LibGuides: Protection des données: Les droits des personnes concernées

Références

BENHAMOU, Yaniv. Mise en oeuvre judiciaire du droit d'accès LPD : aspects procéduraux choisis. In : Sylain Métille. Le droit d'accès. Berne : Stämpfli, 2021, pp. 77-106

CHARLET, François. CJUE : deux arrêts sur le droit à l'oubli imposé aux moteurs de recherche (C-136/17, C-507/17) 26.09.2019. [en ligne] [Consulté le 24.01.2024).

CONSEIL DE L'EUROPE. Les droits des personnes concernées et leur application. In Manuel de droit européen en matière de protection des données. 2018, pp. 227-277 [en ligne] [Consulté le 24.01.2024]

D'ERRICO, Luca. Répondre à une demande de droit d'accès : aspects pratiques. In : Sylvain Métille. Le droit d'accès. Berne : Stämpfli, 2021, pp. 107-138

DE TERWANGNE, Cécile. Droit à la vie privée : un droit sur l'information et un droit à l'information. In : Law, Norms and Freedoms in Cyberspace = Droit, normes et libertés dans le cybermonde : liber Amicorum Yves Poullet. Paris : Larcier, 2018, pp. 555-577

DI TRIA, Livio. Droit d'accès et justification d'identité. 18 avril 2022. In : www.swissprivacylaw//136 [en ligne] [Consulté le 23.03.2023]

DI TRIA, Livio. Droit d'accès : quelles limites pour l'ancien employé ? 14 mars 2021. In : www.swissprivacylaw//62 [en ligne] [Consulté le 23.03.2023]

Data Protection Network (DPN). Guide to data subject access requests : the nuts and bolts. April 2022. [en ligne] [Consulté le 23.03.2023]

EDPB. Guidelines 01/2022 on data subject rights - Right of access. Version 2.0. Adopted on 28 March 2023. [en ligne] [Consulté le 24.01.2024]

HENGUELY, Florence. Expressions pratiques du droit d'accès. 23 novembre 2020. In : www.swissprivacylaw//32 [en ligne] [Consulté le 23.03.2023]

HIRSCH, Célian. Des dommages-intérêts en raison d'une réponse tardive à une requête d'accès aux données ? 29 novembre 2020. In www.swissprivacylaw//35 [en ligne] [Consulté le 24.01.2024]

HIRSCH, Célian. Le droit d'accès abusif. 29 décembre 2020. In www.swissprivacylaw/45 [en ligne] [Consulté le 23.02.2023]

Information Commissioner's Office. Right of access : guidance. 2020 [En ligne] [Consulté le 23.03.2023]

Les droits des personnes concernées et leur application. In : CONSEIL DE L'EUROPE. Agence des droits fondamentaux de l'Union européenne et Contrôleur européen à la protection des données. Manuel de droit européen en matière de protection des données. Luxembourg, 2018, pp. 227-278 [en ligne] [Consulté le 12.08.2021]

LEONARD, Thierry. POULLET, Yves. RGPD et liberté d'information : l'exception au "droit à l'oubli" ou au "déréférencement", présente dans l'article 17. In : Vie privée, liberté d'expression et démocratie dans la société numérique / sous la dir. de Yves Poullet. Paris : Larcier, 2020, pp. 89-121

MALLET-POUJOL Nathalie. Protection des données personnelles et droit à l’information.In : LEGICOM, 2017/2 (N° 59), p. 49-59 [en ligne] [Consulté le 23.01.2019]

MEIER, Philippe. Le droit à l'oubli : la perspective de droit suisse. In : Le droit à l'oubli (CEDIDAC, 2015), pp. 23-72

METILLE, Sylvain. Le droit d'accès. Bern : Stämpfli, 2021. 262 p. [en ligne[ [Consulté le 01.04.2022]

MONNIER, Gilles. Le droit d'accès aux données personnelles traitées par un média. Thèse de doctorat. Staempfli Ed. SA, 1999.

