-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
- En bref
- I. Généralités
- II. Compétence du Conseil fédéral pour conclure des traités internationaux
- Bibliographie
- Matériaux
En bref
Compte tenu des flux de données de plus en plus internationaux, une protection des données efficace doit également régler les questions transfrontalières. Pour ce faire, des accords avec d'autres Etats ou organisations internationales peuvent être nécessaires. Afin de faciliter la conclusion de tels accords, l'art. 67 LPD autorise le Conseil fédéral à conclure des accords internationaux sans l'approbation du Parlement dans deux domaines spécifiques, à savoir la coopération entre les autorités de protection des données et la reconnaissance mutuelle d'un niveau de protection adéquat. La norme de délégation doit être interprétée de manière stricte.
I. Généralités
A. But de l'art. 67 LPD
1 A l'ère de la mise en réseau électronique ubiquitaire, le traitement transfrontalier de données personnelles est devenu monnaie courante. C'est pourquoi la protection des données a depuis longtemps une dimension internationale et est donc devenue un objet de la politique étrangère.
2 La Suisse a conclu de nombreux accords bilatéraux et multilatéraux dans le domaine de la protection des données. On peut distinguer entre les accords généraux, qui normalisent ou constitutionnalisent la protection des données pour l'ensemble des domaines juridiques, et les accords sectoriels, qui établissent des règles pour certains domaines de coopération. Actuellement, seule la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE 108), dont la Suisse ratifiera prochainement la version modernisée (STE 108+), appartient à la première catégorie. Des règles de protection des données spécifiques à certains domaines se trouvent dans de nombreux accords dans le domaine de la coopération policière et de l'entraide judiciaire en matière pénale, de la délivrance de visas, de la gestion des migrations et de la réadmission des ressortissants étrangers, de la coopération en matière d'asile et de l'échange de données relatives aux passagers aériens.
3 L'Union européenne est un acteur important en matière de protection des données. Sa législation en matière de protection des données influence considérablement le droit suisse. Outre les influences indirectes et l'effet extraterritorial du règlement général sur la protection des données (RGPD), qui ne sont pas approfondis ici, il existe également plusieurs accords entre la Suisse et l'UE ayant un contenu en matière de protection des données. L'association à Schengen, dans le cadre de laquelle la Suisse reprend certains actes juridiques de l'UE, notamment la directive 2016/680 sur la protection des données dans les domaines de la police et de la justice, qui doit être mise en œuvre par la Confédération et les cantons, est d'une importance pratique majeure.
4 Par rapport à la réglementation générale relative à la conclusion de traités internationaux en Suisse (infra n. 10 ss), l'art. 67 LPD facilite la conclusion de traités internationaux en conférant au Conseil fédéral la compétence de conclure des traités de manière autonome, sans l'approbation de l'Assemblée fédérale, dans deux domaines spécifiques, à savoir à des fins de coopération entre autorités de protection des données et de reconnaissance mutuelle d'un niveau adéquat de protection des données.
B. Historique
5 L'art. 67 LPD remplace l'art. 36, al. 5, aLPD, qui était considéré comme trop vague au regard des principes en vigueur en matière de délégation de compétences, notamment l'interdiction des délégations en blanc. L'art. 36, al. 5, aLPD prévoyait que le Conseil fédéral pouvait conclure des traités internationaux sur la protection des données s'ils étaient conformes aux principes de la LPD.
6 Les autres alinéas de l'art. 36 aLPD, qui autorisaient le Conseil fédéral à édicter des dispositions d'exécution aussi bien générales que relatives à des domaines spécifiques, ne sont pas reconduits dans la nouvelle LPD.
7 L'art. 67 LPD n'a pas été contesté lors du processus législatif. La suggestion émise lors de la procédure de consultation de limiter la compétence du Conseil fédéral de conclure des traités en ce sens qu'il ne peut pas conclure de traités internationaux sur l'exécution en Suisse de sanctions prononcées par des autorités de surveillance étrangères n'a été entendue ni dans le message ni lors des débats parlementaires. Par rapport à l'avant-projet et au projet du Conseil fédéral, l'art. 67 n'a pas été modifié lors des débats parlementaires (à l'exception de la numérotation) et n'a pas non plus été discuté, comme le montrent les procès-verbaux du Conseil.
