-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Violation du secret professionnel
- III. Illégalité et culpabilité
- IV. Délimitation et concurrence
- Bibliographie
- Matériaux
En bref
La disposition de l'article 62 a pour objet ce que l'on appelle le "petit secret professionnel". Elle punit la révélation intentionnelle de données personnelles secrètes apprises dans l'exercice de la profession. Par rapport à l'ancien droit, les éléments constitutifs de l'infraction de "violation du secret professionnel" sont considérablement élargis. En cas de réalisation de cette infraction, une amende de 250 000 francs au maximum est encourue.
I. Généralités
1 La disposition de l'art. 62 se fonde sur l'art. 35 aDSG, mais élargit considérablement les éléments constitutifs de la "violation du devoir de discrétion professionnelle". Il ne s'agit plus seulement de la révélation de "données personnelles secrètes et sensibles ou de profils de la personnalité", mais plus généralement de "données personnelles secrètes". Le Conseil fédéral a justifié cette extension de la protection du secret à tous les types de données personnelles par le développement des technologies de l'information et de la communication et l'extension massive de la collecte de données qui en découle. L'art. 62 vise à protéger la sphère secrète des personnes qui confient leurs données personnelles à des tiers.
2 La norme pénale de l'art. 62 est un délit poursuivi sur plainte.
3 Selon le Conseil fédéral, l'art. 62 vise à combler les lacunes "qui résultent du cercle restreint des auteurs des art. 320 et 321 CP (délits spéciaux)". L'obligation de garder le secret doit également s'appliquer aux personnes qui ne tombent pas sous le coup de l'art. 320 ou 321 CP. Le législateur a préféré cette solution à une extension des dispositions de droit pénal (général), car il n'a pas jugé opportun d'étendre également le droit de refuser de témoigner, que les lois de procédure prévoient généralement pour les professions mentionnées à l'art. 321 CP. D'un point de vue terminologique, le "petit secret professionnel" s'inspire toutefois du "grand" secret professionnel de l'art. 321 CP (qui s'applique notamment aux médecins, aux avocats, aux ecclésiastiques, etc.) et du secret bancaire de l'art. 47 LB.
4 Lors de l'élaboration du projet, le Conseil fédéral avait déjà renoncé à mentionner la communication de données traitées à des fins commerciales. Cette position a été maintenue par les chambres parlementaires.
5 L'avant-projet prévoyait encore une peine privative de liberté de trois ans au plus ou une peine pécuniaire en cas de violation du devoir de discrétion professionnelle (art. 52 AP-LPD). Selon le rapport explicatif AP-LPD, ce durcissement était prévu parce qu'une amende ne correspondrait plus à la gravité des atteintes possibles, notamment au regard de l'art. 321 CP. Lors de la consultation, plusieurs participants ont toutefois estimé que la sanction pénale était trop élevée, raison pour laquelle une amende de 250 000 francs a été introduite. Le montant maximal de l'amende de 250 000 francs a finalement été maintenu, car la majorité a estimé que ce montant était proportionné et suffisamment dissuasif.
6 Dans l'ensemble, il est étonnant que la disposition de l'article 62, inhabituellement sévère au vu de son large champ d'application et du cadre des amendes, notamment en comparaison internationale, n'ait guère été discutée (sur le fond) lors des débats parlementaires.
II. Violation du secret professionnel
A. Cercle des auteurs
7 L'art. 62 LPD n'englobe pas toutes les personnes qui révèlent les données personnelles secrètes d'autrui. Selon le texte, sont concernées les personnes qui exercent une profession nécessitant la connaissance de données personnelles secrètes. L'art. 62 LPD est donc conçu comme un délit spécial. Contrairement à l'art. 321 CP, il n'est pas nécessaire d'appartenir à une profession particulière. Depuis l'introduction de l'art. 62, les employés n'ont donc plus besoin de posséder une qualité particulière comme celle d'avocat, de médecin, d'employé de banque ou de fonctionnaire pour être soumis à une obligation de garder le secret (qui va au-delà des secrets d'affaires et de fabrication au sens de l'art. 321a al. 4 CO) : il suffit qu'ils aient pris connaissance de "données personnelles secrètes" dans l'exercice de leur profession. En vertu de l'art. 2 al. 1, les membres des autorités fédérales sont également concernés par la disposition pénale de l'art. 62.
8 Selon l'art. 62 al. 3, ce n'est pas seulement l'exercice actuel de la profession qui est visé, la protection du secret se poursuit également lorsque les personnes tenues d'exercer la profession ont abandonné celle-ci ou ont terminé leur formation correspondante. Cela correspond à la réglementation de l'art. 35 al. 3 aDSG. On peut supposer que cela signifie (par analogie avec l'art. 321 CP) que l'obligation de garder le secret professionnel subsiste jusqu'au décès du détenteur du secret, indépendamment de la poursuite de la relation d'affaires.
