-
- Art. 3 Cst.
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123b Cst.
- Art. 136 Cst.
- Art. 166 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 3-5 LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL SUISSE
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
ORDONNANCE SUR LES DISPOSITIFS MÉDICAUX
En bref
Les dispositions de l'art. 6 al. 3 LPD (affectation à un usage précis et transparence), de l'art. 6 al. 4 LPD (limitation dans le temps du traitement des données) et de l'art. 6 al. 5 LPD (exactitude) font partie des principes de traitement, qui sont les principes matériels les plus importants du droit de la protection des données. Ils sont essentiels pour la conception concrète du traitement des données.
Toute violation des principes de traitement constitue une atteinte aux droits de la personnalité des personnes concernées. Toutefois, l'atteinte à la personnalité peut être justifiée par le consentement de la personne concernée, par un intérêt prépondérant privé ou public ou par la loi. Cette différence essentielle par rapport au DSGVO de l'UE, selon lequel tout traitement de données nécessite une base juridique concrète, a également été maintenue dans la nouvelle LPD.
Contrairement au DSGVO de l'UE, la LPD ne prévoit pas d'amendes en cas de violation des principes de traitement des données. Cependant, une telle violation peut avoir de lourdes conséquences, notamment au vu des pouvoirs élargis du Préposé fédéral à la protection des données (PFPDT) dans le cadre de la nouvelle LPD. Celui-ci peut ordonner que le traitement des données soit adapté, interrompu ou même arrêté en tout ou en partie et que les données personnelles soient détruites en tout ou en partie. En outre, il convient de prendre en compte les éventuels droits (civils) des personnes concernées et en particulier les conséquences d'une perte de confiance et d'un préjudice à la réputation.
I. Généralités
A. Remarques préliminaires
1 Les dispositions de l'art. 6 al. 3 LPD (affectation à une finalité précise et transparence), de l'art. 6 al. 4 LPD (limitation dans le temps du traitement des données) et de l'art. 6 al. 5 LPD (exactitude) font partie, avec l'art. 6 al. 1 LPD (licéité), l'art. 6 al. 2 (proportionnalité et bonne foi) et l'art. 8 LPD (sécurité des données) font partie des principes de traitement, qui sont les principes matériels les plus importants de la protection des données et les idées directrices de la loi. Les articles 6 al. 6 et al. 7 LPD (consentement) ne sont pas des principes de traitement, mais expliquent simplement les conditions du consentement.
2 Les principes de traitement de la LPD s'appliquent aussi bien aux personnes privées qu'aux organes fédéraux. Toute violation des principes de traitement constitue une atteinte à la personnalité. Cependant, pour les personnes privées, toute atteinte à la personnalité n'est pas illégale. Elle peut être justifiée par le consentement de la personne concernée, par un intérêt privé ou public prépondérant ou par la loi (art. 31, al. 1, LPD). Cette différence essentielle par rapport au DSGVO de l'UE, selon lequel tout traitement de données nécessite un motif justificatif (interdiction avec réserve d'autorisation), a été maintenue lors de la révision de la LPD. Ainsi, selon la loi suisse sur la protection des données, une base juridique n'est toujours requise pour les responsables privés du traitement des données que s'il y a effectivement atteinte à la personnalité. Contrairement au traitement des données par des personnes privées, le traitement des données par les autorités fédérales est également soumis à une base juridique (interdiction avec réserve d'autorisation) en vertu de la loi suisse sur la protection des données. Même si et dans la mesure où une telle base existe, les principes de traitement s'appliquent également. Ils constituent un droit de comportement directement applicable, dont la violation peut donner lieu à une action en justice de la part de la personne concernée. La question de savoir si et dans quelle mesure les autorités fédérales sont exceptionnellement dispensées de respecter les principes de traitement doit être déterminée sur la base de la législation.
3 Les principes du traitement des données s'appliquent à l'ensemble du cycle de vie du traitement des données, quels que soient les moyens et les procédures utilisés, et sont donc neutres sur le plan technologique, c'est-à-dire qu'ils ne font pas référence à des applications techniques ou commerciales spécifiques.
B. Contexte et objectif de la norme
4 Le législateur suisse a toujours souligné que la loi suisse sur la protection des données n'a pas pour but d'empêcher ou de restreindre les possibilités de développement dans le domaine des technologies de l'information. Il s'agit plutôt de développer en Suisse une politique des données cohérente et tournée vers l'avenir. Dans ce contexte, le PFPDT a expressément déclaré que même dans le cadre de la nouvelle loi sur la protection des données, des risques de traitement potentiellement élevés ne constituent pas un argument décisif contre les projets de transformation numérique. Cependant, certaines règles de base doivent être respectées. Outre les autres principes de traitement, il s'agit notamment du principe de finalité (art. 6, al. 3 LPD) abordé ici, des dispositions relatives à la durée du traitement des données (art. 6, al. 4 LPD) et des exigences relatives à l'exactitude des données (art. 6, al. 5 LPD). Compte tenu de l'évolution rapide et dynamique des technologies de l'information, le respect de ces principes de traitement vise à empêcher tout traitement excessif, inapproprié ou incorrect des données.
