C1: Sources légales

Question 1

Projet de la LPD (1988): Quels principes le CF a adopté en détriment d’autres?

Answer 1

• 1 seule loi pour régler public + privé (malgré fortes oppositions lors consultation)
• Pas de distinction traitement manuel/automatisé (ainsi, neutralité technologique)

Question 2

Quand est-ce que l’Affaire des fiches s’est produit?

Answer 2

1989

Question 3

Quelles sont les bases légales de la protection des données aujourd’hui?

Answer 3

• Cst. 13 II (autodétermination informationnelle = droit de décider si mes données peuvent être traitées ou non);
• -> restriction: Cst. 36
• Cst./VD 15 (similaire à Cst. 13 II)
• CEDH 8
• -> al. 1 = très semblable à Cst. 13
• -> al. 2 = modalités de restrictions = similaire Cst. 36
• Convention 108 du Conseil d’Europe
• -> + protocole additionnel
• -> non self-executing
• -> modernisation en cours et signé par CF 30.10.20
• LPD
• -> nLPD achevé en septembre 2020; entrée en vigueur ca. 2022
• LPrD-VD
• -> applicable à l’administration cantonale
• -> normalement 1/canton, sauf JU+NE ont convention intercantonale
• -> toujours proches de la LPD
• Loi sur l’application des données Schengen (LPDS)
• -> très limité dans l’application: 1) traitement par organes fédéraux; 2) à des fins de prévention, d’élucidation et de poursuites d’infractions ou d’exécution de sanctions pénales / y c. protection sécurité publique

Question 4

Quelles sont les principales nouveautés de la LPDS?

Answer 4

• Principes de la protection des données dès la conception et par défaut (art. 5)
• Décision individuelle automatisée (art. 11)
• Registre des activités de traitement (art. 12)
• Analyse d’impact et consultation préalable (art. 13 s)
• Annonce des violations de sécurité (art. 15)
• Surveillance étendue du préposé (art. 21 ss)

Question 5

Quelle est le règlement de l’UE et s’applique-t-il aussi en CH?

Answer 5

RGPD / DSGVO
–> s’applique en CH et en tout Etat tiers également lorsque le responsable de traitement/le sous-responsable traite des données d’un ressortissant UE

= APPLICATION EXTRATERRITORIALE

Question 6

Est-ce que la LPD s’applique hors la Suisse?

Answer 6

En principe non; seuls les maîtres du fichier qui traitent des données en CH sont visés.

MAIS:

• Contient toutefois des règles pour la transmission transfrontière de données (LPD 6); et
• la personne concernée peut se trouver à l’étranger

Question 7

Dans la LPD et le RGDP resp., le cercle des responsables du traitement et les personnes concernées visé, sont-ils égaux?

Answer 7

Maître du fichier: personne physique ou morale dans les deux

Personne concernée:

• -> RGPD: slmnt personnes physiques (Consid. 14)
• -> LPD: aussi personnes morales

Question 8

Où se trouve le champ d’application matériel du RGPD? Y a-t-il des exceptions?

Answer 8

Champ d’application matériel: RGPD 2 I

Exceptions: al. 2 :
–> let. c: traitement par une personne physique strictement personnelle ou domestique (p. ex. correspondance personnelle; carnet d’adresses)

–> let. d: traitement effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales

–> let. b: données traitées par les États membres de l’EEE dans le cadre de la politique étrangère et la politique de sécurité commune

–> let. a: dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’UE

Question 9

Quel est le champ d’application territorial a. s. d. RGPD 3 I?

Answer 9

1. Etablissement du (sous-)responsable sur le territoire EEE
2. Traitement dans le cadre des activités d’un établissement
3. “que le traitement ait lieu ou non dans l’Union”

Question 10

Quelle est la définition de l’établissement et où l’ai-je notée?