II. Compétence du Conseil fédéral pour conclure des traités internationaux
8 Un traité international est un accord conclu par écrit entre deux ou plusieurs sujets de droit international public au sens de l'art. 38, al. 1, let. a du Statut de la CIJ et de l'art. 2, al. 1, let. a de la Convention de Vienne sur le droit des traités.
9 Alors que l'art. 67 LPD utilise le terme "traité international", l'art. 16, al. 2, let. a LPD parle de "traité international". Malgré une terminologie différente, il s'agit de la même chose.
10 En Suisse, la conclusion de traités internationaux relève en principe de la compétence conjointe du Conseil fédéral et de l'Assemblée fédérale. Alors que le Conseil fédéral négocie et signe les traités internationaux dans le cadre de ses compétences en matière de politique extérieure (art. 184, al. 1 et 2, Cst.), le Parlement approuve les traités par arrêté fédéral (art. 166, al. 2, première phrase, Cst.) avant que le Conseil fédéral ne puisse les ratifier (art. 184, al. 2, Cst.). Cela s'explique par le fait que les traités internationaux, tout comme les lois fédérales, contiennent des dispositions fixant des règles de droit et nécessitent donc une légitimation démocratique au moins a posteriori. Dans certains cas, le référendum facultatif ou obligatoire sur les traités internationaux est prévu en plus de l'approbation du Parlement. Lorsqu'un traité international est soumis au référendum, qu'il concerne des intérêts essentiels des cantons ou qu'il a une grande portée politique, financière, économique, écologique, sociale ou culturelle, une consultation doit être organisée au préalable.
11 Le Parlement peut toutefois se décharger de cette compétence par le biais d'une délégation. De même, l'obligation d'approbation ne s'applique pas aux traités dont le Parlement a délégué la conclusion au Conseil fédéral par le biais d'une loi fédérale ou d'un traité international qu'il a approuvé. L'idée est de décharger l'Assemblée fédérale de l'approbation de traités "non dignes du Parlement" et de ne l'occuper que de questions qui nécessitent une légitimation démocratique renforcée.
12 Cette compétence autonome de conclure des traités est précisée à l'art. 7a LOGA, qui mentionne trois cas de figure dans lesquels le Conseil fédéral peut ratifier un traité sans l'approbation préalable du Parlement.
Premièrement, sur la base d'une habilitation dans une loi fédérale spécifique (art. 7a, al. 1 LOGA). L'article 67 LPD constitue une telle habilitation. Des principes parallèles à ceux qui régissent les délégations législatives au Conseil fédéral sont déterminants à cet égard : les principales appréciations politico-juridiques doivent être formulées avec suffisamment de précision dans la loi parlementaire. Les "délégations en blanc" ne sont pas compatibles avec le principe de légalité, car elles pourraient avoir pour effet de soustraire à l'exigence d'approbation un nombre imprévisible de traités internationaux de contenus différents.
Deuxièmement, une habilitation dans un traité international approuvé par l'Assemblée fédérale (art. 7a, al. 1, LOGA). Dans ce cas, les principes de délégation sont pour l'essentiel parallèles à ceux qui s'appliquent aux délégations de compétences dans une loi fédérale.