C. Destinataire des obligations
5 Les obligations découlant des principes de traitement s'appliquent en premier lieu au responsable du traitement (art. 5 let. j LPD). Le sous-traitant ne traite les données personnelles que sur ordre du responsable du traitement (art. 5 let. k LPD) et peut se fonder sur les mêmes motifs justificatifs que le responsable du traitement (art. 9 al. 4 LPD).
6 Le sous-traitant n'est pas expressément mentionné en tant que tel comme destinataire des principes de traitement de l'art. 6 LPD, contrairement au principe (pénal) de traitement de la sécurité des données (art. 8 LPD, art. 61 let. c LPD) et à d'autres obligations de la LPD, par exemple l'art. 12 al. 1 LPD, art. 17 al. 2 LPD et au chapitre 3 de la LPD, qui obligent explicitement le responsable et/ou le sous-traitant.
D. Conséquences juridiques et économiques d'une violation
7 Les dispositions de l'art. 6 al. 3 LPD (limitation des finalités et transparence), de l'art. 6 al. 4 LPD (limitation dans le temps du traitement des données) et de l'art. 6 al. 5 LPD (exactitude) ne figurent pas dans la liste exhaustive des infractions pénales (art. 60 et suivants LPD). Une violation de ces principes de traitement n'est pas en soi punissable selon la LPD, même si elle n'est pas justifiée. Malgré une révision complète des dispositions pénales, rien n'a été modifié à ce sujet dans le cadre de la révision de la LPD. Cependant, la violation d'autres obligations liées à ces principes de traitement, par exemple l'obligation d'information, art. 19, 21 en relation avec l'art. 60 al. 1 let. b LPD, est passible de sanctions. Des infractions pénales en dehors de la LPD peuvent également être prises en compte.
8 Les nouveaux pouvoirs du PFPDT découlant de la nouvelle loi sur la protection des données sont d'une importance capitale. En cas de violation des règles de protection des données, ils peuvent notamment conduire à une interdiction des activités de traitement ou à une décision de destruction des données. Dans son rapport d'activité 2022/2023, le PFPDT a déjà annoncé dans ce contexte qu'il intensifierait son activité de surveillance et augmenterait le nombre d'enquêtes.
9 En outre, une violation peut entraîner des droits légaux en vertu de la LPD (en particulier en vertu des art. 32 et 41 LPD) ainsi que des droits civils pour atteinte à la personnalité (art. 32 al. 2 LPD).
10 Outre les conséquences juridiques potentielles d'une violation des principes de traitement, il convient de prendre en compte dans la pratique la perte de confiance et l'atteinte à la réputation qui peuvent résulter d'une violation des principes de traitement et avoir un impact négatif à long terme sur le développement des affaires.
E. Historique des différents principes de traitement
1. Principe de finalité et de transparence, art. 6 al. 3 LPD
11 L'art. 6 al. 3 LPD associe les principes de finalité et de reconnaissabilité, qui figuraient dans l'aDSG dans deux alinéas distincts (art. 4 al. 3 aDSG et art. 4 al. 4 aDSG). La nouvelle formulation se rapproche de celle de l'art. 5 al. 4 let. b de la Convention 108 plus, en ce sens que les données personnelles ne peuvent être traitées que dans un but «déterminé» et «identifiable» pour les personnes concernées. Autre nouveauté : les données ne peuvent être traitées que de manière « compatible » avec cette finalité. La terminologie de cette disposition se rapproche ainsi de celle de l'art. 5 al. 1 let. b DSGVO. Cependant, il n'y a pas de changements matériels par rapport à l'aDSG.
2. Limitation dans le temps du traitement des données, art. 6 al. 4 LPD
12 L'art. 6 al. 4 LPD introduit expressément l'obligation de détruire ou d'anonymiser les données personnelles dès qu'elles ne sont plus nécessaires au traitement. Cela correspond aux exigences de la Convention 108 plus ainsi qu'à l'art. 4 al. 1 let. e de la directive (UE) 2016/680 et à l'art. 5 al. 1 let. e DSGVO («limitation de la conservation»). Cette obligation n'est pas non plus nouvelle. Elle découlait déjà auparavant du principe général de proportionnalité (art. 4 al. 2 aDSG, art. 6 al. 2 LPD). En l'inscrivant explicitement dans la loi, le législateur a voulu souligner l'importance particulière de la limitation dans le temps du traitement des données à caractère personnel, qui s'impose dans le contexte du développement technologique et des possibilités de stockage presque illimitées.