Answer 10

= l’exercice effectif et réel d’une activité au moyen d’un dispositif stable

= moyens humains (1 perso suffit) et techniques nécessaires à la fourniture de services particuliers soient disponibles en permanence

—> JURISPRUDENCE (CJUE: Google Spain; TF: Google Street View): CRITERE TRES LACHE:
Google Spain fait que les pubs pour Google Search/Google Search fait le traitement aux E-U –> Google Spain quand-même considéré comme établissement de Google Search a. s. d. RGDP 3 I

–> TF: arrêt similaire concernant Google Street View (USA) et Google Inc. et Google Suisse Sàrl

NOTE A RGPD 3 I

Question 11

Quand est-ce qu’il s’applique le RGPD de manière extraterritoriale?

Answer 11

RGPD 3 II:

let. a (principe du lieu du marché): l’offre de biens ou de services aux personnes concernées dans l’Union [résidants EEE doivent aussi être visés par le resp; vente isolée ne compte pas], qu’un paiement soit exigé ou non desdites personnes; ou
let. b: suivi du comportement en ligne des résidents EEE, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Question 12

Quelle nationalité est requise pour être protégé par le RGPD?

Answer 12

Egal; une personne d’un Etat tiers peut “se trouver” même juste pour un temps limité sur le territoire EEE et sera protégé pendant tout son séjour (et pourrait saisir les autorités de contrôle en cas de violence).

Vice versa, un ressortissant EEE ne peut pas invoquer le RGPD s’il se trouve hors l’EEE (p. ex. en CH)

Question 13

Quels sont les problèmes liés au champ d’application a. s. d. RGPD 3 II?

Answer 13

1) Problèmes de délimitation des notions et ainsi du champ d’application
2) Des Etats tiers ne reconnaissent pas forcément les mêmes standards, en particulier ceux dans lesquels les responsables de traitement se trouvent.
3) Les responsables de traitement ressortissant d’un Etat tiers n’ont pas forcément connaissance du RGPD et se voient confrontés à des règles exotiques de leur point de vue

Question 14

Comment se définissent 1) les biens et 2) les services?

Answer 14

Les deux sont des notions larges:

1 = « tout objet mobilier corporel, sauf les objets vendus sur saisie ou de quelque autre manière par autorité de justice »
= comprend de l’eau et du gaz lorsque ceux-ci peuvent être fournis en quantité déterminées

2 = « toute activité économique non salariée, exercée normalement contre rémunération »

Question 15

Quelle autre condition doit être remplie pour l’application extraterritoriale du RGPD a. s. d. art. 3 II let. a qui ne se trouve pas explicitement dans le texte légal?

Answer 15

Le responsable doit viser les résidents EEE –> se détermine selon les circonstances individuelles

CAVE: fréquence n’importe pas ! Aussi occasionnellement possible.

–> p. ex. donné où site web turque offre des albums photos personnalisés en 4 langues parlées au sein de l’EEE, indique la livraison en F, BENELUX et Allemagne, et accepte € comme monnaie

–> p. ex. ne pas donné lors lancement de candidature pour programme de Master de l’UZH, s’adressant aux étudiants avec niveau linguistique suffisant et ayant un diplôme de Bachelor; monnaie CHF.

Question 16

Que veut dire “suivi du comportement” (RGDP 3 II let. b)?

Answer 16

En gros un profilage (consid. 24; profilage définit à RGPD 4 IV), mais qui est TOUJOURS en ligne:

“si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une
personne physique, afin notamment de prendre des décisions la concernant ou
d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit”

–> ainsi, Google Earth ne devrait pas tomber sous RGPD 3 II let. b

Question 17

Quelle est la différence principale quant aux conditions nécessaires entre RGPD 3 II let. a et b?

Answer 17

Let. b: le responsable ou sous-responsable ne doit pas viser le marché EEE

–> ainsi est soumis au RGPD le service CH qui fait du profilages, bien que pour un service uniquement offert en CH pour des clients CH, si un des clients se rend même brièvement à l’étranger EEE (!)

