LE BLOG SUR LA PROTECTION DES DONNÉES

La nouvelle loi suisse sur la protection des données

Selon la loi fédérale sur la protection des données en vigueur avant le 1er septembre 2023 (LPD), les responsables de base de données n’étaient tenus d’informer les personnes concernées que lors de la collecte de données personnelles sensibles et de la création de profils de la personnalité. La nouvelle loi sur la protection des données, entrée en vigueur le 1er septembre 2023 (nLPD), impose aux responsables des obligations d’information plus étendues. À l’avenir, les personnes concernées devront être informées de la collecte de données personnelles, qu’il s’agisse de données sensibles ou non.

Portée des obligations d’information selon la nLPD :

Informations obligatoires :

Selon l’article 19, paragraphe 1 de la nLPD, le responsable doit informer de manière appropriée les personnes concernées de la collecte de données personnelles ; ce devoir d’information s’applique également lorsque les données personnelles ne sont pas collectées directement auprès de la personne concernée. Les informations obligatoires comprennent, selon l’article 19, paragraphes 2 et suivants de la nLPD, au minimum :

  • L’identité et les coordonnées du responsable
  • Les finalités du traitement
  • Les destinataires ou les catégories de destinataires auxquels les données personnelles ont été communiquées
  • Les catégories de données personnelles traitées, si celles-ci n’ont pas été collectées directement auprès de la personne concernée
  • Si des données personnelles sont communiquées à l’étranger, doivent être communiqués : les États ou organisations internationales destinataires ainsi que, le cas échéant, les garanties de protection des données personnelles selon l’article 16 ou les exceptions selon l’article 17 de la nLPD.

En complément, les responsables doivent informer, conformément à l’article 21 de la nLPD, si une décision repose exclusivement sur un traitement automatisé et a des conséquences juridiques pour la personne concernée ou si elle l’affecte de manière significative.

Informations facultatives

Les politiques de confidentialité doivent contenir toutes les informations nécessaires pour permettre à la personne concernée d’exercer ses droits conformément à la nLPD. Pour répondre à cet objectif, les informations sur les personnes concernées pourraient être inclure les données optionnelles suivantes :

  • Informations sur les droits des personnes concernées en vertu de la nLPD
  • Les coordonnées du service du responsable auprès duquel la personne concernée peut exercer ses droits (par exemple, demandes d’accès, demandes de rectification ou de suppression de données personnelles).
  • Les coordonnées de l’organisme auprès duquel la personne concernée peut demander un réexamen manuel d’une décision individuelle automatisée
  • Si un traitement de données est fondé sur le consentement de la personne concernée, toutes les informations dont cette dernière a besoin pour prendre une décision en connaissance de cause à ce sujet
  • Des informations sur la manière dont la personne concernée peut révoquer un consentement précédemment donné ou s’opposer à la réception de publicité de masse dans le cadre d’une relation client existante

Indication des données individuelles ou de catégories

L’art. 6, al. 1 et 2 de la nLPD formule le principe de transparence pour la protection des données. Selon l’article 13 de l’ordonnance sur la protection des données du 31 août 2022 (OPDo), cette information doit être facilement accessible et compréhensible. Dans l’arrêt C-154/21 relatif à l’information sur les destinataires ou les catégories de destinataires en cas de demande d’accès, la Cour de justice de Communauté européenne (CJUE) a établi que l’article 15, paragraphe 1, point c), du RGPD doit être interprété en ce sens que, en cas de demande d’accès, « l’identité des destinataires doit être communiquée à la personne concernée, à moins qu’il ne soit pas possible d’identifier les destinataires [. …], auquel cas le responsable du traitement peut uniquement communiquer à la personne concernée les catégories de destinataires en question. » En outre, la CJUE a indiqué que tout traitement de données personnelles devait être conforme aux principes établis. Les décisions de la CJUE ne sont pas applicables en Suisse. Néanmoins, par le passé, les tribunaux fédéraux suisses ont puisé leur inspiration de l’interprétation de la CJUE sur les questions de protection des données (voir par exemple l’arrêt du Tribunal fédéral 136 II 508 – 08.09.2010 sur les adresses IP en tant que données personnelles). Ainsi, dans l’intérêt d’une information transparente sur la protection des données selon la nLPD, il peut être judicieux pour les responsables suisses, par analogie avec l’arrêt de la CJUE susmentionné, de ne pas se limiter à la désignation de catégories de destinataires, mais de nommer les destinataires en détail.

Modalités du devoir d’information :

Conformément à l’article 19 de la nLPD, l’information doit être fournie lors de la collecte de données personnelles, c’est-à-dire au début du traitement de données. Une information unique suffit : Selon l’art. 20, al. 1, let. a, nLPD, il n’est pas nécessaire d’informer à nouveau la personne concernée si elle dispose déjà des informations. L’art. 13 OPDo indique que le responsable doit communiquer l’information à la personne concernée « de manière concise, transparente, compréhensible et facilement accessible ».

Exceptions à l’obligation d’information :

Dans certains cas, l’obligation d’informer ne s’applique pas. Par exemple, selon l’article 20 de la nLPD, lorsque le traitement des données est prévu par la loi, que le responsable est légalement tenu à la confidentialité ou qu’il peut faire valoir le privilège des médias selon l’article 27 de la nLPD et que les données personnelles sont traitées exclusivement en vue de leur publication dans la partie rédactionnelle d’un média à parution périodique ou qu’elles servent dans ce contexte exclusivement d’instrument de travail personnel.

Il n’y a pas non plus d’obligation d’informer lorsque des données personnelles ont été collectées par l’intermédiaire de tiers et que l’information des personnes concernées est impossible ou nécessiterait des efforts disproportionnés.

Il est en outre possible de renoncer à la communication de l’information si celle-ci risque de faire échouer les finalités du traitement des données ou si des intérêts prépondérants du responsable ou d’un tiers s’opposent à la communication.

Obligation d’information et demandes de renseignements selon l’art. 25 nLPD

Les informations sur les personnes concernées selon l’art. 19 nLPD doivent être fournies de manière proactive lors de chaque collecte de données personnelles. Les demandes de renseignements selon l’art. 25 nLPD ne sont fournies que sur demande de la personne concernée, mais ont une portée plus large que les informations sur les personnes concernées. En plus des informations prévues à l’art. 19 nLPD, il convient donc de fournir, entre autres, les informations supplémentaires suivantes en réponse à une demande de renseignements :

  • La durée de conservation des données personnelles ou, si cela n’est pas possible, les critères permettant de déterminer cette durée
  • Les informations disponibles sur l’origine des données personnelles, si elles n’ont pas été obtenues auprès de la personne concernée
  • Le cas échéant, l’existence d’une décision individuelle automatisée et la logique sur laquelle elle repose

Retour