C10: Communication transfrontière (LPD 6) Flashcards
Quelle est l’origine de LPD 6?
Art. 12 Conv. 108
Faut-il informer la personne concernée lorsqu’on transmet des données au travers la frontière?
Non; mais le Préposé dans les cas de LPD 6 II let. a et g
A qui faut-il communiquer a. s. d. LPD 6, tout tiers ou que les véritables?
LPD 6 s’applique à TOUT transfert de données
= aussi au sein de la même entreprise p. ex.
La communication involontaire, tombe-t-elle également sous LPD 6?
Non, que la communication VOLONTAIRE
Est-ce que les sites web sont soumis à la LPD 6?
D’abord, jurisprudence et doctrine y voyait application; mais se sont rendus compte que les exigences n’étaient pas respectées en pratique
- -> LPD 6 ne s’applique pas aux sites web et non plus aux newsletter (OLPD 5)
- -> tel devrait être le cas aussi, si après, le newsletter est imprimé et envoyé sur l’autre côté de la frontière
Application de LPD 6 pour données qui font que transiter un Etat?
Non
Que faut-il pour la présomption d’illicéité et quels en sont les motifs justificatifs lors de la communication transfrontière?
Illicéité si
- Législation étrangère n’assure pas un niveau de protection adéquat; et
- il en résulte une menace grave d’atteinte à la personnalité
Peut être justifié par al. 2
Est-ce que les motifs justificatifs de LPD 13 s’appliquent?
Non; LPD 6 règle la communication transfrontière de manière exhaustive
–> al. 2 déroge comme lex specialis LPD 13
Définition d’une législation offrant un niveau de protection adéquat?
Loi (formelle ou matérielle) étrangère doit
- comprendre principes fondamentaux de la protection des données
- garantir le droit d’accès,
- le droit de rectification
- et le droit de demander la destruction.
- Il faut en outre une autorité de contrôle indépendante.
- Personne doit disposer de moyens pour faire valoir ses droits
–> le droit étranger qui remplit ces critères doit aussi être appliqué en pratique
A qui incombe la vérification du niveau suffisant?
Le responsable du traitement
–> CH ≠ système d’autorisation
Sur quoi le responsable peu se fonder lors de son examen du niveau de protection?
Circonstances particulières, notamment:
- L’adhésion d’un pays à la Conv. 108 = présomption de niveau suffisant
- Renseignements généralement connus du public ou de sa branche professionnelle
- PFPDT tient liste (LPD 31 I let. d; OLPD 7)
Est-ce que la liste du PFPDT a valeur contraignante, c-à-d lie-t-elle le juge civil?
Non; même si c’est toutefois exigé de demander du responsable un examen plus approfondi que celui du PFPDT
Qui doit prouver le motif justificatif lors de la communication transfrontière?
Celui qui exporte les données (OLPD 6 IV)
Que faut-il pour que les garanties contractuelles puissent remplacer la législation étrangère insuffisante par un contrat a. s. de LPD 6 II let. a (contenu) ?
Il faut y avoir:
- Principes fondamentaux
- Moyens juridiques principaux
Quel est le contenu matériel plus précisément?
= Exigences min de Conv. 108:
- principes généraux de la protection des données
- protection en cas de ré-exportation ver un Etat tiers,
- Prétentions individuelles à l’accès,
- à la rectification
- à la radiation et
- droit de s’opposer au traitement
- mesures particulières de protection pour les données sensibles
Contenu formel?
= L’ensemble des éléments pertinents du transfert, n. b.:
- identité de l’exportateur et de l’importateur
- catégories de données personnelles à transférer
- finalités du transfert
- catégories de personnes dont les données sont transférées
- destinatairesdes données
- durée de conservation
- droits des personnes concernées
- droit d’agir en justice découle en principe de la législation étrangère; à défaut, régler dans le contrat
Dans quel mesure le PFPDT aide quant au contrat?
Il met à dispo des contrats-modèles et de clauses standard qui sont soit établis par le PFPDT lui-même, soit reconnus par lui (OLPD 6 III in fine)
Que doit prouver le responsable pour se prévaloir du motif a. s. d. LPD 6 II let. a?
- Garanties suffisante
- Mesures prises pour les faire effectivement respecter auprès du destinataire
Quel devoir d’information est lié à la communication transfrontière qui est légitimé par un contrat entre les parties?
Il faut en informer le Préposé (LPD 6 III)
MAIS uniquement si la communication est RÉGULIÈRE !!!
Conséquence de la violation de ce devoir d’information?
Amende jusqu’à 10’000 (LPD 34 II let. a)
–> se poursuit d’office
(grave pour un simple devoir d’info je trouve !)
= même peine si l’intéressé refus de collaborer (LPD 29)
Le consentement a. s. d. LPD 6 II let. b vise quelle situation?
Extra-contractuelle
–> sinon régi par let. c
Sur quoi doit porter le consentement “en l’espèce”? Est-il valable pour qu’un traitement?
Contenu nécessaire: critères de OLPD 6 II let. a applicables par analogie:
- catégories de destinataires
- finalité (une ou plusieurs, mais pas trop)
- catégories de données similaires
En outre:
- Le consentement peut porter sur plusieurs communications;
- MAIS il faut une certaine proximité temporelle
- -> le consentement générale et anticipé n’est pas possible (indépendamment de CC 27)
- Un Etat ou des Etats déterminés
Est-ce qu’on peut révoquer le consentement?
