-
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
En bref
La LPD totalement révisée entrera en vigueur le 1er septembre 2023 sans période de transition générale. L'article 69 stipule toutefois que certains articles sélectionnés ne sont pas applicables à certains traitements de données. La norme stipule toutefois que cela ne s'applique que si ces traitements de données ont commencé avant l'entrée en vigueur de la LPD totalement révisée et si, après cette entrée en vigueur, ni la finalité du traitement ni de nouvelles données n'ont été collectées. En ce sens, l'article exclut les mesures préventives des articles 7, 22 et 23 dans certains cas. Le législateur a voulu éviter de cette manière que les responsables puissent être mis en cause ultérieurement et qu'il en résulte des efforts et des coûts supplémentaires.
I. Généralités
A. Aperçu
1La LPD totalement révisée ne prévoit pas de délais transitoires dont les responsables ou autres personnes concernées devraient tenir compte. Dans ce sens, elle sera en principe applicable à partir du 1er septembre 2023. Le chapitre 10, consacré aux dispositions finales, contient toutefois quelques dispositions transitoires pertinentes. Elles sont concrètement contenues dans les articles 69 à 72. Le présent article 69 prévoit spécifiquement que les articles 7, 22 et 23 ne sont pas applicables aux traitements de données dans certains cas. Il s'agit des traitements qui ont commencé avant l'entrée en vigueur de la LPD révisée le 1er septembre 2023 et dont la finalité du traitement n'a pas été modifiée après l'entrée en vigueur, ni de nouvelles données ajoutées au processus de traitement des données.
B. Historique
2Dès l'entrée en vigueur de la LPD totalement révisée le 1er septembre 2023, les normes s'appliqueront dans toute la Suisse et seront donc applicables dans la mesure où les art. 2 et 3 al. 1 sont remplis. Comme c'est généralement le cas dans d'autres lois, il existe toutefois des exceptions à ce principe ou du moins des dispositions transitoires visant à simplifier la transition entre l'ancien et le nouveau catalogue de normes. Cette dernière était prévue dans un article 64 de la P-LPD. Celui-ci prévoyait trois exceptions, à savoir un effet rétroactif du droit d'accès des personnes concernées pour les traitements de données déjà achevés (al. 1), un délai transitoire pour l'adaptation des traitements de données en cours (al. 2) et la non-applicabilité de certaines dispositions pour les traitements de données qui se poursuivent sans changement (al. 3). L'al. 4 établit le principe de l'application des dispositions dès leur entrée en vigueur. Finalement, tous les al. ont été supprimés, à l'exception de l'al. 3, qui se retrouve dans le présent article 69.
C. Objectif de la norme
3L'art. 69 garantit qu'en présence de conditions spécifiques, une application rétroactive des art. 7, 22 et 23 est empêchée. Le législateur facilite ainsi la transition entre la LPD préexistante et la LPD totalement révisée et épargne aux responsables de traitement des efforts et des coûts supplémentaires. En outre, l'art. garantit que les responsables ne se voient pas imposer des obligations a posteriori. Un effet rétroactif de la loi, problématique dans certains cas, est ainsi évité. En même temps, l'importance de cet article est limitée, d'autant plus que la LPD ne prévoit en général pas de délais de transition pertinents.
II. Contenu
A. Conditions
4Sur le plan du contenu, l'art. 69 se réfère aux art. 7, 22 et 23. Alors que l'art. 7 consacre les principes du privacy by design (protection des données par la technique) et du privacy by default (paramétrage par défaut du droit de la protection des données) (voir à ce sujet le CO-Claus relatif à l'art. 7 LPD), les art. 22 et 23 se réfèrent à l'analyse d'impact relative à la protection des données (AIPD) (voir à ce sujet le CO-Harasgama/Haux relatif à l'art. 22 LPD). L'art. 22 fixe les bases de la réalisation de l'AIPD et 23 certaines conditions de consultation du PFPDT, dans la mesure où il est reconnu, dans le cadre d'une AIPD, qu'il existe un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, malgré les mesures prises pour réduire les risques.
5Ces obligations doivent en principe être prises en compte avant le traitement respectif des données et ne doivent pas être imposées rétroactivement au responsable du traitement par le biais de cette disposition transitoire. Au sens de ce principe de non-rétroactivité, la norme présuppose que le traitement des données a commencé avant son entrée en vigueur. Il doit donc avoir commencé avant le 1er septembre 2023 et ne doit être ni planifié (au sens de l'art. 7 al. 1 LPD) ni déjà terminé. Alors que la délimitation entre la simple planification et l'exécution effective d'un traitement de données peut être déterminée au cas par cas, la question se pose de savoir comment distinguer l'exécution de la fin du traitement des données. Il faut tenir compte du fait qu'une fin ne peut être supposée qu'à partir du moment où l'objectif du traitement est atteint. La situation dans laquelle la finalité n'est de facto plus réalisable est assimilée.
6La deuxième condition est que le but du traitement défini précédemment reste inchangé. Cela signifie que la finalité a été suffisamment déterminée et concrétisée au début du traitement des données et qu'elle subsiste sans changement au moment de l'entrée en vigueur de la LPD totalement révisée (voir le commentaire de l'art. 6 al. 3 LPD pour plus de détails sur la détermination de la finalité du traitement). Dans ce cadre, la question se pose de savoir ce qui s'applique dans la mesure où seules certaines finalités de traitement sont poursuivies, alors que d'autres sont abandonnées. Ce serait le cas si, par exemple, une base de données contenant des données de patients issues d'essais cliniques était initialement traitée pour d'autres essais cliniques dans le même domaine de recherche (finalité 1) et pour l'entraînement d'un outil de prévision basé sur l'intelligence artificielle (IA) (finalité 2) et si, après l'entrée en vigueur de la LPD totalement révisée, le traitement des données n'avait plus lieu que pour des essais cliniques, c'est-à-dire pour la finalité 1. Le fait qu'il n'y ait en tout cas pas d'extension des finalités du traitement plaide en faveur de l'hypothèse que cela est couvert par le libellé de l'article 69. Au contraire, les objectifs existants sont poursuivis - même si c'est sous une forme réduite.