Question 18

Quelles sont les mauvaises croyances concernant l’application extraterritoriale du RGPD les plus fréquentes?

Answer 18

• l’application systématique aux résidents européens (sans être dans un cas de l’art. 3 (2) RGPD),
• l’application aux travailleurs frontaliers et aux citoyens européens (le RGPD s’applique en revanche aux données de travailleurs frontaliers employés par un établissement dans l’EEE en application de l’art. 3 (1) RGPD, mêmes s’ils résident en Suisse), et
• la non-application aux administrations publiques suisses.

Question 19

Si un responsable du traitement CH recourt à un sous-traitant en EEE, sont-ils soumis au RGPD?

Answer 19

Responsable: Non en principe (l’exception de l’établissement en EEE a que 2 exceptions a. s. d. RGPD 3 II)

Sous-responsable: Lui oui en revanche

Question 20

Quels sont les quatre cas de sous-traitants établis hors de l’EEE et dans quels cas le RGPD est applicable?

Answer 20

1) Premièrement, le sous-traitant établi hors de l’EEE qui a l’intention d’offrir des biens ou des services à des résidents de l’EEE sera soumis directement au RGPD (art. 3 II)
2) Deuxièmement, le sous-traitant établi hors de l’EEE d’un responsable du traitement établi dans l’EEE n’est pas soumis au RGPD (mais art. 28 applicable)
3) Troisièmement, il y a le cas où le sous-traitant et le responsable du traitement sont tous les deux établis hors EEE et aucun ne vise le marché de l’EEE ou ne fait du suivi de comportement. Le RGPD ne s’applique donc pas.
4) Quatrièmement, il y a le cas particulier où le sous-traitant et le responsable du traitement sont tous les deux établis hors de l’EEE, mais le responsable du traite- ment est soumis au RGPD de manière extraterritoriale, (en vertu de RGPD 3 II)

Question 21

Est-ce que le RGPD peut s’appliquer à l’administration publique en CH?

Answer 21

Oui: Le RGPD peut s’appliquer aux administrations communales, cantonales et fédérales, d’autant plus s’ils disposent d’un établissement en EEE, lorsqu’elles traitent des données personnelles en lien avec l’offre de biens ou de services à des résidents européens, ou dans le cas d’un suivi du comportement en ligne ou encore comme sous-traitant d’un responsable du traitement hors de l’EEE soumis au RGPD

MAIS: certaines activités sont exclues du champ d’application, n. b. le traitement à des fins pénales

Question 22

Lorsque le RGPD s’applique de manière extraterritoriale, s’applique-t-il à tous les traitements?

Answer 22

Non, uniquement ceux en lien avec les cas prévu à RGPD 3 II

Question 23

Quelle est l’obligation du responsable lorsque le RGPD s’applique de manière extraterritoriale?

Answer 23

Il lui faut un représentant dans un Etat membre où se trouvent les personnes concernées du traitement lié à l’offre de biens et services ou au suivi en ligne.
–> en principe, un établissement dans un Etat membre devrait suffire

MAIS: Cette obligation ne s’applique pas aux autorités et organismes publics, ni aux responsables du traitement privés qui ne traitent qu’occasionnellement des données personnelles et pour autant qu’il ne s’agisse pas de données sensibles ou représentant un risque important

Question 24

Dès qu’un responsable du traitement traite des données dans plusieurs Etats membre, quelle autorité de contrôle est compétente?

Answer 24

En soi, chaque autorité nationale est compétente pour le traitement sur son territoire.

En cas de traitement transfrontière, l’autorité de contrôle chef de file coordonne les autorités nationales (RGPD 56).

La CNIL a examiné sa compétence pour Google (siégé en Irlande) et a conclu qu’elle est compétente pour rendre une amende. Ainsi, toutes les autorités nationales sont principalement en mesure de contrôler des telles organisations.