Les données personnelles en droit

suisseFlorian Ducommun

(@florianducommun)Avocat, LL.M

HDC Law Firm | Etude d’avocats

(@hdclegal)

Plan1. Données personnelles

2. Traitement

3. Justificatif et consentement

4. Problématiques choisies– transfert de données à l'étranger– droit d'accès– règlement européen

Arnaud Durand, http://mathix.org/linux/archives/938

<1> Données

personnelles

Tableatny / Banksy, https://www.flickr.com/photos/53370644@N06/4975944171

• Art. 13 al. 2 Cst Féd.:

Droit à l’autodétermination en matière informationnelle

• Découle du droit au respect de sa sphère privée (art. 13 al. 1er Cst féd)

Heloise De Smet, http://purenrgy.com

Données personnelles• Sont des données personnelles, toutes les

informations qui se rapportent à une personne identifiée ou identifiable (art. 3 LPD).

• En droit suisse, une personne peut être une personne physique («être humain») ou une personne morale («entreprise»).

• En droit européen: une donnée à caractère personnel est une «information concernant une personne physique identifiée ou identifiable» (art. 2 let. a Dir. 95/46)

La données est personnelle …

… lorsqu’elle fait référence à une personne, physique ou morale.La référence peut être :

-directe : le contenu même de l’information se rapporte à une personne (résultat d’une analyse médicale, élément d’identification biométrique, état d’un compte bancaire);

-Indirecte: lorsque l’information se rapporte comme telle à une chose, à un événement, à un processus ou à un endroit et est susceptible d’être utilisée en lien avec une personne identifiée ou identifiable.

La personne doit être identifiable...

Une personne est identifiable lorsque, par corrélation indirecte d’informations tirées des circonstances ou du contexte, il est possible d’identifier une personne avec les moyens technologiques disponibles.

Exemples de données personnelles

(statique ou dynamique)

La forme des données est indifférente:

-Caractère alphabétique-Son-Image photographique ou audiovisuelle-Chiffre-Signe (analogique, digital, numérique ou alphanumérique)-Dessin-Odeur-Caractéristiques biométriques ou biologiques

Le type de support est indifférent:

-Papier-Film-Support optique, audio ou numérique

Peu importe que l’information soit immédiatement perceptible ou nécessite au contraire la mise en œuvre d’un outillage technique.

Google Street View• Peuvent constituer des données personnelles

des photos montrant:– une personne dont le visage est flouté mais

qui est identifiable par d'autres « caractéristiques » ou en raison des « circonstances » (lieu, situation concrète, habits, attitude de la personne)

– une maison– un jardin– une cour– une plaque d'immatriculation

(ATF 138 II 346, 354 c. 6.2 & ATF 138 II 346, 356 c. 6.5)

- Données intégralement anonymisées : échappent à la LPD (Big Data)

-Données anonymisées de facto: possibilité de ré-identification théorique au vu des efforts à déployer: échappent à la LPD

-Données pseudonymisées (ou cryptées): ré-identification possible par celui qui détient la clef de cryptage : données soumises à la LPD Ré-identification par un tiers moyennant des efforts disproportionnés : = données anonymisées de facto

Données sensibles et profils de personnalité

Certaines données exigent une protection renforcée.

• Les données sensibles: – les opinions ou activités religieuses, philosophiques,

politiques ou syndicales,– la santé, la sphère intime, l'appartenance à une race,– des mesures d'aide sociale,– des poursuites ou sanctions pénales et

administratives.

• Est un profil de la personnalité:– un assemblage de données qui permet d’apprécier les

caractéristiques essentielles de la personnalité d'une personne physique.

<2> Traitement

Par traitement, on entend toute opération relative à des données personnelles, indépendamment des moyens et procédés utilisés, notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 lit. e LPD).

Aff. Google Search

• Droit de l'UE: un moteur de recherche « traite » bien des données au sens de la Directive 95/46/CE

(CJUE - C-131/12 para. 28 & 41)

Maître du fichier• Le maître du fichier (responsable

du traitement ou «data controller») est la personne (physique ou morale, ou l’organe cantonal ou fédéral) qui décide du but et du contenu du fichier.

• Le sous-traitant (data processor) est celui qui traite des données pour le compte et selon les instructions du maître du fichier.

Proportionnalité• Le traitement de données doit être

effectué conformément au principe de proportionnalité.

• Cela signifie que le traitement de données doit être nécessaire pour le but indiqué et raisonnable en lien avec l’atteinte à la personnalité.

Transparence• La collecte de données

personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.

• Le maître du fichier a l'obligation d’informer la personne concernée de toute collecte de données sensibles ou de profils de la personnalité la concernant (14 LPD).