Troisièmement, le Conseil fédéral peut ratifier des traités dits de portée mineure sans approbation parlementaire préalable (art. 7a, al. 2, LOGA). Il s'agit d'une clause générale subsidiaire, car elle s'applique à tous les traités de portée mineure, quel que soit le domaine concerné. Selon l'art. 7a, al. 3, LOGA, sont notamment considérés comme des traités de portée limitée les traités qui ne créent pas de nouvelles obligations ou n'entraînent pas de renonciation à des droits existants (art. 7a, al. 3, let. a, LOGA), les traités qui servent uniquement à l'exécution de traités approuvés par l'Assemblée fédérale et qui ne font que préciser les droits, les obligations ou les principes d'organisation déjà fixés dans le traité de base (let. b) ainsi que les traités qui s'adressent aux autorités et règlent des questions administratives et techniques (let. c). Cette liste est exemplative : c'est par interprétation qu'il faut déterminer si un contrat a effectivement une portée limitée. La loi précise également quels sont les traités qui ne sont en principe pas considérés comme ayant une portée limitée (art. 7a, al. 4, LOGA). C'est notamment le cas lorsque le traité est soumis au référendum facultatif en matière de traités internationaux selon l'art. 141, al. 1, let. d, Cst. (let. a), qu'il contient des dispositions qui relèvent de compétences cantonales (let. b) ou qu'il entraîne des dépenses élevées (let. c). Les autres critères sont de savoir si un traité porte atteinte aux intérêts juridiquement protégés de particuliers, s'il nécessite une modification de la loi ou s'il s'intègre "sans problème" dans le contexte général de la politique intérieure et extérieure et de l'économie.
13D'un point de vue purement quantitatif, la grande majorité (plus de 90%) des traités conclus par la Suisse sont conclus par le Conseil fédéral de manière autonome. Le Conseil fédéral présente chaque année à l'Assemblée fédérale un rapport sur les traités qu'il a conclus de manière autonome (art. 48a, al. 2, LOGA). Sous cette forme, un contrôle parlementaire a lieu a posteriori.
14 Le Conseil fédéral peut également déléguer à un département la compétence de conclure des traités internationaux. S'il s'agit d'un traité de portée mineure au sens de l'art. 7a, al. 2, LOGA, il peut en outre déléguer cette compétence à un groupe ou à un office fédéral (art. 48a, al. 1, LOGA).
15La réglementation précédente, l'art. 36, al. 5 aLPD, stipulait que le Conseil fédéral pouvait conclure de manière autonome des traités internationaux "pour autant qu'ils soient conformes aux principes de la loi". La doctrine a interprété cette disposition comme signifiant que les traités internationaux devaient respecter les principes généraux de la protection des données, à savoir les principes de la légalité, de la bonne foi, de la reconnaissabilité, de la proportionnalité, de la finalité, de l'exactitude des données, de la sécurité des données, du respect des droits des personnes concernées et de l'interdiction de communiquer des données à l'étranger en cas de risque d'atteinte grave à la personnalité. Bien que cette exigence n'ait pas été reprise dans la nouvelle disposition, elle continue de découler, pour l'art. 67 LPD, de la nature de la délégation et, en fin de compte, du principe de la séparation des pouvoirs : en l'absence d'une réglementation expresse, le Conseil fédéral n'est pas habilité à conclure des contrats contraires aux règles générales de la loi sans l'approbation du Parlement. Comme les principes de protection des données découlent directement de la Constitution (art. 5, 13, 36 Cst.) et des prescriptions de droit international de la Convention sur la protection des données (art. 5 STE 108+), même une approbation parlementaire ne changerait rien au fait que les traités internationaux contraires aux principes de protection des données ne peuvent en principe pas être conclus.
A. Coopération internationale entre autorités de protection des données (let. a)
16Selon l'article 67, lettre a LPD, le Conseil fédéral peut conclure des traités internationaux qui règlent la collaboration internationale entre les autorités de protection des données. Des questions de délimitation se posent en ce qui concerne la notion de "coopération" (a) ainsi que le cercle des autorités concernées (b).
1. Coopération
17 Le caractère de plus en plus transfrontalier des traitements de données rend la coopération internationale entre les autorités de protection des données indispensable. La coopération est donc l'un des piliers de la Convention STE 108+ modernisée du Conseil de l'Europe, qui oblige les États contractants, dans son chapitre V, à coopérer et à s'entraider (cf. art. 16, par. 1, STE 108+). De même, dans son droit modernisé de la protection des données, l'Union européenne accorde une grande importance à la coopération institutionnalisée entre les autorités nationales de protection des données (cf. art. 60 ss. RGPD ainsi que les art. 50 ss. de la directive sur la protection des données, contraignants pour la Suisse dans le domaine de la police et de la poursuite pénale. RL 2016/680).