7Troisièmement, l'ensemble des données du traitement de données concerné doit rester inchangé. Selon le texte de la loi, "aucune nouvelle donnée ne doit avoir été collectée". Le processus de "collecte" est "un acte actif, ciblé et conscient de collecte des données personnelles concernées". C'est l'action ciblée et active qui est déterminante. L'obtention passive de données n'est en revanche pas comprise. D'autres auteurs parviennent à une conclusion similaire en se basant sur le caractère planifié de l'opération.
8Il n'est toutefois pas clair comment interpréter le passage "pas de nouvelles données". Une interprétation étroite aurait pour conséquence que la disposition transitoire ne s'appliquerait pas à un processus de traitement de données constant avec des catégories de données fixes, dans la mesure où des données (points) supplémentaires concernant d'autres personnes sont collectées alors que les catégories de données restent inchangées. Cela serait indépendant de l'impact de ces données (points) supplémentaires sur le processus ou le but du traitement. Cette estimation pourrait se justifier par le fait que le stock de données ou le volume des données existantes serait modifié ou augmenté. Prenons l'exemple d'un outil RH basé sur l'IA d'une entreprise qui traiterait des données (points) supplémentaires de nouveaux candidats ou collaborateurs après le 1er septembre 2023. Le stock de données ou l'étendue de ce stock serait donc modifié ou augmenté, de sorte que si les autres conditions de l'article 69 étaient remplies, une nouvelle analyse d'impact sur la protection des données devrait être effectuée selon cette interprétation étroite. Alors que le message suggère une telle interprétation, une interprétation aussi étroite ne correspond pas au sens et au but de la disposition. Dans les faits, cela signifierait que tous les processus de traitement de données continus pour lesquels il est possible que des données concernant des personnes supplémentaires soient collectées après le 1er septembre 2023 ne seraient pas couverts par la disposition. Le champ d'application de l'article 69 serait donc réduit de manière négligeable. Cette interprétation restrictive n'est pas suivie dans le cas présent. Dans ce contexte, deux variantes d'interprétation sont possibles : (1) l'art. 69 ne s'applique que si de nouvelles catégories de données sont collectées, mais pas en cas de simple modification ou extension de l'étendue des catégories de données ou des points de données qui restent inchangés. Ce serait le cas, par exemple, si un formulaire en ligne mis à disposition pour un jeu-concours permettait, après le 1er septembre 2023, de ne plus collecter uniquement le nom, les coordonnées et la réponse à la question du jeu-concours, mais de demander des informations plus détaillées sur les intérêts et les hobbies. Ou encore : (2) l'article 69 n'est pas applicable à tout processus de traitement de données lorsque - selon le message interprété de manière restrictive - le stock ou le volume de données est en soi augmenté ou modifié, bien que les catégories de données collectées restent inchangées et qu'une modification de la finalité du traitement ou du processus qui en résulte ne peut être exclue.
9La question de savoir si des données déjà collectées au préalable, mais ajoutées ultérieurement, excluent l'applicabilité de l'article 69 LPD est également discutée. En se basant sur le texte, certains auteurs affirment que le traitement de ces données tombe sous le coup de l'exception, en tout cas dans la mesure où elles ont été collectées dans le même but. Toutefois, le fait que le contexte des traitements de données soit si profondément marqué par les innovations technologiques que l'exception de l'article 69 LPD ne devrait s'appliquer qu'à des conditions strictes et doit donc être interprétée de manière restrictive s'y oppose. Si de nouvelles données sont ajoutées à la base de données, cette dernière ne peut guère être qualifiée de "inchangée", c'est-à-dire de constante, si ces données ont déjà été collectées dans le cadre d'une autre finalité de traitement des données. Il n'est pas certain que cette question gagne en importance et en contours dans l'application pratique, d'autant plus que l'on peut supposer que la pertinence pratique de cette norme est plutôt faible. D'autant plus que le principe de l'article 7 découlait déjà en partie des articles 4 et 7 de l'aDSG avant son entrée en vigueur et que les responsables étaient en partie également tenus de le faire en vertu du RGPD. Il en va de même pour les articles 22 et 23 (voir à ce sujet le commentaire détaillé de Harasgama/Haux sur l'article 22 LPD).
B. Défis à relever
10Avec l'entrée en vigueur de la LPD totalement révisée, les responsables de traitement sont confrontés à de nombreux défis. Bien que le libellé de l'article 69 LPD soit bref et risque de passer inaperçu, il convient de lui accorder l'attention nécessaire dans ce cadre. Alors que les traitements de données en cours avant l'entrée en vigueur et qui remplissent les autres conditions relèvent sans aucun doute de la réglementation d'exception, il faut toujours demander un conseil juridique pour les questions de détail et pour l'utilisation de nouvelles technologies dans les processus de traitement des données qui ont déjà été planifiés et/ou testés avant l'entrée en vigueur de la LPD totalement révisée. Il s'agit de déterminer avec précision si les données ou les finalités du traitement sont restées inchangées ou si des modifications ont été apportées ou doivent l'être. Si c'est le cas, il faut partir du principe, en cas de doute, que la norme n'est pas applicable.
Bibliographie
Dauag Apollo, Kommentierung zu Art. 69 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter, 16. November 2020.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. HK-DSG).
Matériaux
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.