Download - Les données personnelles en droit suisse
![Page 1: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/1.jpg)
Les données personnelles en droit
suisseFlorian Ducommun
(@florianducommun)Avocat, LL.M
HDC Law Firm | Etude d’avocats
(@hdclegal)
![Page 2: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/2.jpg)
Plan1. Données personnelles
2. Traitement
3. Justificatif et consentement
4. Problématiques choisies– transfert de données à l'étranger– droit d'accès– règlement européen
Arnaud Durand, http://mathix.org/linux/archives/938
![Page 3: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/3.jpg)
<1> Données
personnelles
Tableatny / Banksy, https://www.flickr.com/photos/53370644@N06/4975944171
![Page 4: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/4.jpg)
• Art. 13 al. 2 Cst Féd.:
Droit à l’autodétermination en matière informationnelle
• Découle du droit au respect de sa sphère privée (art. 13 al. 1er Cst féd)
Heloise De Smet, http://purenrgy.com
![Page 5: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/5.jpg)
Données personnelles• Sont des données personnelles, toutes les
informations qui se rapportent à une personne identifiée ou identifiable (art. 3 LPD).
• En droit suisse, une personne peut être une personne physique («être humain») ou une personne morale («entreprise»).
• En droit européen: une donnée à caractère personnel est une «information concernant une personne physique identifiée ou identifiable» (art. 2 let. a Dir. 95/46)
![Page 6: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/6.jpg)
La données est personnelle …
… lorsqu’elle fait référence à une personne, physique ou morale.La référence peut être :
-directe : le contenu même de l’information se rapporte à une personne (résultat d’une analyse médicale, élément d’identification biométrique, état d’un compte bancaire);
-Indirecte: lorsque l’information se rapporte comme telle à une chose, à un événement, à un processus ou à un endroit et est susceptible d’être utilisée en lien avec une personne identifiée ou identifiable.
![Page 7: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/7.jpg)
La personne doit être identifiable...
Une personne est identifiable lorsque, par corrélation indirecte d’informations tirées des circonstances ou du contexte, il est possible d’identifier une personne avec les moyens technologiques disponibles.
![Page 8: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/8.jpg)
Exemples de données personnelles
(statique ou dynamique)
![Page 9: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/9.jpg)
La forme des données est indifférente:
-Caractère alphabétique-Son-Image photographique ou audiovisuelle-Chiffre-Signe (analogique, digital, numérique ou alphanumérique)-Dessin-Odeur-Caractéristiques biométriques ou biologiques
![Page 10: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/10.jpg)
Le type de support est indifférent:
-Papier-Film-Support optique, audio ou numérique
Peu importe que l’information soit immédiatement perceptible ou nécessite au contraire la mise en œuvre d’un outillage technique.
![Page 11: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/11.jpg)
Google Street View• Peuvent constituer des données personnelles
des photos montrant:– une personne dont le visage est flouté mais
qui est identifiable par d'autres « caractéristiques » ou en raison des « circonstances » (lieu, situation concrète, habits, attitude de la personne)
– une maison– un jardin– une cour– une plaque d'immatriculation
(ATF 138 II 346, 354 c. 6.2 & ATF 138 II 346, 356 c. 6.5)
![Page 12: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/12.jpg)
- Données intégralement anonymisées : échappent à la LPD (Big Data)
-Données anonymisées de facto: possibilité de ré-identification théorique au vu des efforts à déployer: échappent à la LPD
-Données pseudonymisées (ou cryptées): ré-identification possible par celui qui détient la clef de cryptage : données soumises à la LPD Ré-identification par un tiers moyennant des efforts disproportionnés : = données anonymisées de facto
![Page 13: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/13.jpg)
Données sensibles et profils de personnalité
Certaines données exigent une protection renforcée.
• Les données sensibles: – les opinions ou activités religieuses, philosophiques,
politiques ou syndicales,– la santé, la sphère intime, l'appartenance à une race,– des mesures d'aide sociale,– des poursuites ou sanctions pénales et
administratives.
• Est un profil de la personnalité:– un assemblage de données qui permet d’apprécier les
caractéristiques essentielles de la personnalité d'une personne physique.
![Page 14: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/14.jpg)
<2> Traitement
![Page 15: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/15.jpg)
Par traitement, on entend toute opération relative à des données personnelles, indépendamment des moyens et procédés utilisés, notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 lit. e LPD).
![Page 16: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/16.jpg)
Aff. Google Search
• Droit de l'UE: un moteur de recherche « traite » bien des données au sens de la Directive 95/46/CE
(CJUE - C-131/12 para. 28 & 41)
![Page 17: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/17.jpg)
Maître du fichier• Le maître du fichier (responsable
du traitement ou «data controller») est la personne (physique ou morale, ou l’organe cantonal ou fédéral) qui décide du but et du contenu du fichier.
• Le sous-traitant (data processor) est celui qui traite des données pour le compte et selon les instructions du maître du fichier.
![Page 18: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/18.jpg)
Proportionnalité• Le traitement de données doit être
effectué conformément au principe de proportionnalité.
• Cela signifie que le traitement de données doit être nécessaire pour le but indiqué et raisonnable en lien avec l’atteinte à la personnalité.
![Page 19: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/19.jpg)
Transparence• La collecte de données
personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.
• Le maître du fichier a l'obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant (14 LPD).