18La coopération entre les autorités de protection des données peut prendre différentes formes. L'article 17 de la Convention STE 108+ cite à titre d'exemple les formes de coopération suivantes : L'assistance mutuelle, notamment sous forme d'échange d'informations, la coordination d'enquêtes ou d'interventions ou la mise en œuvre de mesures communes, ainsi que la mise à disposition réciproque d'informations et de documents sur le droit national et la pratique administrative.
19La Convention STE 108+ oblige les Parties à créer un réseau d'autorités de contrôle pour organiser leur coopération (art. 17, par. 3). D'autres détails de la coopération, notamment en ce qui concerne les formes et les procédures ainsi que les langues à utiliser, doivent être fixés directement entre les Parties concernées (art. 21, par. 3). La conclusion d'accords internationaux est nécessaire pour régler ces questions. L'art. 67 let. a LPD permet au Conseil fédéral de conclure de tels traités de manière simplifiée et met ainsi également en œuvre cette obligation conformément à la Convention STE 108+.
20 Au niveau national, la collaboration avec les autorités étrangères compétentes en matière de protection des données fait partie des tâches du PFPDT définies par la loi (à art. 58 al. 1 let. b LPD). Dans la pratique, le PFPDT coopère notamment avec certaines autorités nationales et supranationales de protection des données, en particulier avec les autorités de protection des données des Etats membres de Schengen ainsi qu'avec le Comité européen de la protection des données (CEPD). Il s'engage également dans des instances internationales telles que le Conseil de l'Europe, la Conférence européenne et la Conférence internationale des commissaires à la protection des données, l'Association francophone des autorités de protection des données ainsi que l'OCDE.
21Le PFPDT a également la compétence d'accorder l'entraide administrative aux autorités étrangères de protection des données, pour autant que les conditions de l'art. 55 LPD soient remplies. Dans ce cas également, un traité international peut être nécessaire, que le Conseil fédéral peut conclure plus facilement conformément à l'art. 67, let. a.
22 Par rapport aux compétences légales du PFPDT mentionnées ci-dessus, l'art. 67, let. a, LPD constitue la base légale pour le cas où la coopération internationale va au-delà d'une coopération purement informelle (p. ex. l'échange de bonnes pratiques) et doit donc être fondée sur une base formelle. La conclusion d'un traité international est notamment nécessaire lorsque des droits et des obligations réciproques doivent être établis durablement et lorsque des données personnelles ou des données protégées d'une autre manière (par exemple des secrets d'affaires) doivent être échangées avec d'autres États. Pour la transmission de données personnelles, les conditions de l'article 16 LPD doivent en outre être respectées.
23A ce jour, aucun accord de coopération de ce type n'a été conclu dans le domaine de la protection des données. Le message cite d'ailleurs comme modèle d'accord de coopération un accord conclu dans un autre domaine juridique, à savoir l'accord du 17 mai 2013 entre la Confédération suisse et l'Union européenne concernant la coopération dans l'application de leur droit de la concurrence. Le contenu de cet accord donne un aperçu du contenu possible de futurs accords de coopération dans le domaine de la protection des données : les parties s'y engagent par exemple à ce que leurs autorités de la concurrence s'informent mutuellement des mesures d'exécution qui, selon elles, pourraient affecter des intérêts importants de l'autre partie (art. 3), à ce qu'elles coordonnent les mesures d'exécution concernant des opérations liées entre elles (art. 4) ou à ce qu'elles puissent se demander mutuellement d'engager des mesures d'exécution (art. 6).