Oui, mais slmnt tant et aussi longtemps que la communication n’a pas eu lieu
–> si ça entraîne la résiliation du contrat, il faut informer la personne concernée des possibles conséquences
Conditions du consentement?
LPD 4 V (y c. consentement expres (mais pas forcément écrit) lors communication transfrontière de données sensibles ou profilages)
–> l’information nécessaire en fonction de n. b. niveau de protection à l’étranger !
Est-ce que la personne renonce aux principes généraux de la protection des données en consentant?
Non (n. b. pas à la sécurité); elle accepte juste que l’exportation sans garanties légales (LPD 6 I), contractuelles (LPD 6 II let. a) ou corporatives (LPD 6 II let. g)
–> Exportateur doit tjrs respecter ses devoirs généraux (ou spécifiques au contrat) s’agissant du traitement à l’étranger
Quelle est la condition pour pouvoir se prévaloir du motif justificatif de LPD 6 II let. c?
La communication doit être vrmnt nécessaire !
–> la preuve incombe au maître du fichier
Ex. de nécessité a. s. d. LPD 6 II let. c?
- Communication au sein d’une multinationale
- Agence de voyage transmet à l’hôtel ou aux entreprises de transport
- Banque dans le cadre de transaction bancaire
Comment la communication transfrontière en vu de l’exécution d’un contrat de travail est limité (pas juste par LPD 6 II let. c)?
CO 328b: données communiquées peuvent porter que sur
- l’aptitude du travailleur qui est nécessaire (et pas juste utile)
- ou autre chose
–> en gros appréciation plus stricte
Si le contrat rend la communication transfrontière nécessaire (rappel: pas juste utile), peut le concerné quand-même s’y opposer?
Oui –> mais débouchera probablement dans une rupture du contrat
Délimitation LPD 6 II let. b et c?
Difficile (n. b. consentement concluant); dans le doute, il vaut mieux de demander le consentement (puis il faut pas prouver la nécessité)
Si on peut se baser sur un contrat pour la communication transfrontière, est-ce qu’on a quand-même des devoirs d’informations?
Lors profils ou données sensibles: certainement LPD 14 II let. c (destinataires situés à l’étranger où protection pas adéquate)
D’autres devoirs: selon bonne foi et reconnaissabilité
Quand est-ce qu’on parle d’un intérêt public prépondérant a. s. d. LPD 6 II let. d?
= intérêt de la Suisse, n. b. coopération avec d’autres Etats (p. ex. prévention violence hooligan en transmettant des données [à un pays avec protection inférieur!]; actions humanitaires)
MAIS: intérêt abstrait/hypothétique ne suffit pas
Prépondérant = par rapport à l’intérêt de la personne concernée
–> doit être interprété de manière restrictive
Est-ce que la coopération avec un autre Etat avec un niveau inférieur peut justifier la communication transfrontière de manière générale?
Non; juste pour une finalité/évènement déterminé
CAVE: Communication à la fin d’entraide judiciaire ou administrative échappe à la LPD (LPD 2 II let. c) !!
Quel type de “droit en justice” à l’étranger est visé par LPD 6 II let. c?
Tout: civil, pénal, administratif, disciplinaire, arbitral
Est-ce que LPD 6 règle aussi la collecte et la conservation de données à l’étranger?
NON –> LPD 6 englobe que la communication (pas d’autre traitement)
Quand s’applique LPD 6 II let. e (protection de la vie ou de l’intégrité corporelle?
Personne concernée n’est pas en mesure de donner son consentement elle-même + si elle pouvait, (subjectivement + objectivement elle le donnerait compte tenu des circonstances
=consentement présumé
S’applique aussi aux proches du concerné !
Quelle est la différence entre LPD 6 II let. a et let. c?
Let. a: on fait un nouveau contrat/accord (que) pour la communication vers un Etat avec protection légale inférieure qu’on remplace moyennant une auto-règlementation
Let. c: Un contrat entre les deux parties existe déjà ou est en train de se former et pour l’exécuter ou le créer il faut la communication transfrontière
Que comprend la communication intra-entreprise/-groupe a. s. d. LPD 6 II let. g?
Multinationale avec personnes morales différentes;
Mais aussi succursales (sans propre personne morale ou société indépendante)
Que doivent faire les entreprises/groupes qui veulent profiter de LPD 6 II let. g?
Doivent être soumis à des règles de protection de données (auto-règlementation; “Binding Corporate Rules”) qui garantissent un niveau de protection adéquat
Exigences au Binding Corporate Rules?
Min. matériel = standard de Conv. 108 (cf. avant)
Doivent être contraignants
Doivent être communiqué au PFPDT (al. 3)
–> modalités: OLPD 6
Qui vérifiera l’adéquation de la législation étrangère dans la nLPD?
nLPD 16: le CF (par ordonnance)
Que signifie-t-il si un Etat figure pas sur la liste du CF?
Soit niveau inadéquat
Soit pas encore évalué
–> liste = positive
En cas d’absence d’une “certification” par le CF, peut-on quand-même communiquer des données à l’étranger?
Oui, nLPD 16 II; nLPD 17 (correspondent à LPD 6 II + III)
let. a: traité international
let. b-d: correspondent à art. 12 II let. b P-STE 108 et RGPD 46