PAGALLO, Ugo. DURANTE, Massimo. Human Rights and the Right to be Forgotten. In : Susi Marti (ed.) Human Rights, Digital Society and the Law, 2019, pp. 197-208 [en ligne] [Consulté le 21.07.2021]

PFPDT. Droits de la personne concernée en matière de traitement des données personnelles, mai 2014. [en ligne] [Consulté le 23.01.2019]

PFPDT. Explications sur le droit à l'oubli. [en ligne[ [Consulté le 27.09.2021]

PFPDT. Le droit d'accès. Mai 2013. [en ligne] [Consulté le 23.03.2023]

ROUILLER, Félise. Le droit d'accès à ses données personnelles. In Métille, Sylvain, le droit d'accès. Bern : Stämpfli, 2021. pp.1-28. [en ligne[ [Consulté le 24.01.2024]

TAMBOU, Olivia, BOURTON, Sam (Dir.) Le droit à l'oubli en Europe et au-delà = The Right to be forgotten in Europe and beyond. Avril 2018. Luxembourg, Blogdroiteuropéen, Collection Open Access Book, 152 p.

UNIVERSITE DE GENEVE. Cours comprendre le numérique. Exercice du droit d'accès aux données personnelles. 2021 [en ligne] [Consulté le 24.01.2024]

WALTER, Jean-Philippe. Le droit à l'oubli : la perspective européenne. In : Droit à l'oubli : du mythe à la réalité. Colloque du 20 novembre 2014, UNIL Lausanne (CEDIDAC). [en ligne] [Consulté le 03.08.2021]

Modalités d'exercice des droits des personnes concernées

1) Principe d'obligation

Le respect de ces droits constitue une obligation pour le responsable du traitement. Celui-ci est obligé de mettre en place une procédure fiable et effective pour la gestion des droits des personnes concernées.

Les coordonnées du responsable du traitement doivent figurer dans tous les formulaires de collecte de données et dans la politique de confidentialité.

2) Respect du principe de transparence

Toutes les informations, explications et réponses du responsable du traitement aux personnes concernées doivent être rédigées dans un langage simple et clair afin de respecter le principe de transparence.

Dès la collecte des données, la personne concernée doit être informée de l’existence de ses droits.

3) Voie de communication

Les informations, explications et réponses doivent être fournies de préférence par écrit.
La réponse par voie électronique ne pose aucun problème, si on prend soin de vérifier l’identité de la personne concernée.
La réponse par voie orale devrait être conditionnée à la vérification de l’identité de la personne concernée, en cas de doute.
La justification de l’identité de la personne peut intervenir par tout moyen. Il n’est donc pas obligatoire de joindre une photocopie de pièce d’identité à toute demande si l’identité de la personne peut être suffisamment établie autrement (identification par no d’étudiant, depuis un espace d’authentification)

4) Délai de réponse

Le responsable du traitement doit répondre à la demande de la personne concernée dans un délai raisonnable et au maximum dans le délai d’un mois, à partir de la réception de la demande.

En cas de demande complexe ou de nombreuses demandes, si le responsable du traitement a besoin d’un délai plus long pour le traitement (dans un maximum de deux mois supplémentaires), il doit en avertir la personne concernée avant l’expiration du délai d’un mois et lui fournir le motif de la prolongation de ce délai.

5) Coût

Le responsable du traitement ne peut facturer la fourniture des renseignements demandés, sauf si la demande est infondée ou excessive.

6) La communication de rectifications, effacements et interdiction de traitement

En droit suisse, la communication n'est pas obligatoire. Une fois que la personne concernée a fait valoir son droit à rectifier, s'opposer, rectifier, c'est à elle de préciser encore qu'elle souhaite que les destinataires de l'information soient informés de la modification. (art. 15, al.3 LPD, art. 32 al. 4 nLPD)

En droit européen, la notification est obligatoire à chaque destinataire auquel les données à caractère personnel ont été communiquées à moins qu'une telle publication se révèle impossible ou n'exige des efforts disproportionnés. (art. 19 RGPD)

7) Réclamations et recours effectifs à disposition de la personne concernée pour faire valoir ses droits (art. 15 LPD, art. 32 nLPD)

En droit suisse actuel (LPD) : les actions sont peu efficaces (peu de moyen d'action du PFPDT, la personne concernée doit elle-même porter en justice les violations de la LPD ce qui suppose des coûts importants, faibles sanctions pour le RT).