24En outre, les accords qui délimitent les compétences des différentes autorités de protection des données relèvent du champ d'application de l'article 67, lettre a LPD. Un tel accord aurait une pertinence pratique en ce qui concerne la délimitation des compétences entre les autorités suisses et européennes de protection des données, car le RGPD s'applique certes aussi aux responsables du traitement ou aux sous-traitants non établis dans l'UE, ce qui signifie que les compétences des autorités de surveillance des États membres de l'UE s'étendent aux responsables du traitement en Suisse, mais que ces derniers ne peuvent pas prendre de mesures d'exécution en Suisse. Une motion parlementaire demandant la conclusion d'un accord de coordination correspondant avec l'UE a déjà été adoptée par les Chambres en 2017, mais n'a pas encore été mise en œuvre, sans doute principalement parce qu'aucun nouvel accord ne peut être conclu actuellement avant que les questions institutionnelles avec l'UE ne soient clarifiées. En tout état de cause, le Conseil fédéral pourrait conclure un accord de coordination correspondant sur la base de l'article 67 LPD sans l'approbation du Parlement.
2. Autorités de protection des données
25L'autorisation de conclure plus facilement des accords de coopération internationale selon l'art. 67 LPD se réfère exclusivement à la coopération entre "autorités de protection des données". Tant la Convention STE 108 (art. 1 du Protocole additionnel de 2001, resp. art. 12bis STE 108+) que la directive européenne 2016/180 (art. 41 de la directive 2016/680), contraignante pour la Suisse, obligent les Etats parties à mettre en place une ou plusieurs autorités de surveillance de la protection des données indépendantes.
26Inversement, cela signifie que la base d'habilitation de l'art. 67 let. a LPD ne s'étend pas aux contrats de coopération entre d'autres autorités en matière de protection des données, par exemple l'échange de données personnelles entre les autorités judiciaires, policières ou migratoires. De tels contrats doivent être approuvés par le Parlement, à moins qu'une autre loi fédérale ne l'autorise.
27La compétence de conclure l'accord de coopération est réservée au Conseil fédéral. Selon le libellé de la loi, le PFPDT, même s'il est la personne directement concernée par de tels contrats, n'a pas la compétence de les conclure de manière autonome. Le Conseil fédéral aurait certes la possibilité de subdéléguer au PFPDT sa compétence de conclure seul des traités internationaux (cf. art. 48a, al. 1, LOGA et n. 14 ci-dessus), mais il ne l'a pas fait jusqu'à présent. Dans cette mesure, le PFPDT est tributaire, pour son activité, de la conclusion de tels contrats par le Conseil fédéral, ce qui est dans un certain rapport de tension avec son indépendance institutionnelle (à l'art. 43, al. 4, LPD).
B. Reconnaissance mutuelle d'un niveau de protection adéquat (lit. b)
28Le deuxième objectif pour lequel le Conseil fédéral peut conclure des accords internationaux sans l'approbation préalable du Parlement est la reconnaissance mutuelle d'un niveau de protection adéquat selon l'art. 67 let. b LPD.
29Cette disposition doit être comprise en relation avec l'art. 16 LPD, qui règle les conditions de communication de données personnelles à l'étranger. L'une de ces possibilités est l'existence d'un traité international : selon l'art. 16, al. 2, let. a, une communication à l'étranger est possible lorsqu'un traité international garantit une protection des données appropriée.
30La convention modernisée sur la protection des données du Conseil de l'Europe reconnaît également la possibilité de garantir l'existence d'un niveau de protection adéquat dans un Etat tiers au moyen d'un accord international (cf. art. 12 al. 3 let. b STE 108+). De même, le droit de l'UE prévoit des dispositions correspondantes (cf. art. 46, al. 2, let. a, RGPD et art. 37, al. 2, let. a, de la directive 2016/680, contraignante pour la Suisse).