3. Principe d'exactitude, art. 6 al. 5 LPD
13 Alors que le principe d'exactitude des données était jusqu'à présent souligné dans un article distinct (art. 5 aDSG), il a été intégré dans l'article 6 LPD en tant qu'alinéa 5 afin de réunir les principes les plus importants de la protection des données dans un seul article. Cette structure s'inspire de l'art. 5 de la Convention 108 plus, de l'art. 4 de la directive (UE) 2016/680 et de l'art. 5 du DSGVO. Le droit de rectification, qui figurait jusqu'à présent à l'art. 5 al. 2 aDSG, est désormais régi par l'art. 32 LPD.
II. Objet des dispositions
A. Principe de finalité et de transparence, art. 6 al. 3 LPD
1. Exigences
14 Selon le principe de finalité et de transparence, les données personnelles ne peuvent être collectées qu'à des fins déterminées et reconnaissables par la personne concernée. Elles ne peuvent être traitées que de manière compatible avec cette finalité, art. 6 al. 3 LPD.
15 Selon la nouvelle formulation de la loi, l'identité des finalités n'est plus explicitement requise. Le traitement doit simplement être (en permanence) compatible avec la finalité initiale. Un traitement ultérieur à d'autres fins n'est autorisé que s'il n'est pas inattendu et ne peut être considéré comme inapproprié ou répréhensible.
16 Avant même l'entrée en vigueur de la nouvelle LPD, le Tribunal fédéral avait relativisé le principe de finalité dans un arrêt du 18 mars 2021 concernant la divulgation de données personnelles par un organe fédéral. Il avait alors déclaré qu'on ne pouvait exiger une identité absolue des finalités, car cela limiterait trop l'entraide administrative prévue à l'art. 19 al. 1 aDSG. Dans tous les cas, le but de l'assistance administrative doit être au moins compatible avec le but de la collecte initiale des données personnelles. Le Tribunal fédéral avait déjà jugé que la «compatibilité» du traitement avec le but initial était suffisante en vertu de l'aDSG.
17 L'autre condition, à savoir la reconnaissabilité, doit être remplie tant en ce qui concerne la collecte des données personnelles que le but de leur traitement. Elle peut être considérée comme remplie si la collecte des données et la finalité de leur traitement ressortent clairement des circonstances ou si le traitement est prévu par la loi. Cette possibilité existe toujours, même si les termes « ressortent clairement des circonstances » et « ou sont prévus par la loi » de l'art. 4 al. 3 aDSG n'ont pas été repris dans le libellé de l'art. 6 al. 3 LPD.
18 Les exigences en matière de reconnaissabilité doivent être déterminées au cas par cas, en tenant compte des principes de proportionnalité et de bonne foi, art. 6 al. 2 LPD. Des finalités de traitement vagues, non définies ou imprécises ne sont en principe pas suffisantes, bien que cette caractéristique soit à nouveau évaluée en fonction des circonstances et qu'un équilibre doit être trouvé entre les intérêts des personnes concernées et ceux du responsable ou du sous-traitant et de la société. Dans l'affaire «Google Street View», le Tribunal fédéral a par exemple établi que le principe de finalité et de transparence n'était pas respecté si les véhicules de Google, sur lesquels sont installées des caméras, étaient visibles par les passants et les riverains. L'objectif de ces véhicules, qui consiste à parcourir systématiquement des rues (etc.) et à les photographier, puis à publier les photos sur Internet sans le consentement des personnes concernées, n'est pas facilement reconnaissable, même si Google Street View est très connu de la population suisse.
19 L'exigence de reconnaissabilité est étroitement liée à l'obligation d'informer prévue par l'art. 19 et suivants de la LPD. Il ne faut toutefois pas les confondre. Alors que l'exigence de reconnaissabilité est un principe de traitement pour lequel une violation peut éventuellement être justifiée (art. 31 LPD), ce n'est pas le cas pour la violation de l'obligation d'informer. Au contraire, la violation de l'obligation d'informer est punissable en vertu de l'art. 60 al. 1 let. b LPD.
2. Exemples
20 Le traitement ultérieur d'adresses à des fins d'envoi publicitaire enfreint le principe de finalité et de transparence si les adresses ont été collectées à l'origine dans un tout autre contexte, par exemple dans le cadre d'une campagne politique. L'analyse de données personnelles relatives aux habitudes de consommation (à des fins autres que la lutte contre la fraude) sur la base de paiements par carte de crédit ou de débit sans le consentement de la personne concernée est également interdite. De même, l'envoi de publicité non sollicitée par e-mail à des adresses inconnues et collectées de manière aléatoire sur Internet ou l'obtention par une entreprise privée d'adresses IP de titulaires de lignes proposant des téléchargements de copies pirates constitue une violation du principe de finalité et de transparence.
21 En revanche, l'utilisation d'une adresse à des fins publicitaires est autorisée par la loi sur la protection des données si la personne concernée a transmis son adresse dans le but de recevoir une carte client ou pour une commande (en ligne ou non) dans le cadre d'une finalité initialement reconnaissable.