En droit suisse futur (nLPD) : le PFPDT a des pouvoirs renforcés et les sanctions sont plus sévères. Le PFPDT a toutefois un pouvoir d'intervention mais pas de sanction (art. 51 nLPD). La personne concernée peut intenter une action civile (action défensive en cessation de l'atteinte ou action réparatrice)

8) Sanctions applicables au RT

En cas de violation des obligations d'informer, de renseigner et de collaborer (art. 60 nLPD), le RT privé est, sur plainte, puni d'une amende de 250 000 francs au plus en cas de fourniture intentionnelle de renseignements inexacts ou incomplets.

Droits des personnes concernées

Toute collecte de données à caractère personnel doit être accompagnée d’une série d’informations obligatoires.

Ces mentions sont regroupées dans un document intitulé « politique de confidentialité » ou « privacy policy » mais aussi « charte de confidentialité » ou « charte de vie privée ».

Ces informations diffèrent dans le cas d’une collecte directe (auprès de la personne concernée) ou indirecte.

1) Collecte des données directement auprès de la personne concernée

Au moment de la collecte des données, la personne concernée doit être informée sur :

l’identité et les coordonnées du responsable du traitement ou de son représentant

Ex : le responsable du traitement est l’Institut

l’identité et les coordonnées du DPO si applicable
les finalités du traitement

Ex : le traitement permet de procéder à l’immatriculation du nouvel étudiant

La base juridique choisie pour la collecte des données (contrat, intérêt légitime etc. et les conséquences de la non fourniture de ces données)

Ex : dans un formulaire en ligne, les champs obligatoires ou non doivent être indiqués

les destinataires auxquels les données sont destinées

Ex : En fonction de leurs besoins respectifs sont destinataires de toutes ou partie des données : le service des étudiants (immatriculation), le service informatique (traitement du compte informatique), l’Office fédéral de la statistique et des migrations (statistiques, etc.)

le projet de transfert des données auprès de pays tiers (en donner une liste)
l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel ou une limitation du traitement des données ou du droit de s’opposer au traitement.

Ex : l’étudiant dispose d’un droit général de rectification et d’effacement de données personnelles le concernant qui ont été collectées au titre de son inscription. Le droit d’effacement est conditionné au fait que l’étudiant a terminé ses études.

la durée de conservation des données personnelles.

Ex : les informations concernant la scolarité de l’étudiant sont conservées toute la durée de ses études. A l’issue de cette période, seules les données académiques et celles permettant de communiquer avec l’étudiant sont gardées et archivées.

le droit de retirer le consentement aussi facilement qu’il a été donné dans le cas où le traitement est fondé sur cette base juridique.
l’existence ou non d’une décision automatisée (profilage)

Ex : le traitement ne comporte pas de prise de décision automatisée

2) Collecte des données personnelles auprès de tiers

Dans le cas où les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit lui fournir, dans un délai raisonnable, mais maximum d’un mois, en plus des informations données lors d’une collecte directe, la source d’où proviennent les données.

3) Cas dans lesquels le responsable du traitement est dispensé d’informer la personne concernée

si la personne concernée dispose déjà des informations
si la fourniture de ces informations est impossible
si l’obtention des informations relève d’une obligation légale
si les données à caractère personnel doivent rester confidentielles (secret professionnel)

Toute personne concernée par la collecte et le traitement de données personnelles a le droit, à tout moment et dans les meilleurs délais, d’obtenir du responsable du traitement la confirmation que des données la concernant sont traitées ou pas et quand elles le sont, d’avoir certaines informations relatives à ce traitement. Le droit d'accès est une institution primordiale de la protection des données même s'il n'est pas très utilisé en pratique.

En droit suisse, le droit d'accès est personnel, incessible et imprescriptible et non transmissible à cause de mort.

Le droit d'accès (art. 8) et le droit de rectification (art. 15) dans la LPD

Le responsable du traitement est tenu de signaler : toutes les données concernant la personne concernée contenues dans le fichier (y.c. provenance), le but du traitement, la base juridique du traitement, les catégories de données traitées, les participants au ficher et les destinataires des données.

La personne concernée ne peut renoncer à ce droit par avance.