31Un traité international au sens de l'art. 16 al. 2 let. a LPD peut être une convention générale sur la protection des données, comme la convention STE 108+, ou tout autre accord sectoriel dans un domaine particulier qui régit la transmission de données personnelles entre les parties contractantes. Il convient de noter qu'un traité international n'est couvert par l'habilitation de l'art. 67, let. b LPD que s'il est limité au but de la reconnaissance mutuelle d'un niveau de protection adéquat ; s'il va au-delà, le Conseil fédéral ne peut pas conclure le traité de manière autonome ou a besoin d'une autre base d'habilitation.
32La possibilité de reconnaître un niveau de protection adéquat par le biais d'un traité international est pertinente lorsque la législation de l'État ou de l'organe international concerné n'offre pas une protection adéquate au sens de l'art. 16, al. 1, LPD et qu'il n'existe donc pas de décision de constatation correspondante du Conseil fédéral. Par le biais d'un accord, les Etats concernés peuvent convenir d'un système de protection des données conforme au traité international, qui compense les lacunes du système juridique national, de sorte que la reconnaissance mutuelle d'un niveau de protection adéquat soit possible.
33L'exemple le plus important est celui des accords conclus avec les Etats-Unis, dont le niveau de protection des données n'est pas considéré comme adéquat au sens de l'art. 16, al. 1, LPD, notamment en raison des droits d'accès étendus du président américain et des services secrets nationaux aux données détenues par des entreprises américaines et des possibilités de protection juridique limitées pour les ressortissants non américains. Les accords conclus avec les Etats-Unis illustrent cependant aussi les limites de l'accord international sur les normes de protection des données, notamment la difficulté politique réelle de modifier la répartition des compétences au niveau national au moyen du droit international : Suite à l'arrêt Schrems, le PFPDT n'a plus reconnu comme base pour les transferts de données vers les Etats-Unis le cadre U.S.-Swiss Safe Harbor, qui était encore cité comme exemple dans le rapport explicatif relatif à l'avant-projet de LPD (mais plus dans le message) et qui était calqué sur le cadre UE-USA Safe Harbor, lequel a dû être remplacé suite à l'arrêt de la CJCE dans l'affaire Schrems. Le Privacy Shield UE-US qui a suivi a également été jugé insuffisant par la CJCE dans l'affaire Schrems II. Le Swiss-US Privacy Shield est certes toujours formellement en vigueur, mais il est également jugé insuffisant par le PFPDT. L'UE et les États-Unis ont annoncé en mars 2022 qu'ils s'étaient mis d'accord sur un cadre transatlantique de protection des données ; la Suisse devrait toutefois encore s'entendre avec les États-Unis sur un accord parallèle. Il reste à voir si le cadre transatlantique de protection des données permettra de surmonter les difficultés politiques réelles mentionnées.
34La reconnaissance mutuelle d'un niveau adéquat de protection des données est également possible dans le cadre d'accords sectoriels. Ainsi, dans le cadre de conventions de double imposition conclues avec des pays ne disposant pas d'une protection suffisante des données, les parties contractantes peuvent constater que la protection des données est considérée comme suffisante dans le cadre de l'octroi de l'assistance administrative en matière fiscale, du moins en ce qui concerne les données pertinentes sur le plan fiscal, sur la base des assurances données dans les conventions internationales. Il en va de même pour la transmission de données personnelles dans le cadre de la coopération entre les autorités policières, douanières, de poursuite pénale ou de migration, domaines dans lesquels la Suisse a conclu de nombreux accords. Comme nous l'avons déjà mentionné, la base d'habilitation de l'article 67, lettre b LPD est limitée à la question de la reconnaissance mutuelle d'un niveau de protection équivalent. Les accords de coopération qui, dans la pratique, règlent généralement d'autres questions allant au-delà, nécessitent par conséquent - à moins qu'une autre loi fédérale ne prévoie une base d'habilitation - une approbation préalable par le Parlement.
C. Traités internationaux à d'autres fins
35La base d'habilitation de l'article 67 LPD est limitée aux deux finalités des lettres a et b. La norme de délégation doit être interprétée de manière stricte.