9 Selon l'art. 62 al. 2, les auxiliaires (collaborateurs ; personnes traitant des données sur mandat) et les personnes en formation (y compris les stagiaires) sont également soumis à la punissabilité. Cette extension correspond à la réglementation de l'art. 35 al. 2 aDSG. Les tiers qui agissent à la place du détenteur primaire du secret sont, selon la conception défendue ici, soumis à l'obligation de garder le secret en tant qu'auxiliaires.
10 N'est pas punissable selon l'art. 62 celui qui révèle des données personnelles secrètes que le détenteur du secret ou un auxiliaire lui a révélées en violation de l'art. 62.
11 L'art. 62 LPD ne prévoit pas de punissabilité directe de l'entreprise. Pour y remédier, la responsabilité pénale des organes dirigeants a été renforcée par l'application de l'art. 6 DPA en plus de l'art. 29 CP.
B. Eléments objectifs de l'infraction
12 Selon l'art. 62 al. 1, est punissable "[celui qui] révèle intentionnellement des données personnelles secrètes dont il a eu connaissance dans l'exercice de sa profession, qui requiert la connaissance de telles données". L'élément objectif de l'infraction exige tout d'abord qu'il s'agisse de données personnelles "secrètes". Les données personnelles sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (art. 5 let. a). L'art. 62 ne définit pas lui-même quelles données personnelles sont considérées comme "secrètes", mais le message renvoie à la notion matérielle de secret du droit pénal. Il y a secret protégé par le droit pénal lorsque (i) le fait n'est pas généralement connu ou accessible, (ii) le détenteur du secret a un intérêt digne de protection à ce qu'il soit connu de manière limitée et (iii) il a également la volonté de le faire.
13 En outre, l'auteur doit avoir pris connaissance des données personnelles dans l'exercice de sa profession. Sont concernées, d'une part, les données que le client/maître du secret a confiées au détenteur du secret et, d'autre part, celles que le détenteur du secret a lui-même recueillies dans l'exercice de sa profession.
14 La notion de "révélation" de données personnelles secrètes correspond à celle des articles 320 et 321 du Code pénal : Il y a révélation lorsque le détenteur du secret porte des données personnelles secrètes à la connaissance d'un tiers qui n'y est pas autorisé ou permet à ce tiers d'en prendre connaissance, peu importe la manière dont cela se passe (p. ex. transmission directe de données personnelles secrètes ou conservation insuffisante des dossiers de manière à permettre au tiers d'en prendre connaissance). Si les données ont été effectivement anonymisées, pseudonymisées ou cryptées avant d'être transmises, de sorte que le tiers ne peut pas en prendre connaissance, il n'y a pas de révélation constitutive d'infraction.
En revanche, la transmission de données personnelles secrètes à un collaborateur interne ou à un prestataire de services externe est également considérée comme une divulgation. Les situations dans lesquelles des tiers révèlent des données personnelles à un employé en lui demandant de les garder strictement secrètes peuvent s'avérer problématiques. On peut penser ici à un employé du service du personnel d'une entreprise qui est informé par un autre employé d'un dysfonctionnement au sein de l'entreprise, ce dernier exigeant que son identité reste secrète. D'une part, l'employé du service du personnel peut se rendre punissable s'il révèle (malgré tout) son identité en interne, d'autre part, l'entreprise devra prendre en compte les connaissances de certains employés. Dans la pratique, il faut ici des règles claires sur la manière de traiter de telles communications et sur ce qui doit être communiqué, à qui, quand et comment.
15 Ni le libellé de l'art. 62 ni le message ne permettent de déterminer qui est le maître du secret protégé par cette disposition. Selon le message, la disposition de l'art. 62 se rattache toutefois expressément au secret professionnel de l'art. 321 CP, raison pour laquelle il se justifie de comprendre l'art. 62 comme un "secret professionnel" et non comme une norme relevant uniquement du droit de la protection des données : Le maître du secret est celui qui a confié son secret à la personne professionnelle pour l'exercice de sa profession. C'est donc la confiance du maître du secret dans la confidentialité de la communication à la personne exerçant une activité professionnelle qui est protégée, et seule la rupture de cette confiance (c'est-à-dire pas toute violation de la protection des données) est punissable. L'article 62 protège la confiance d'un professionnel dans le fait qu'il gardera en tant que tel le secret qui lui a été confié dans le cadre de l'exercice de sa profession - indépendamment de l'existence d'une relation contractuelle directe avec la personne à qui le secret a été confié. Selon le point de vue défendu ici, seule une révélation de données personnelles qui intervient en réponse à une attente légitime du maître du secret quant au traitement confidentiel de ces données peut être constitutive d'une infraction. Une entreprise peut orienter les attentes du client/maître du secret en mentionnant dans sa déclaration de protection des données les catégories de tiers auxquelles elle transmet des données personnelles. Pour autant que la mention dans la déclaration de confidentialité soit "suffisamment claire", le détenteur du secret ne pourra plus faire valoir d'"attentes légitimes" quant au traitement confidentiel des données personnelles concernées.
