étant suffisant. L'auteur agit par dol éventuel notamment lorsqu'il ne sait pas avec certitude que son comportement enfreint les prescriptions relatives à l'exportation des données (art. 16, al. 1 et 2 ; art. 17) ou à la remise du traitement des données à un sous-traitant (art. 9, al. 1 et 2) ou qu'il ne respecte pas les exigences minimales en matière de sécurité des données (art. 8 al. 3 en relation avec les art. 1 ss OLPD), mais qu'il s'en accommode ou accepte de commettre éventuellement une infraction.
32 Il y a dol éventuel dans le cas de l'infraction visée à l'art. 61 let. b lorsque l'auteur, en confiant le traitement des données à un sous-traitant, accepte au moins que le sous-traitant (i) traite les données de manière contraire à la loi ou (ii) ne garantisse pas la sécurité des données. Les circonstances dans lesquelles le sous-traitant en question a été "examiné" et finalement choisi sont déterminantes pour répondre à la question de savoir si l'on est en présence d'une telle acceptation. Les dispositions de l'art. 9 sont formulées de manière très ouverte et floue (notamment en comparaison avec la réglementation parallèle de l'art. 28 RGPD), ce qui devrait rendre difficile dans la pratique pour les autorités pénales de prouver un comportement punissable dans un cas particulier (sans compter qu'il existe de toute façon des doutes fondés quant à la justiciabilité de la variante de l'infraction consistant à ne pas respecter intentionnellement les exigences minimales en matière de sécurité des données, voir ci-dessus N. 17 ss). En revanche, on pourrait admettre un simple acte de négligence (non punissable) si l'auteur, sur la base d'un conseil juridique externe (qui ne devait faire aucun doute), partait du principe qu'un contrat de traitement des données de commande donné était juridiquement suffisant, mais que celui-ci s'avérait insuffisant.
IV. Illégalité et culpabilité
Cf. OK-Gassmann sur l'art. 60, n. 26 s.
Bibliographie
EDÖB, Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge vom 27. August 2021, https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/datenschutz/Paper%20SCC_DE.pdf.download.pdf/Paper%20SCC_DE.pdf, besucht am 8.8.2023.
Meyle Hannes/Morand Anne-Sophie/Vasella David, DSV: keine Mindestanforderungen an die Datensicherheit, keine entsprechende Strafbarkeit, weitere Anmerkungen, https://datenrecht.ch/dsv-keine-mindestanforderungen-an-die-datensicherheit-keine-entsprechende-strafbarkeit-weitere-anmerkungen/, besucht am 8.8.2023.
Popp Peter/Berkemeier Anne, Kommentierung zu Art. 1 StGB, in: Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar, Strafrecht (StGB/JStGB), 4. Aufl., Basel 2018.
Rosenthal David, Neue EU Standardvertragsklauseln für Datentransfers in unsichere Drittländer, https://www.rosenthal.ch/downloads/VISCHER-faq-scc.pdf, besucht am 8.8.2023.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 1/2021, S. 52 ff.; Wohlers Wolfgang, Kommentierung zu Art. 61 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski, Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Matériaux
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff. (zit. Botschaft 2017), abrufbar unter https://www.admin.ch/opc/de/federal-gazette/2017/6941.pdf, besucht am 8.8.2023.
Erläuternder Bericht des Bundesamts für Justiz BJ zur Verordnung über den Datenschutz vom 31.8.2022, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/erlaeuterungen-vo.pdf.download.pdf/erlaeuterungen-vo-d.pdf (zit. Erläuternder Bericht DSV), besucht am 8.8.2023.
Kommentar des Bundesamts für Justiz BJ zur Vollzugsverordnung zum Bundesgesetz über den Datenschutz vom 1.1.2008 (zit. Kommentar BJ zur VDSG), abrufbar unter https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/deredoeb/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf.download.pdf/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf, besucht am 8.8.2023.