Les modalités d'exercice de ce droit sont définies à l'art. 1 OLPD. La demande doit être faite par écrit, accompagnée d'un justificatif d'identité. Une communication par voie électronique est possible sous conditions. Le délai est de 30j. La demande est gratuite sauf exception. Toute restriction au droit d'accès est motivée (art. 9 LPD).Il existe une restriction du droit d'accès specifique aux médias (protection des sources), art. 10 LPD.

La personne concernée peut faire rectifier sans délais les données inexactes sans avoir besoin de prouver une atteinte à la personnalité. Les données contenues dans des archives ne peuvent être corrigées mais leur caractère litigieux doit être indiqué. Les limites au droit de rectification sont très rares : l n'y a aucun intérêt à ce qu'une donnée inexacte soit maintenue : le RT ne peut pas invoquer un motif justificatif dans ce cas-là.

! Selon la jurisprudence (Arrêt du TF 4A_277/2020), une demande de droit d'accès qui ne vise qu'à se procurer des preuves en vue d'une procédure civile est contraire au but de l'art. 8 LPD et constitue un abus de droit.

Le droit d'accès (art. 25) et le droit de rectification (art. 32) dans la nLPD

La personne concernée reçoit les informations suivantes : identité et coordonnées du RT, les données personnelles traitées, la finalité du traitement, la durée de conservation des données, origine des données, l'existence d'une décision individuelle automatisée, les destinataires des données.

La personne concernée ne peut renoncer à ce droit par avance.

La demande est gratuite et les renseignements sont fournis dans les 30j.

Les restrictions au droit d'accès sont détaillés à l'art. 26 nLPD et motivées. Le RT (privé) peut refuser l'accès dans 4 cas : une loi au sens formel impose le secret (secret professionnel des médecins, avocats ..), intérêt prépondérant des tiers, intérêt prépondérant du RT pour autant qu'il ne communique pas les données à des tiers ou en cas de demande manifestation infondée. Les restrictions peuvent être partielles ou totales.

La restriction au droit d'accès applicables aux médias est détaillée à l'art. 27 nLPD. (protection des sources)

La personne concernée peut faire rectifier sans délai les données inexactes sans avoir besoin de prouver une atteinte à la personnalité. Les données contenues dans des archives ne peuvent être corrigées mais leur caractère litigieux doit être indiqué.

En cas d'inexistance des données, c'est au requérant de prouver que le document existe.

Le droit d'accès (art. 15) et le droit de rectification (art. 16) dans le RGDP

La personne concernée reçoit les informations suivantes : la finalité du traitement, catégories de données concernées, destinataires des données, durée de conservation des données, source des données, droit de rectification, d'effacement ou de limitation.

Le responsable doit lui fournir une copie des données faisant l’objet d’un traitement, après avoir pris toutes les mesures raisonnablement nécessaires pour vérifier l’identité du demandeur.

Ce droit n’est pas absolu. Le responsable du traitement peut s’opposer aux demandes abusives par leur nombre, leur caractère systématique ou répétitif.

En cas d’erreur, la personne concernée a le droit d’obtenir dans les meilleurs délais la rectification des données inexactes ou incomplètes.

Risques pour les organisations :

divulgation d'informations par erreur
ne pas fournir toutes les données personnelles du champ d'application de la directive
ne pas réagir à temps
augmentation des coûts

Quels types de données sont concernées :

Toutes les données qui peuvent directement ou indirectement identifier les personnes concernées (coordonnées, images, enregistrements vidéo, informations démographiques, profils, historique de demandes, préférences maketing, dossiers RH, opinions exrprimées, identifiants personnels etc ...). Le fait que les données soient déjà connues de la personne concernées ne rentre pas en ligne de compte.

Le RT doit également fournir des informations complémentaires tels que une explication des fins auxquelles les données sont utilisées et la durée de conservation. Par contre, ce qui est hors du champ d'application, c'est la fourniture de documents complets, ou de données anonymisées.

Exemple de procédure à mettre en place

- Reconnaître les demandes (formation du personnel)

- Confirmation de la réception de la demande (enregistrement de la demande, accusé de réception, clarification, vérification identité)

- La demande peut-elle être refusée ? (infondée ou excessive, refusée en tout ou en partie ?)