16 Même si l'article 62 est compris dans ce sens plus étroit, cette disposition est encore très large et indéterminée : La question de savoir quand on peut partir du principe que la confidentialité est protégée par le droit pénal n'est pas clarifiée (et ne l'était pas non plus sous l'art. 35 aDSG). Il est tout de même clair que tout fait révélé à une personne exerçant une activité professionnelle et qui n'est pas de notoriété publique ne mérite pas cette protection. Avec Rosenthal/Gubler (p. 61), il faut exiger (compte tenu des exigences posées à une norme pénale par le principe de précision de l'art. 1 CP) que (i) le maître du secret ait suscité une attente légitime que sa volonté de garder le secret soit respectée et que (ii) le secret ait été révélé au détenteur du secret ou à son organisation dans ce cadre. Il faut donc qu'il y ait au moins un accord tacite de confidentialité.
C. Eléments subjectifs de l'infraction
17 D'un point de vue subjectif, l'intention de l'auteur est requise, c'est-à-dire que l'auteur doit avoir connaissance de l'obligation de garder le secret, du caractère secret des données personnelles et de la révélation. Il suffit que l'auteur considère comme possible que des tiers puissent avoir connaissance des données personnelles, mais qu'il agisse malgré tout parce qu'il s'en accommode (dol éventuel). Dans la pratique, il n'est pas rare que la punissabilité échoue parce qu'il n'est pas possible de prouver la connaissance du devoir de discrétion et du caractère secret des données personnelles, notamment en l'absence d'indications selon lesquelles l'entreprise concernée a transmis les connaissances correspondantes à ses employés.
III. Illégalité et culpabilité
18 Cf. OK-Gassmann ad art. 60, n. 26 s. La révélation peut notamment être justifiée par le consentement du maître du secret, les principes développés par la jurisprudence et la dogmatique à l'art. 321 ch. 2 CP s'appliquant par analogie. Des dispositions légales autorisant la révélation (art. 14 CP) ou même l'imposant entrent également en ligne de compte. On pense ici par exemple à l'obligation de collaborer dans le cadre de la procédure.
IV. Délimitation et concurrence
20 Outre l'art. 320 CP (violation du secret de fonction) et l'art. 321 CP (violation du secret professionnel), l'art. 62 protège également le maître du secret contre la divulgation illicite de données secrètes à des tiers. L'art. 62 comble toutefois la lacune créée par la limitation de la qualité d'auteur et se trouve par conséquent en faux concours idéal avec les deux dispositions du code pénal. Par analogie avec l'art. 35 aDSG, la violation du secret des données est absorbée par les art. 320 et 321 CP (consommation).
21 Si les éléments constitutifs de l'infraction de l'art. 47 LB sont également remplis, ce dernier prime en tant que norme spéciale.
L'auteur remercie chaleureusement MLaw Antonia Straden pour sa collaboration au commentaire de cet article.
Bibliographie
Niggli Marcel Alexander/Maeder Stefan, Kommentierung zu Art. 35 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz / Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Oberholzer Niklaus, Kommentierung zu Art. 321 StGB, in: Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar, Strafrecht (StGB/JStGB), 4. Aufl., Basel 2018.
Poledna Thomas/Berger Brigitte, Öffentliches Gesundheitsrecht, Bern 2002.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020; Rosenthal David/Gubler, Seraina, Die Strafbestimmungen des neuen DSG, SZW 1/2021, S. 52 ff.; Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Wohlers Wolfgang, Kommentierung zu Art. 62 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski, Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
Matériaux
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Daten-schutz und die Änderung weiterer Erlasse zum Datenschutz vom 23.3.1988, BBl 1988 II S. 413 ff. (zit. Botschaft 1988), abrufbar unter https://www.admin.ch/opc/de/federal-gazette/1988/II/413.pdf, besucht am 8.8.2023.
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff. (zit. Botschaft 2017), abrufbar unter https://www.admin.ch/opc/de/federal-gazette/2017/6941.pdf, besucht am 8.8.2023.
Erläuternder Bericht des Bundesamts für Justiz BJ zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vn-ber-d.pdf.download.pdf/vn-ber-d.pdf (zit. Erläuternder Bericht VE-DSG), besucht am 8.8.2023.
Zusammenfassung des Bundesamts für Justiz BJ der Ergebnisse des Vernehmlassungsverfahrens vom 10.8.2017 betreffend Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016 (zit. Zusammenfassung Vernehmlassung VE-DSG), abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ve-ber-d.pdf.download.pdf/ve-ber-d.pdf, besucht am 8.8.2023.