22 Lors de l'envoi de newsletters publicitaires, les conditions découlant de la loi contre la concurrence déloyale, notamment l'art. 3 al. 1 let. o LCD («article anti-spam») doivent être respectées. Toute infraction peut entraîner des sanctions pénales. Lors de l'envoi de newsletters à l'étranger, il convient en outre de respecter le droit national en vigueur et les usages locaux, qui peuvent imposer des exigences encore plus strictes.
23 Le traitement de données «sur stock», c'est-à-dire sans finalité, enfreint à la fois le principe de proportionnalité et le principe de finalité et de transparence, et est donc illégal. Cependant, l'enregistrement et la conservation sans motif des données secondaires de télécommunication restent autorisés en Suisse. La conservation par la police des enregistrements issus de la surveillance des lieux publics, dans le cadre de laquelle les données sont collectées et traitées pour d'éventuelles enquêtes pénales, est également autorisée, du moins pendant un certain temps. En revanche, la Cour fédérale a considéré différemment les faits relatifs à l'utilisation (excessive) de compteurs d'eau radio. Dans ce cas, il n'y avait pas de finalité pour le stockage de certaines données et la nécessité de leur transmission.
24 Lors de la transmission de données à des tiers, il convient de vérifier si cette divulgation est toujours conforme à l'objectif initial. Cela s'applique également à l'échange de données au sein des entreprises d'un groupe. En l'absence d'un privilège global du groupe, les entreprises du même groupe sont également considérées comme des tiers, à moins qu'elles ne traitent les données uniquement en tant que sous-traitants. Dans la pratique, il est souvent difficile de faire la distinction entre sous-traitant et responsable (commun). En fin de compte, il est essentiel de mettre en place une structure cohérente et de la rendre transparente. Par exemple, dans le domaine des ressources humaines, il est recommandé de préciser clairement la relation avec le groupe dans le contrat de travail. Lors du transfert de données à des tiers, il faut également tenir compte du fait que le principe de limitation de la finalité doit être respecté (non seulement, mais aussi) lors du traitement ultérieur des données par le destinataire.
25 Les applications Big Data telles que le Data Warehousing et le Data Mining sont confrontées à des défis particuliers en matière de limitation de la finalité et de transparence, car la nature même des analyses Big Data est telle que leur finalité concrète ne se révèle qu'une fois les données fusionnées sur la base des nouvelles connaissances acquises.
26 Les Big Data sont également la base la plus importante de l'intelligence artificielle (IA), qui entre ainsi également en conflit avec le principe de limitation de la finalité et de transparence. La recevabilité des applications correspondantes doit être examinée au cas par cas. Souvent, lors du développement de systèmes d'IA et de la saisie de données d'apprentissage, l'objectif de traitement ultérieur ne peut pas encore être défini, par exemple si l'algorithme peut prendre en charge un grand nombre de tâches. En outre, les données d'apprentissage utilisées sont généralement collectées à des fins complètement différentes à l'origine (par exemple, lorsque des données librement disponibles sur Internet sont utilisées comme données d'apprentissage). Il est donc souvent difficile de savoir si leur traitement est encore «compatible» avec l'objectif initial. Une importance particulière sera accordée à une analyse différenciée des différents traitements de données dans le cycle de vie de l'IA (développement, saisie de données d'apprentissage, utilisation du résultat du système d'IA «sortie», etc.) ainsi qu'aux motifs justifiant le consentement, l'exécution du contrat et l'intérêt légitime. Selon la communication du PFPDT, les fabricants, fournisseurs et utilisateurs de systèmes d'IA doivent également rendre transparents les finalités, le fonctionnement et les sources de données des traitements basés sur l'IA. L'autorité de contrôle française CNIL fournit des exemples concrets de finalités selon le DSGVO par les développeurs de systèmes d'IA :
Exemples de finalités considérées comme explicites et spécifiées :
Développement d'un modèle de langage large (LLM) capable de répondre à des questions, de générer du texte en fonction du contexte (e-mails, lettres, rapports, y compris du code informatique), d'effectuer des traductions, des résumés et des corrections de texte, d'effectuer une classification de texte, une analyse des sentiments, etc. ;
Développement d'un modèle de reconnaissance vocale capable d'identifier un locuteur, sa langue, son âge, son sexe, etc. ;
Développement d'un modèle de vision par ordinateur capable de détecter différents objets tels que des véhicules (voitures, camions, scooters, etc.), des piétons, du mobilier urbain (poubelles, bancs publics, abris à vélos, etc.), des panneaux de signalisation, des feux tricolores, des panneaux de signalisation, etc.
À l'inverse, l'objectif ne serait pas considéré comme suffisamment spécifié s'il ne faisait référence qu'au type de système d'IA, sans mentionner les fonctionnalités et capacités techniquement réalisables.
Exemples d'objectifs qui ne sont pas considérés comme explicites et spécifiés :
Développement d'un modèle d'IA génératif (les capacités possibles ne sont pas définies) ;
Développement et amélioration d'un système d'IA (ni le type de modèle ni les capacités possibles ne sont définis) ;
Développement d'un modèle pour identifier l'âge d'une personne (le type n'est pas défini).