36Le Conseil fédéral peut également conclure des traités internationaux à d'autres fins dans le domaine de la protection des données, mais la compétence n'est alors pas déterminée par cet article, mais par les dispositions générales (voir ci-dessus N. 10 ss). En d'autres termes, s'il s'agit d'un traité de portée limitée ou s'il existe une norme d'habilitation dans une autre loi fédérale que la LPD, le Conseil fédéral peut également le ratifier sans l'approbation du Parlement. Dans tous les autres cas, une approbation parlementaire est nécessaire avant la ratification.
37Les traités qui ont pour objet la transmission de données personnelles à des autorités étrangères ne sont pas, à mon avis, de portée limitée, car ils portent atteinte aux intérêts juridiquement protégés de personnes privées. Il s'agit notamment des nombreux accords de coopération dans les domaines de la police, de la justice, de l'entraide judiciaire, de la migration et de la fiscalité que la Suisse a conclus avec d'autres Etats et qui contiennent des dispositions relatives à l'échange de données. En font également partie les accords internationaux ou les échanges de notes sur la mise en œuvre du développement de l'acquis de Schengen (dans la mesure où ils règlent plus que de simples détails techniques) ainsi que les accords avec d'autres États sur l'accès aux données des passagers aériens (passenger name records, PNR). Comme l'art. 67 ne prévoit pas d'autorisation pour de tels accords, une délégation dans une loi fédérale sectorielle ou une approbation parlementaire est toujours nécessaire. C'est donc à juste titre que le Conseil fédéral a demandé l'approbation préalable de l'Assemblée fédérale avant de ratifier la convention STE 108+ et de reprendre la directive 2016/680. Les deux actes juridiques sont des instruments de grande portée au sens de l'énumération exemplative de l'art. 7a, al. 4, LOGA.
38 Il convient de noter que la base d'habilitation de l'art. 67 LPD autorise le Conseil fédéral à conclure des contrats de portée limitée ou plus large dans le cadre des objectifs mentionnés. L'opinion juridique exprimée dans la doctrine à propos de l'ancienne norme de délégation de l'art. 36, al. 5, aLPD, selon laquelle celle-ci ne comprendrait que des contrats de portée limitée, méconnaît à mon avis le rapport entre les différentes bases d'habilitation de l'art. 7a LOGA. Une délégation sectorielle dans une loi fédérale constitue une lex specialis et permet a fortiori de conclure aussi bien des traités de portée limitée que des traités de portée plus large.
39C'est le Conseil fédéral qui décide s'il y a un traité de portée limitée ou s'il relève de la délégation de l'art. 67, let. a et b. Afin de contrôler que celui-ci n'outrepasse pas ses compétences, l'art. 48a, al. 2, LOGA oblige le Conseil fédéral à présenter chaque année à l'Assemblée fédérale un rapport sur les traités conclus, modifiés ou résiliés par lui-même, par les départements, par les groupements ou par les offices. Si l'Assemblée fédérale n'est pas d'accord avec la répartition effectuée par le Conseil fédéral, elle peut demander par voie de motion que le Conseil fédéral soumette le contrat à une approbation ultérieure.
Bibliographie
Cattaneo Gianni, Kommentierung zu Art. 67 DSG, in: Métille Sylvain/Meier Philippe (Hrsg,), Loi sur la protection des données LPD.
Dauag Apollo, Kommentierung zu Art. 67 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022.
EDÖB, 29. Tätigkeitsbericht 2021/22, Bern 2022, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/deredoeb/taetigkeitsberichte.html , besucht am 11.4.2023 (zit. 29. Tätigkeitsbericht).
EDÖB, Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau, 8.9.2020, abrufbar unter https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/nsb_mm.msg-id-80318.html , besucht am 13.4.2023 (zit. Datenübermittlung).
Epiney Astrid, Kommentierung zu Art. 166 BV, in: Waldmann Bernhard/Belser Eva Maria/Epiney Astrid (Hrsg.), Basler Kommentar, Bundesverfassung, Basel 2015.