- Récupérer les données

- Rassembler les données et les évaluer (veiller à protéger la vie privée d'autrui, protéger la propriété intellectuelle de l'entreprise, maintenir la confidentialité, veiller au conflit potentiel avec d'autres obligations légales)

- Composer, réviser et approuver la réponse

- Envoyer la réponse en toute sécurité (méthode sécurisée)

- Fermer la demande et conserver la documentation

Le "droit à l'effacement" est également appelé "droit à l'oubli". Dans la législation suisse on ne trouve pas la terminologie "droit à l'oubli". On parle de "droit à l'effacement". C'est plus modeste mais plus réalisable aussi, puisque la suppression totale d'une donnée informatique est impossible.

Le droit à l'effacement se matérialise dans 4 cas :

les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées (elles auraient dû être éliminées par le RT)
la personne concernée a retiré son consentement au traitement (le traitement des données n'est plus possible)
la personne concernée fait valoir son droit à l'interdiction/opposition du traitement
le RT a agit d'une manière contraire aux obligations que lui impose la législation sur la protection des données (les données traitées d'une manière illégale doivent être effacées).

Le droit à l'effacement dans la LPD (art. 15)

Il s'agit du droit à la suppression de données personnelles inexactes, inadéquates, non pertinentes ou excessives à la demande de la personne concernée.

Ce droit n'est pas absolu et il est limité dans quatre cas : un intérêt prépondérant (public ou privé) au maintien de l'information, dans le cas de la liberté d'informer (personnalités publiques), dans le cas de la recherche scientifique et s'il y a une obligation légale de conserver les données (archives).

Le droit à l'effacement dans la nLPD (art. 32)

Il s'agit du droit à la suppression de données personnelles inexactes, inadéquates, non pertinentes ou excessives à la demande de la personne concernée.

Le droit à l'effacement dans le RGPD (art. 17)

Il est réservé à certaines situations : toute personne concernée par la collecte et le traitement de données personnelles a le droit, à tout moment et dans les meilleurs délais, de demander au responsable du traitement d’effacer des données la concernant, lorsqu’un des motifs suivants s’applique :

Les données ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été collectées (ex : un candidat a commencé à remplir un dossier de candidature et ne l’a pas terminé)
La personne concernée retire son consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement (ex : un contact demande à ne plus recevoir une newsletter)
La personne concernée exerce son droit d’opposition au traitement et il n’existe pas de motif légitime pour le traitement (ex : un contact ne souhaite pas que ses données soient utilisées pour la prospection publicitaire)
Les données à caractère personnel ont fait l’objet d’un traitement illicite (ex : utilisation de données de candidats refusés pour leur envoyer de la publicité pour de nouvelles formations)
Les données à caractère personnel doivent être effacées pour respecter une obligation légale (ex : durée de 10 ans pour un bulletin de salaire d’un étudiant employé dans un service administratif)

La mise en oeuvre de la suppression des données : l’effacement des données est une suppression définitive de celles-ci.

A l’heure actuelle, l’effacement de données informatiques implique la suppression des données dans de nombreux supports de stockage physiques et virtuels tels que les disques durs, les serveurs, etc. ainsi que le déréférencement des données sur un moteur de recherche.

L’entreprise doit être capable de prouver que les données ont bien été effacées par la génération de rapports indiquant le système utilisé, le nom de la personne ayant réalisé l’effacement, les séries de données concernées.

Dans ce cadre, l’entreprise concernée a une obligation de moyens (et non de résultat). Elle doit prendre toute mesure raisonnable pour informer les tiers de la demande d’effacement, mais n’a pas d’obligation à garantir l’effacement général des données ni une éventuelle réutilisation des données par des tiers.

Le droit à l’effacement n’est pas absolu et les exceptions sont : le respect d’une obligation légale ; un motif d’archivage à des fins scientifiques, statistiques, historiques ou l’exercice du droit à la liberté d’expression et d’information.

Le droit à l'effacement est un droit strictement personne relatif. Il peut être exercé par la personne concernée elle-même ou par un mandataire autorisé à agir en son nom. En cas de doute, il faut demander une copie de la procuration au mandataire afin de vérifier qu'il a effectivement été mandaté par la personne concernée. S'il s'agit d'une représentation légitime, le mandataire peut demander une conformation que les données de la personne concernée ont bien été effacées suite à la demande.