Dans ce cas, la CNIL recommande également, pour des raisons de transparence, que le responsable soit en mesure de déterminer à l'avance les capacités prévisibles du système d'IA qui présentent les risques les plus importants, que la finalité se réfère aux fonctionnalités qui sont exclues d'emblée et que la finalité définisse autant que possible les conditions d'utilisation du système d'IA.
En ce qui concerne les exigences de transparence, il convient également de tenir compte de la loi européenne sur l'IA, qui peut également s'appliquer aux entreprises suisses.
27 Le législateur suisse a également reconnu le potentiel de réutilisation des données à des fins d'utilisation secondaire. Le 12 juin 2023, le Conseil national a adopté en tant que deuxième conseil une motion visant à créer une loi-cadre pour l'utilisation secondaire des données. Le Conseil fédéral est ainsi chargé d'élaborer une loi visant à résoudre le conflit entre la protection des données et leur utilisation et à créer des espaces de données fiables.
28 Au niveau européen, il convient en outre de prendre en compte en particulier le Data Governance Act, le Data Act, la réglementation relative à l'espace européen des données de santé et, comme déjà mentionné, l'AI Act. Ces textes peuvent également s'appliquer aux entreprises suisses.
3. Recommandations pour la mise en œuvre
29 Les finalités du traitement des données doivent être définies, respectées en permanence et rendues transparentes. Dans la pratique, cela peut généralement être réalisé dans le cadre de la déclaration de protection des données qui est de toute façon nécessaire, au moins en partie selon le cas, par le biais des conditions générales de vente ou par le biais d'une communication/d'informations individuelles. Il convient de veiller à ce que des finalités de traitement vagues, non définies ou imprécises ne soient pas suffisantes. Le degré de précision requis doit être déterminé au cas par cas, en tenant compte des principes de proportionnalité et de bonne foi. En cas de transmission à des tiers, il est souvent recommandé de prévoir une disposition contractuelle stipulant que les données ne peuvent être traitées qu'à des fins spécifiques et légalement, et comprenant une obligation d'indemnisation. Il convient au moins de mentionner la finalité du traitement.
B. Limitation dans le temps du traitement des données, art. 6 al. 4 LPD
1. Exigences
30 Selon le principe de la limitation dans le temps du traitement des données, les données personnelles doivent être détruites ou rendues anonymes dès qu'elles ne sont plus nécessaires au traitement.
31 Néanmoins, un traitement ultérieur des données peut être justifié, art. 31 al. 1 LPD. C'est notamment le cas lorsque des obligations de conservation doivent être respectées, par exemple l'obligation de conserver pendant dix ans les livres comptables, les pièces comptables, le rapport de gestion et le rapport de révision ou les obligations de conservation en vertu du droit fiscal. Un intérêt légitime à la conservation peut également résulter de litiges juridiques potentiels futurs et de dispositions relatives à la prescription.
32 La destruction signifie au sens propre la destruction ou l'élimination irréversible des données. Pour les données sur papier, il faut les déchiqueter ou les brûler et s'assurer que des tiers n'ont pas accès aux « reliques ». Pour les données électroniques, il est important de savoir non seulement comment elles ont été stockées, mais aussi comment elles ont été obtenues. Si elles ont été transmises par clé USB, celle-ci doit être rendue inutilisable et toutes les copies doivent être traitées de manière à ce que les données ne puissent plus être lues. Si elles ont été transmises par e-mail, tous les enregistrements intermédiaires de cet e-mail doivent également être détruits. Par ailleurs, la destruction est soumise à des exigences élevées. Selon le message relatif à la LPD, les commandes d'effacement habituelles ou un simple reformatage ne constituent pas une destruction au sens de la législation sur la protection des données.
33 La destruction nécessite donc plus qu'un effacement. Néanmoins, la littérature considère que l'art. 6 al. 4 LPD est une erreur rédactionnelle et que le principe de limitation dans le temps peut également être respecté par un effacement. Cela est justifié par une reprise inconsidérée du terme « destruction » de la réglementation précédente de l'article 5 aDSG. En outre, les termes « destruction » et « effacement » seraient utilisés comme synonymes dans la LPD. Selon l'opinion locale, cela peut certainement être accepté si le terme d'effacement, qui n'est d'ailleurs défini ni dans la LPD ni dans la DSGVO, est compris comme signifiant qu'aucune référence personnelle ne peut plus être établie, car alors la LPD n'est de toute façon pas (plus) applicable par définition en l'absence de données personnelles, art. 5 let. a. LPD. Selon l'approche de la LPD basée sur les risques, c'est déjà le cas si la mise en relation avec une personne n'est possible qu'au prix d'efforts considérables qu'aucun intéressé ne serait prêt à consentir. Il convient d'examiner au cas par cas si cela peut également être confirmé dans le cadre d'un processus d'archivage. Des mesures organisationnelles telles que le blocage des accès et le principe du double contrôle peuvent également être considérées comme suffisantes.