Epiney Astrid/Frei Nula, Die völker- und europarechtliche Einbettung des DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar Datenschutzgesetz, Zürich 2023, S. 33-57 (zit. DSG).
Epiney Astrid/Frei Nula, Zur Übernahme weiterentwickelten EU-Rechts durch den Bundesrat. Selbständige Vertragsschlusskompetenzen im Rahmen der Bilateralen Abkommen, am Beispiel der Liberalisierung des internationalen Schienenpersonenverkehrs, in: Jusletter 12.8.2019 (zit. Vertragsschlusskompetenzen).
Fey Marco, Kommentierung zu Art. 67 aDSG, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.
Fischer Philipp, Kommentierung zu Art. 16 DSG, in: Métille Sylvain/Meier Philippe (Hrsg,), Loi sur la protection des données LPD.
Frei Nula, Die Revision des Datenschutzgesetzes aus europarechtlicher Sicht, in: Jusletter 17.9.2018 (zit. Revision DSG).
Frei Nula, Die Datenschutz-Grundverordnung und die Schweiz, in: Epiney Astrid/Rovelli Sophia (Hrsg.), Datenschutz und Gesundheitsrecht, Zürich 2019 (zit. DSGVO).
Jauslin Carl/Spenlé Christoph, Kommentierung zu Art. 67 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar Datenschutzgesetz, Zürich 2023.
Kerboas Cécile/Lennman Catherine, Kommentierung zu Art. 55 DSG, in: Métille Sylvain/Meier Philippe (Hrsg,), Loi sur la protection des données LPD.
Kunz Christian, Kommentierung zu Art. 16 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar Datenschutzgesetz, Zürich 2023.
Métille Sylvain/Ackermann Annelise, RGPD : application territoriale et extraterritoriale, in: Epiney Astrid/Rovelli Sophia (Hrsg.), Datenschutzgrundverordnung (DSGVO): Tragweite und erste Erfahrungen, Zürich 2020.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rudin Beat/Husi-Stämpfli Sandra, Kommentierung zu Art. 36 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Schmid Evelyne, Kommentierung zu Art. 166 BV, in: Martenet Vincent/Dubey Jacques (Hrsg.), Commentaire romand Constitution fédérale, Basel 2021.
Thürer Daniel, Kommentierung zu Art. 166 BV, in: Ehrenzeller Bernhard/Schindler Benjamin/Schweizer Rainer J./Vallender Klaus A. (Hrsg.), Bundesverfassung St. Galler Kommentar, 4. Aufl., Zürich 2023.
Tschannen Pierre, Staatsrecht der Schweizerischen Eidgenossenschaft, 4. Aufl., Bern 2016.
Matériaux
Botschaft zum Bundesgesetz über die Kompetenz zum Abschluss völkerrechtlicher Verträge von beschränkter Tragweite und über die vorläufige Anwendung völkerrechtlicher Verträge (Änderung des Regierungs- und Verwaltungsorganisationsgesetzes und des Parlamentsgesetzes) vom 4.7.2012, BBl 2012 7465 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2012/1138/de, besucht am 11.4.2023 (zit. Botschaft RVOG und ParlG).
Vorentwurf zum Bundesgesetz über den Datenschutz vom 21.12.2016, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vorentw-d.pdf.download.pdf/vorentw-d.pdf, besucht am 11.4.2023 (zit. VE-DSG).
Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 21.12.2016, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vn-ber-d.pdf.download.pdf/vn-ber-d.pdf, besucht am 11.4.2023 (zit. Erläuternder Bericht DSG).
Bundesamt für Justiz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 10.8.2017, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/ve-ber-d.pdf.download.pdf/ve-ber-d.pdf, besucht am 11.4.2023 (zit. Vernehmlassungsergebnisse DSG).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 13.4.2023 (zit. Botschaft DSG).
Entwurf zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 7193 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2058/de, besucht am 11.4.2023 (zit. E-DSG).
Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 6.12.2019, BBl 2020 565 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2020/60/de, besucht am 13.4.2023 (zit. Botschaft SEV 108+).