Toute personne concernée par la collecte et le traitement de données personnelles a le droit, à tout moment et dans les meilleurs délais, d’obtenir du responsable du traitement la fourniture des données, dans un format structuré, couramment utilisé et lisible par machine et le droit de transmettre ces données à un autre responsable du traitement.

Le droit à la portabilité des données dans la LPD

Ce droit n’existe pas en droit suisse à l’heure actuelle.

Le droit à la portabilité des données dans la nLPD (art.28).

Le droit à la remise ou à la transmission des données personnelles a été introduit dans la nLPD. La transmission gratuite peut se faire si les données sont traitées de manière automatisées, si elles sont traitées avec le consentement de la personne concernée ou en relation avec un contrat. Des exceptions sont prévues à l'art. 29 nLPD. Elles doivent être motivées.

Le droit à la portabilité des données dans le RGPD (art. 20)

Conditions et conséquences applicables au transfert des données :

Dans le cas où les données sont transmises à la personne concernée, les conditions suivantes s’appliquent :

Le droit est exercé :

par la personne concernée
sur ses données personnelles
qu’elle a transmises au responsable du traitement (1)
qu’elle peut transmettre librement à un autre responsable du traitement
dans un format interopérable

Les conséquences du droit à la portabilité sont essentiellement techniques. Les responsables du traitement seront tenus de développer et d’utiliser des formats interopérables qui permettent l’exercice de ce droit, ce qui implique un coût.

Limites à la portabilité

La personne concernée ne peut exercer son droit à la portabilité que si le traitement des données a été fondé sur le consentement ou sur un contrat et qu’il a été effectué à l’aide de procédés informatisés (ne concerne pas les données sur support papier).

(1) les données transmises sont : les données personnelles que la personne concernée a données à l’aide d’un formulaire ou d’un questionnaire, mais également les données générées suite à l’utilisation d’un site internet par exemple (historique de recherche, données de localisation…)

1) Conditions

l’exactitude des données est contestée par la personne concernée (dans ce cas, limitation du traitement le temps que le responsable du traitement puisse vérifier l’exactitude des données)
le traitement est illicite et la personne concernée préfère la limitation de l’utilisation des données à leur suppression
le responsable du traitement n’a plus besoin des données dans le cadre du traitement mais celles-ci peuvent être encore nécessaires à la personne concernée dans le cadre d’une action en justice
la personne concernée a exercé son droit d’opposition au traitement

2) Conséquences pour le traitement des données

Les données ne sont pas effacées, mais le responsable du traitement ne peut plus les utiliser ni les rendre accessibles, sauf à des fins de conservation ou avec le consentement de la personne concernée.

Le responsable du traitement doit déplacer temporairement ces données vers un autre système, les retirer d’un site internet, par exemple, tant que la situation n’est pas réglée.

Toute personne concernée par la collecte et le traitement de données à caractère personnel a le droit, à tout moment et dans les meilleurs délais, de s’opposer, pour motif légitime, à un traitement de données à caractère personnel le concernant et qui ne repose pas sur son consentement. En d'autres termes, la personne concernée remet en cause la balance des intérêts effectuées par le responsable du traitement.

Le droit d'opposition selon la LPD (art. 15)

Le droit d'oppostion est mentionné comme une prétention mais sans détail. Il est limité par un éventuel intérêt prépondérant (public ou privé) du RT.

Le droit d'opposition selon la nLPD (art. 32)

La nouvelle loi est plus précise en ce sens qu'elle indique que la personne concernée peut requérir l'"interdiction d'un traitement déterminé de données personnelles" et l"interdiction d'une communication déterminée de données personnellesà des tiers". Il est limité par un éventuel intérêt prépondérant (public ou privé) du RT.

Le droit d'opposition selon le RGPD (art 21)

Le responsable du traitement ne pourra plus utiliser les données sauf s’il démontre un motif légitime qui prévaut sur les intérêts et le droit de la personne concernée.