![Page 20: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/20.jpg)
Exactitude
• Celui qui traite des données personnelles doit s'assurer qu'elles sont correctes.
![Page 21: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/21.jpg)
Finalité• Les données personnelles ne doivent
être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
![Page 22: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/22.jpg)
Sécurité• Les données personnelles doivent être
protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées, notamment contre la destruction accidentelle ou non autorisée, la perte accidentelle, les erreurs techniques, les falsifications, le vol ou l’utilisation illicite, ainsi que la modification, la copie, l’accès ou tout autre traitement non autorisé (8ss OLPD).
• Guide pratique:http://www.edoeb.admin.ch/datenschutz/00628/00629/00636/index.html?lang=fr
![Page 23: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/23.jpg)
<3> Justifications de l’atteinte
![Page 24: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/24.jpg)
Justifications de l’atteinte(13 LPD)
• Une atteinte à la personnalité est illicite à moins d'être justifiée :
–par le consentement de la victime,–par un intérêt prépondérant privé ou public, ou –par la loi.
![Page 25: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/25.jpg)
ConsentementPour être valable, le consentement:
‒ Doit être donné librement et après avoir reçu une information adéquate (art. 4 al. 5 LPD)
‒ Lorsqu'il s'agit de données sensibles et de profils de personnalité, le consentement doit être au surplus explicite (art. 4 al. 5 LPD)
![Page 26: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/26.jpg)
PostFinance
Le consentement n'est pas libre lorsqu'un client accepte que ses données bancaires soient utilisées à des fins de publicité sous peine de ne plus pouvoir utiliser l'interface d'e-banking
(PFPDT, Schlussbericht vom 1. Juni 2015, p. 32, n. 6.7 )
![Page 27: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/27.jpg)
<4> Problématiques choisies
![Page 28: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/28.jpg)
Communication de données à l’étranger
• Communication des données personnelles à l’étranger signifie les rendre accessibles hors de la Suisse (3 et 6 LPD).
• Communication = le fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant.
• Des données personnelles peuvent notamment être transmises à l’étranger dans les cas suivants (art. 6 LPD): ‒ Pays sûrs (la législation assure un niveau de protection
adéquat);‒ Des garanties suffisantes, notamment contractuelles,
assurent un niveau de protection adéquat,‒ Consentement dans le cas d’espèce,‒ Le traitement est en relation directe avec la
conclusion/l’exécution d'un contrat (les données traitées concernent le cocontractant).
![Page 29: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/29.jpg)
Safe Harbour
•Problème: niveau de protection des données insuffisant aux USA•Solution: calquée sur celle USA-UE : l'entreprise américaine adhère volontairement au programme Safe Harbour USA-Suisse dans lequel elle s'engage à respecter les principes fondamentaux du droit suisse de la protection des données
-> communication de données personnelles collectées en Suisse possible vers des entreprises US ayant adhéré au programme Safe Harbour (Google, Amazon, Facebook, Apple, etc.) 29
![Page 30: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/30.jpg)
![Page 31: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/31.jpg)
Safe Harbour • Le 6 octobre 2015, la Cour de Justice UE invalide la
décision de la Commission à la base du Safe Harbour USA-UE
• Raison principale : PRISM -> « la Commission n'a pas fait état [...] de ce que les États-Unis d'Amérique « assurent » effectivement un niveau de protection adéquat » (CJUE C-362/14 para. 97)
• En Suisse : le préposé fédéral à la protection des données considère que le Safe Harbour USA-Suisse « ne constitue plus une base légale suffisante »
31
![Page 32: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/32.jpg)
Droit d’accès (art. 8 LPD)• Toute personne peut demander au maître du
fichier si des données la concernant sont traitées. Il doit lui communiquer:– dans les 30 jours et en principe gratuitement,– en principe par écrit,– toutes les données la concernant qui sont
contenues dans le fichier, y compris les informations disponibles sur l'origine des données, le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données.
• Personne ne peut renoncer à l’avance à son droit d’accès.
32
![Page 33: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/33.jpg)
Google Search
Droit de l'UE:• un « droit au déréférencement »
découle, notamment, du droit d'accès tel que formulé à l'art. 12 let. b de la Directive 95/46/CE
• Ce droit est également appelé par certains « droit à l'oubli »
(CJUE - C-131/12 para. 88) 33
![Page 34: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/34.jpg)
Projet de règlement général de prot. des données (UE)
• Principe de minimisation des données - art. 5 let. c• Droit à l'oubli numérique et à l'effacement - art. 17• Droit à la portabilité des données - art. 18• Privacy by design & by default - art. 23• Obligation du responsable de traitement d'informer la
personne en cas de violation de ses données personnelles - art. 32
• Amendes jusqu'à 2% du chiffre d'affaires annuel mondial de l'entreprise violant le Règlement - art. 79
34
![Page 35: Les données personnelles en droit suisse](https://reader035.vdocuments.pub/reader035/viewer/2022062522/588b10ad1a28abdf3b8b6da7/html5/thumbnails/35.jpg)
Florian DucommunLL.MAvocat au Barreau
Avenue Auguste Tissot 2bisCP 851CH - 1001 Lausanne
T 021 310 73 10F 021 310 73 11
[email protected]@florianducommun@hdclegal
Merci beaucoup pour votre attention