34 Le principe de la limitation dans le temps peut également être respecté par l'anonymisation. Par anonymisation, on entend toute mesure qui a pour effet que l'identité des personnes concernées ne peut plus être déterminée ou ne peut l'être qu'au prix d'efforts considérables. Il ne faut pas confondre anonymisation et pseudonymisation. La pseudonymisation consiste à remplacer le nom et d'autres caractéristiques d'identification par un autre identifiant, par exemple un caractère de remplacement, dans le but d'empêcher ou de rendre difficile l'identification de la personne concernée. En d'autres termes, la pseudonymisation permet de rétablir le lien avec la personne concernée à l'aide de la clé correspondante. Mais cela ne vaut que pour celui qui détient la clé. Cette approche relative a pour conséquence que pour celui qui ne détient pas la clé et qui est pratiquement exclu de l'obtenir, il n'existe pas non plus de données personnelles. Cette approche relative a des conséquences considérables dans la pratique, car elle exclut du champ d'application de la législation sur la protection des données celui qui ne détient pas la clé.
2. Recommandations pour la mise en œuvre
35 Dans la pratique, l'obligation de détruire ou d'anonymiser les données peut poser de grands défis aux responsables. Dans un premier temps, il est recommandé d'obtenir une vue d'ensemble des traitements de données habituels dans les différents secteurs d'activité. Il convient ensuite de fixer les délais de conservation et d'effacement respectifs. En pratique, cela se fait sous la forme de listes claires, qui servent également de directives internes («directive de conservation»/«Data Retention Policy»).
36 Il est utile pour la mise en œuvre que le logiciel utilisé pour le traitement des données offre déjà des fonctionnalités appropriées pour la suppression automatique, en veillant d'une part à ce qu'elles répondent techniquement aux exigences de la législation sur la protection des données et d'autre part à ce que l'obligation de suppression soit suffisamment couverte par contrat dans le cadre des contrats de traitement des données de commande avec le fournisseur informatique/fournisseur de cloud.
C. Principe d'exactitude, art. 6 al. 5 LPD
1. Exactitude des données
a. Exigences
37 Les données personnelles sont exactes si elles reflètent correctement les circonstances et les faits relatifs à la personne concernée. Elles doivent être exactes dans leur ensemble, en tenant compte de la finalité et de la nature du traitement. Il en résulte déjà que le terme d'exactitude dans le droit de la protection des données ne doit pas être compris de manière absolue, mais qu'une importance considérable est accordée au cas d'application concret.
38 Même des données personnelles correctes peuvent être considérées comme incorrectes au sens de la législation sur la protection des données si l'on tient compte du contexte global et de la finalité du traitement. C'est le cas par exemple lorsqu'une personne est enregistrée comme « poursuivie » dans une base de données sur la solvabilité, alors qu'elle a payé ses factures correctement et dans les délais pendant des années et qu'elle n'a été poursuivie que parce que la facture a été envoyée à une mauvaise adresse. D'un autre côté, les fausses déclarations ne sont pas nécessairement incorrectes au sens de la loi sur la protection des données. Ainsi, selon un arrêt du Tribunal fédéral, certaines informations ne peuvent être considérées comme fausses si l'ensemble des informations reflète correctement les faits réels. De même, les informations peuvent être tout à fait correctes au sens de « clichés instantanés », même si elles deviennent incorrectes par la suite, par exemple si un nom modifié entre-temps est encore mentionné dans un jugement. Dans ce cas, l'objectif pour lequel les données sont encore utilisées est décisif. Dans ce contexte, le principe d'exactitude doit être considéré de manière différenciée, en particulier dans le cadre des activités des archives, des musées, des bibliothèques et d'autres institutions de mémoire. Étant donné que la mission de ces institutions est de collecter, d'indexer, de conserver et de transmettre des documents de toutes sortes, ceux-ci ne doivent pas être modifiés, car cela irait à l'encontre de l'objectif de l'archivage. Les archives permettent de prendre un instantané du passé à l'aide de documents, dont l'«exactitude» se réfère uniquement au fait que les documents en question sont reproduits fidèlement, indépendamment du fait que cela soit encore considéré comme correct d'un point de vue actuel. De même, la revendication d'exactitude dans les contrôles de police ne se réfère pas aux informations objectivement vérifiables sur les personnes concernées, mais à l'authenticité du procès-verbal. Le facteur décisif est de savoir si les données disponibles reflètent l'observation subjective de la personne autorisée au moment où l'évaluation a été effectuée.
