C4: Transparence et obligation d'information; et Cookies Flashcards
Est-ce que les privés ont un devoir général d’informer en droit suisse et européen?
LPD: non
nLPD 19 et RGPD 13 s: oui (réglementation similaire)
Qui a une obligation d’information active et spontanée?
LPD 14: Les privés lorsqu’ils collectent des données sensibles (LPD 3 let. c) ou un profil de la personnalité (LPD 3 let. d); et
LPD 18a: Les organes fédéraux (dans tous les cas)
nLPD 19 (et RGDP 13 s): tout le monde
Quelle est la norme de la reconnaissabilité, sa définition et qui lui est soumis?
Norme: LPD 4 IV (nLPD 19 s)
Destinataires:
Les privés qui ne collectent pas des données sensibles ou un profil de la personnalité
–> les autres sont soumis à soit LPD 14 soit à LPD 18a
Quel est l’intérêt de la personne concernée à la reconnaissabilité n. b. de la collecte et de sa finalité?
Permet exercer le droit
- d’accès (LPD 8)
- de s’opposer au traitement (LPD 12 II let. b)
- d’exercer les droits de la LPD d’une manière générale, car sinon la personne concernée ne sait même pas que des données lui concernant sont traitées (ce qui est souvent le cas)
–> La nLPD renforce cette transparence encore (= un des buts de la révision)
A qui (apart les privés qui collectent des données sensibles ou des profils de la personnalité) s’applique LPD 4 IV?
A tout auteur de traitement (pas que le maître du fichier)
Est-ce qu’une sanction est possible en vertu de la violation du principe de la reconnaissabilité?
Non
Par contre, une violation de LPD 14 (privés) ou LPD 18a (organes fédéraux) entraîne une sanction pour (uniquement) le maître du fichier (LPD 34 I pour privés)
Quelle est la définition du principe de la reconnaissabilité? Sur quoi est-ce que ça porte?
LPD 4 IV: “La collecte de données [elle-même], et en particulier les finalités du traitement doivent être reconnaissables pour la personne concernée.”
- -> CAVE: liste ≠ exhaustive (“en particulier”)
- -> selon les circonstances concrètes, il peut porter aussi sur d’autres éléments:
- identité du maître du fichier
- catégories de destinataries possibles
- caractère facultatif ou obligatioire des réponses
- conséquences du refus de répondre
Comment déterminer si les éléments nécessaires (n. b. collecte elle-même et la finalité) sont reconnaissables?
Circonstances concrètes. Depuis la FF 2003 1924:
- où d’emblée reconnaissables, aucun devoir d’information (p. ex. postuler pour job)
- Par contre, où pas ou ne pas clairement reconnaissables, devoir d’une information active (même hors régime de LPD 14 du coup)
Quels sont n. b. des critères à prendre en compte pour déterminer les exigences à la reconnaissabilité?
- Complexité
- Durée
- Type de données (n. b. caractère sensible ou délicate)
- Moyens (n. b. techniques)
- Usages en vigueur (expérience générale de la vie ou dans la branche concernée auquel on peut s’attendre
Est-ce que la reconnaissabilité est liée à une certaine forme? Quelles sont les exigences générales précisées par la FF?
Non, en principe possible aussi orale, de manière concludente, dans un contrat de base ou dans les conditions générales
= même chose nLPD. La FF précise:
- information doit être facilement accessible, complète, claire et aisément identifiable
- déclaration standard, symbole ou pictogramme peut suffire
- ce qui suffit PAS est la simple indication d’une personne à contacter; il faut pouvoir obtenir l’info sans devoir demander
nLPD est plus dure lorsqu’il s’agit des données qui sont récupérées auprès d’un tiers:
- il faut informer activement
- la simple mis à disposition peut ne pas suffire (p. ex. sur le site web du responsable qui n’a jamais été en contact avec la personne concernée; la personne va pas se rendre sur le site du privé avec qui il a jamais eu rien à faire)
nLPD 18 toujours réservé
A quoi faut-il penser si la collecte et sa finalité sont indiquées dans des conditions générales?
- conditions devaient être disponibles avant la conclusion du contrat
- mais pas nécessaire qu’elles étaient effectivement lu
- le caractère insolite (Ungewöhnlichkeit) de la clause (son contenu matériel) est important que pour le consentement
Quelles sont les conséquences si le principe de la reconnaissabilité était violé?