Exactitude

• Celui qui traite des données personnelles doit s'assurer qu'elles sont correctes.

Finalité• Les données personnelles ne doivent

être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.

Sécurité• Les données personnelles doivent être

protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées, notamment contre la destruction accidentelle ou non autorisée, la perte accidentelle, les erreurs techniques, les falsifications, le vol ou l’utilisation illicite, ainsi que la modification, la copie, l’accès ou tout autre traitement non autorisé (8ss OLPD).

• Guide pratique:http://www.edoeb.admin.ch/datenschutz/00628/00629/00636/index.html?lang=fr

<3> Justifications de l’atteinte

Justifications de l’atteinte(13 LPD)

• Une atteinte à la personnalité est illicite à moins d'être justifiée :

–par le consentement de la victime,–par un intérêt prépondérant privé ou public, ou –par la loi.

ConsentementPour être valable, le consentement:

‒ Doit être donné librement et après avoir reçu une information adéquate (art. 4 al. 5 LPD)

‒ Lorsqu'il s'agit de données sensibles et de profils de personnalité, le consentement doit être au surplus explicite (art. 4 al. 5 LPD)

PostFinance

Le consentement n'est pas libre lorsqu'un client accepte que ses données bancaires soient utilisées à des fins de publicité sous peine de ne plus pouvoir utiliser l'interface d'e-banking

(PFPDT, Schlussbericht vom 1. Juni 2015, p. 32, n. 6.7 )

<4> Problématiques choisies

Communication de données à l’étranger

• Communication des données personnelles à l’étranger signifie les rendre accessibles hors de la Suisse (3 et 6 LPD).

• Communication = le fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant.

• Des données personnelles peuvent notamment être transmises à l’étranger dans les cas suivants (art. 6 LPD): ‒ Pays sûrs (la législation assure un niveau de protection

adéquat);‒ Des garanties suffisantes, notamment contractuelles,

assurent un niveau de protection adéquat,‒ Consentement dans le cas d’espèce,‒ Le traitement est en relation directe avec la

conclusion/l’exécution d'un contrat (les données traitées concernent le cocontractant).

 Safe Harbour 

•Problème: niveau de protection des données insuffisant aux USA•Solution: calquée sur celle USA-UE : l'entreprise américaine adhère volontairement au programme Safe Harbour USA-Suisse dans lequel elle s'engage à respecter les principes fondamentaux du droit suisse de la protection des données

-> communication de données personnelles collectées en Suisse possible vers des entreprises US ayant adhéré au programme Safe Harbour (Google, Amazon, Facebook, Apple, etc.) 29

 Safe Harbour • Le 6 octobre 2015, la Cour de Justice UE invalide la

décision de la Commission à la base du Safe Harbour USA-UE

• Raison principale : PRISM -> « la Commission n'a pas fait état [...] de ce que les États-Unis d'Amérique « assurent » effectivement un niveau de protection adéquat » (CJUE C-362/14 para. 97)

• En Suisse : le préposé fédéral à la protection des données considère que le Safe Harbour USA-Suisse « ne constitue plus une base légale suffisante »

31

Droit d’accès (art. 8 LPD)• Toute personne peut demander au maître du

fichier si des données la concernant sont traitées. Il doit lui communiquer:– dans les 30 jours et en principe gratuitement,– en principe par écrit,– toutes les données la concernant qui sont

contenues dans le fichier, y compris les informations disponibles sur l'origine des données, le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données.

• Personne ne peut renoncer à l’avance à son droit d’accès.

32

Google Search

Droit de l'UE:• un « droit au déréférencement »

découle, notamment, du droit d'accès tel que formulé à l'art. 12 let. b de la Directive 95/46/CE

• Ce droit est également appelé par certains « droit à l'oubli »

(CJUE - C-131/12 para. 88) 33

Projet de règlement général de prot. des données (UE)

• Principe de minimisation des données - art. 5 let. c• Droit à l'oubli numérique et à l'effacement - art. 17• Droit à la portabilité des données - art. 18• Privacy by design & by default - art. 23• Obligation du responsable de traitement d'informer la

personne en cas de violation de ses données personnelles - art. 32

• Amendes jusqu'à 2% du chiffre d'affaires annuel mondial de l'entreprise violant le Règlement - art. 79

34

Florian DucommunLL.MAvocat au Barreau

Avenue Auguste Tissot 2bisCP 851CH - 1001 Lausanne

T 021 310 73 10F 021 310 73 11

ducommun@hdclegal.chwww.hdclegal.ch@florianducommun@hdclegal

Merci beaucoup pour votre attention