39 L'exactitude des données ne peut en principe se référer qu'à des faits qui peuvent également être objectivement constatés. Les jugements de valeur sont subjectifs et peuvent difficilement être classés comme étant corrects ou incorrects. Il est alors difficile de faire la distinction lorsque les jugements de valeur et les faits sont mélangés. Cela a pris une importance particulière dans le contexte des «fake news». Par exemple, il est vrai ou faux d'indiquer qu'un jugement de valeur a été exprimé par une personne donnée ou documenté dans un dossier. Il est également vrai ou faux d'indiquer à qui se réfère le jugement de valeur. L'utilisation ultérieure du fait du jugement de valeur est également régie par les principes généraux de traitement.
40 Le respect du principe d'exactitude des données pose des défis particuliers en ce qui concerne les systèmes d'IA. En particulier dans le cas des systèmes d'IA dont les données d'entraînement proviennent de sources accessibles au public, notamment d'Internet, il est souvent impossible de vérifier efficacement l'exactitude des données. Les résultats du traitement des données par les systèmes d'IA (« sortie de données ») peuvent également être incorrects. D'une part, on ne peut pas supposer qu'une « exactitude statistique » soit suffisante pour le traitement des données dans le cadre des systèmes d'IA. D'un autre côté, les exigences imposées au traitement des données dans le cadre des systèmes d'IA ne doivent pas être plus élevées que pour les autres traitements de données, car la LPD est fondamentalement neutre sur le plan technologique. Cela signifie que la question de l'exactitude des données doit également être évaluée au cas par cas et en tenant compte du contexte global, même dans le cas du traitement des données dans le cadre des systèmes d'IA. L'objectif du traitement des données, l'importance des résultats et les attentes des utilisateurs sont particulièrement pertinents à cet égard. Dans la pratique, il sera décisif d'informer les utilisateurs en conséquence. L'exigence connexe de vérification des résultats devrait également se refléter dans les « AI Guidelines » des entreprises.
41 En règle générale, le traitement de données incorrectes n'est pas en soi une atteinte à la personnalité. Ce n'est que si les données incorrectes entraînent une atteinte à la personnalité par leur traitement qu'elles doivent être rectifiées ou détruites. Le principe d'exactitude n'est pas non plus absolu. Une atteinte peut être justifiée pour les personnes privées qui traitent des données en vertu de l'art. 31 LPD. Pour les organes fédéraux, le droit à l'effacement peut également être limité (cf. art. 41 al. 3-5 LPD).
b. Exemples
42 Dans le cas du traitement d'informations suspectes concernant la commission d'éventuelles infractions, l'art. 6 al. 5 LPD ne s'oppose pas à un traitement tant que la pertinence de l'information correspondante est connue et que le soupçon ne semble pas être une connaissance confirmée. Les e-mails archivés qui, d'après les connaissances actuelles, contiennent des informations erronées sont néanmoins corrects au sens de la législation sur la protection des données, tant qu'ils ne sont pas traités en supposant qu'ils sont encore d'actualité. De même, la conservation de la correspondance commerciale est autorisée dans le cadre de l'obligation de conservation, même si elle contient des informations erronées. Si un numéro de rue est mal saisi dans la base de données d'adresses d'une association, qui ne sert pas à l'envoi postal mais uniquement au contrôle de l'effectif des membres, l'information ne doit pas être corrigée. Dans tous les cas, même pour un tel traitement de données, il convient de vérifier le respect des autres principes généraux de traitement, en particulier les principes de proportionnalité et de finalité.
2. Obligation de s'assurer de l'exactitude des données, obligation de rectification et de suppression
a. Exigences
43 Selon le principe d'exactitude, toute personne qui traite des données personnelles doit s'assurer de leur exactitude, art. 6 al. 5 phr. 1 LPD. L'art. 6 al. 5 phr. 2 LPD stipule en outre explicitement que toutes les mesures appropriées doivent être prises pour rectifier, effacer ou détruire les données inexactes. Cette obligation complète l'obligation de vérification, qui n'aurait sinon aucun sens. L'étendue de l'obligation de vérification dépend de chaque cas particulier. Il convient notamment de prendre en compte la finalité et l'étendue du traitement ainsi que le type de données traitées, la mesure dans laquelle les données sont divulguées et leur degré de sensibilité. C'est dans ce cadre que doit s'exercer l'obligation de vérification du responsable du traitement des données. Plus le risque d'atteinte à la personnalité est élevé, plus les exigences en matière d'obligation de vérification sont élevées. L'obligation de vérification peut donc également conduire à une obligation d'actualisation. Toutefois, elle n'implique pas une obligation générale de vérification régulière sans motif.