- Présomption de l’illicéité du traitement (LPD 12 II let. a; 15; 25)
- Peut entraîner l’intervention du PFPDT (LPD 27 pour les organes fédéraux, LPD 29 I let. a pour les personnes privées)
TJRS: Motifs justificatifs réservés (LPD 13
Sur quoi le responsable du traitement devra-t-il informer en vertu de la nLPD?
nLPD 19 II: exigences minimales sont
a. l’identité et les coordonnées du responsable du traitement;
b. la finalité du traitement;
c. le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises.
- -> let. c inclut également les sous-traitants
- -> pour éviter de révéler l’identité des destinataires, le responsable peut juste indiquer les catégories de destinataires
–> la liste n’est pas exhaustive ! En fonction des circonstances (n. b. type de données), p. ex. aussi durée ou anonymisation à indiquer
–> les autres exigences: cf. les autres al. !!
Est-ce que l’information de nLPD 19 doit tjrs être fournie?
Non, nLPD 20 contient un catalogue d’exceptions
p. ex. al. 1:
1 Le responsable du traitement est délié du devoir d’information au sens de l’art. 19 si l’une des conditions suivantes est remplie:
a. la personne concernée dispose déjà des informations correspondantes;
b. le traitement des données personnelles est prévu par la loi;
c. le responsable du traitement est une personne privée et il est lié par une obligation légale de garder le secret;
d. les conditions de l’art. 27 sont remplies.
Quels sont les 3 cas de figure de nLPD 20 I let. a?
- la personne concernée ait été informée antérieurement et que les informations qui doivent lui être communiquées n’aient pas changé depuis.
- Ensuite, on peut imaginer que la personne concernée a déjà reçu les informations en vue de son consentement à un traitement de données
–> dans les deux cas: souvent via CGV (AGB)
- Quand la personne a elle-même rendu accessible les données, sans intervention du responsable du traitement (remise d’un dossier de candidature, par ex.), elle est en principe considérée comme infor- mée de la collecte de données.
Quand est-ce qu’il s’agit d’un cas où l’information est impossible à donner (nLPD 20 II let. a)?
La personne concernée n’est pas identifiable, au moins pas avec des efforts raisonnablement exigibles
–> p. ex. photo d’un inconnu
Quand est-ce qu’il s’agit d’un cas où l’information serait disproportionnée à donner (nLPD 20 II let. b)?
Dès lors qu’ils paraissent injustifiés par rapport au bénéfice que la personne concernée retirerait de l’information. Il faut notamment tenir compte du nombre de personnes concernées.
–> interprétation restrictive
P. ex.:
L’information nécessite par exemple des efforts disproportionnés lors- que des données sont traitées uniquement à des fins d’archivage d’intérêt public. L’information de toutes les personnes concernées supposerait régulièrement des efforts considérables, tout en présentant un intérêt souvent limité en raison de l’an- cienneté des données, par exemple.
Quel est l’élément qui est repris dans toute lettre de nLPD 20 al. 3? A quoi faut-il penser quant à l’application de cette al.?
Pesée des intérêts
A retenir:
- liste exhaustive
- à interpréter restrictivement (surtout let. b)
Quels sont les propos principaux des consid. 39, 58 et 59 du RGPD?
Tout traitement doit être licite, transparent et suivre la bonne foi
Concernant la transparence, la personne concernée doit reconnaître…
- l’étendu actuel et potentiellement futur du traitement
- n. b. l’identité du responsable et la finalité du traitement (RGPD 13)
- les risques, normes, garanties et droits
Cela inclut les modalités suivantes:
- informations aisément accessibles, compréhensibles, précises et éventuellement accompagnées de symboles et icône pour faciliter la compréhension
- information nécessaire surtout où le grand nombre de personnes impliquées et la complexité de la situation rendent difficile pour le concerné de reconnaître les informations nécessaires nécessaires en vertu de la transparence (p. ex. publicités sur Internet)
- lorsque des enfants sont conernés, il faut payer encore plus attention
- traiter des données personnelles uniquement s’il n’y a aucune autre possibilité pour atteindre la finalité
- s’il y a quand-même traitement, celui-ci doit être limité à ce qui est nécessaire
Suivant les consid. 39, 58, 59 RGPD, quelles actions le responsable doit-il prévoir pour remplir l’exigence de la transparence?
- Des délais pour effacer ou contrôler les données qu’il a (consid. 39)
- Faciliter l’exercice des droits des concernés
- en particulier en rendant gratuit l’exercice de l’accès aux données personnelles, leur rectification ou effacement ou encore d’exercer leur droit d’opposition
- en plus, des demandes électroniques devraient être possibles
- Des demandes doivent être traités dans un mois le plus tard
- Si le responsable ne donne pas suite à la demande, il doit justifier pour quelle raison il rejette la demande