44 La mise en œuvre des mesures de vérification peut également être déléguée, par exemple à la source des données ou à un sous-traitant. En cas de violation de l'obligation de vérification, il y a infraction aux principes de traitement et donc atteinte à la personnalité, conformément à l'art. 30 al. 2 let. a LPD. Selon l'esprit et l'objectif de la loi, une telle violation de l'obligation ne peut donner lieu à des demandes de rectification et de dommages-intérêts que si les données sont effectivement incorrectes. Les mesures à prendre dépendent, entre autres, de la nature, de l'étendue et de la finalité du traitement des données, de la sensibilité des données et du risque pour les droits de la personnalité de la personne concernée. Cela doit à nouveau être déterminé au cas par cas. En outre, les obligations légales peuvent s'opposer aux mesures de rectification, de suppression ou d'actualisation.
b. Exemples
45 Si le traitement des données à des fins de marketing est basé sur les propres informations de la personne concernée, le responsable n'a pas à s'assurer de leur exactitude. De même, il n'y a pas d'obligation générale de vérifier en permanence si les adresses figurant dans un fichier clients sont obsolètes à des fins de marketing. Cependant, si un assuré informe l'assureur d'un changement d'adresse, qui indique également un changement d'état civil, l'assureur doit ajouter l'état civil, dans la mesure où cela a des répercussions sur le versement de la prestation d'assurance. D'un autre côté, les informations déjà fournies dans une police d'assurance ne doivent pas être vérifiées à nouveau, dans la mesure où elles n'ont aucune influence sur la prime ou la prestation d'assurance. En ce qui concerne les agences de renseignements commerciaux, il convient de prendre en compte, lors de la vérification des données, en particulier le volume des données, l'existence de profils de personnalité et de consentements ainsi que le nombre de requêtes effectuées. Si une compagnie d'assurance souhaite utiliser l'intelligence artificielle (IA) pour établir un profil des clients qui souscrivent une assurance et utiliser ce profil comme base pour ses décisions lors du calcul du risque d'assurance, elle doit non seulement utiliser les données des clients existants provenant de sources de données contenant des informations correctes et à jour comme données d'entraînement, mais aussi utiliser un groupe de clients représentatif de la population afin d'éviter les distorsions.
3. Recommandations pour la mise en œuvre
46 Les exigences relatives aux mesures requises en vertu de l'art. 6 al. 5 LPD doivent être proportionnelles aux risques et aux conséquences de l'utilisation concrète. Voici quelques exemples de mesures à prendre, qui représentent également des aspects centraux dans le cadre de la conception technique selon les principes de Privacy by Design et Privacy by Default :
vérification de la fiabilité de la source de données
Détermination du degré d'exactitude en fonction des circonstances générales du cas individuel
Le cas échéant, nouveaux contrôles des données en fonction des circonstances générales et des différentes phases du traitement des données
Réduction des faux positifs / faux négatifs, par exemple pour réduire les erreurs dans la prise de décision automatisée et l'utilisation de l'intelligence artificielle
Mise à jour des données si nécessaire pour les besoins du traitement
Mise en place de solutions en libre-service permettant aux personnes concernées de vérifier elles-mêmes leurs données et de les corriger si nécessaire
Introduction de contrôles de plausibilité et de qualité
Mise en place de contrôles automatiques des saisies, par exemple pour éviter les saisies erronées de codes postaux
Menus déroulants au lieu de saisie de texte libre
47 Du point de vue des responsables, il est également recommandé d'imposer par contrat aux personnes concernées l'obligation de fournir des données correctes et de les tenir à jour, et d'exclure toute responsabilité à cet égard, dans la mesure du possible. En principe, une obligation d'indemnisation devrait également être envisagée pour les sources de données externes. Selon le cas, cela peut être pris en compte dans le cadre d'un concept global qui comprend l'attribution des données et des responsabilités ainsi que d'autres droits et obligations connexes.
Bibliographie
Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 3. Auflage, Basel 2014 (zit. BSK DSG-Bearbeiter:in [3. Auflage]) sowie 4. Auflage, Basel 2024 (zit. BSK DSG-Bearbeiter:in).
Basler Kommentar zum Geldwäschereigesetz, Basel 2021 (zit. BSK GWG-Bearbeiter:in).
Fischer Joel A./Bornhauser Jonas, Elektronische Board Portale: Hosted in Switzerland als neuer rechtlicher Qualitätsstandard, GesKR 2016, S. 425-448.
Gola/Heckmann, Datenschutzgrundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022 (zit. Gola/Heckmann DS-GVO/BDSG-Bearbeiter:in).
Hartmann Damian, Text and Data Mining and Copyright in Switzerland and the European Union, sic! 2023, S. 157-167.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 119 (2023), S. 311-319.
Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, 2023 (zit. OFK DSG- Bearbeiter:in).
Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter vom 17.6.2019.
Rosenthal David, Löschen und doch nicht löschen, digma 2019, S. 190-197.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rossnagel Alexander, Pseudonymisierung personenbezogener Daten, ZD 2018, 243 ff.; Stämpflis Handkommentar zum Datenschutzgesetz, 2. Auflage (zit. SHK DSG- Bearbeiter:in).
Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019 (zit. Specht/Mantz DSGVO/BDSG-Bearbeiter:in).
Matériaux
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff. (zit. Botschaft DSG 1988).
Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8.11.2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19.2.2003 BBl 2002 2101 ff. (zit. Botschaft DSG 2003).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.12.2017, BBl 2017 6941 ff. (zit. Botschaft DSG 2017).