Ex : traitement de données d’un étudiant admis qui retire sa candidature

Les limites au droit d'opposition : le droit d’opposition ne concerne :

ni les traitements exécutés suite à un consentement
ni les traitements fondés sur un contrat
ni les traitements nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne
ni les traitements fondés sur une obligation légale

Dans le cadre du marketing direct (prospection), la personne concernée a le droit de s’opposer à tout moment et sans justification au traitement de ses données. Dans ce cas précis, le responsable du traitement ne peut pas s’y opposer. Cette disposition n'existe pas en droit suisse.

L'objectif de réglementer les décisions automatisées est double : il s'agit d'assurer la transparence du traitement par le biais d'une obligation d'informer et la possibilité d'exiger une intervention humaine afin de ne pas être livré à la décision d'une machine.

Les décisions automatisées selon la LPD

Il n'y a rien à ce sujet dans la loi actuelle.

Les décisions automatisées selon la nLPD

Champs d'application : les décisions individuelles doivent être exclusivement automatisées, avoir des effets juridiques sur la personne concernée et l'affecter de manière significative. Ne sont pas concernés les traitements fondés sur une base contractuelle ou le consentement de la personne concernée (art. 21 nLPD).

Il y a trois règles en matière de décisions automatisées : un devoir d'informer en cas de décision individuelle automatisée (sur l'existence d'une décision individuelle exclusivement automatisée et la logique sur laquelle se base cette décision) et une possibilité de faire revoir la décision par un humain sur demande (art. 21 nLPD) plus un droit d'accès spécifique (art. 25, al. 2 f nLPD)

Les décisions automatisées selon le RGPD

Le profilage est défini par le RGPD comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique (ex : pratique de recrutement en ligne sans aucune intervention humaine)

La personne concernée a le droit de s’opposer à tout moment à un traitement de données fondé sur l’exécution d’une mission d’intérêt public ou fondé sur un intérêt légitime poursuivi par le responsable du traitement à des fins de profilage. Cette opposition doit être justifiée.
La personne concernée possède un droit d'accès spécifique (art. 15 RGPD)
Le responsable du traitement ne pourra plus utiliser les données personnelles à des fins de profilage sauf s’il démontre qu’il existe un motif légitime qui prévaut sur les intérêts et les droits de la personne concernée.
Dans le cadre du marketing direct (prospection), la personne concernée a le droit de s’opposer à tout moment et sans justification au traitement de ses données. Dans ce cas précis, le responsable du traitement ne peut s’y opposer.
La personne concernée ne peut s’opposer au profilage si la décision automatisée est nécessaire à la conclusion/exécution d’un contrat, prévoit des mesures de sauvegarde des intérêts, droits et libertés de la personne concernée ou est fondée sur un consentement.
Dans ce cas, le responsable du traitement doit mettre en place des mesures afin de sauvegarder les intérêts et droits et libertés de la personne concernée : intervention humaine dans le cadre du traitement, expression de son point de vue, possibilité de contestation. (art. 22 RGPD)

Cas particulier du droit à la mort numérique

Ce droit permet à toute personne de définir des directives relatives à la conservation, à l’effacement et à la communication de ses données après son décès. Il a été instauré par la Loi pour une République numérique du 7 octobre 2016 (loi française), mais il n’a pas été repris par le Règlement européen.

Cette question n’est pas non plus réglée par la Loi suisse sur la protection des données (LPD) qui ne s’occupe pas du traitement des données des personnes décédées.

En droit civil suisse, la personnalité (et donc sa protection) prend fin avec la mort (art. 31 CC). Les héritiers ne peuvent pas agir au nom du défunt parce que les droits de la personnalité ne sont pas transmissibles. Ils peuvent toutefois agir en leur nom propre en invoquant une atteinte à leur sentiment de piété filiale et au sentiment de respect envers un proche décédé.
Dans la Loi suisse sur la protection des données actuelle (LPD), il n’y a aucune mention concernant les données des personnes décédées.
Cependant, selon l’Ordonnance relative à la loi fédérale sur la protection des données (OLPD), art. 1 al 7 même si les données personnelles des personnes décédées ne sont pas protégées par la LPD, leur consultation n’est possible que si le requérant justifie d'un intérêt à la consultation et qu’aucun intérêt prépondérant des proches de la personne décédée ou de tiers ne prévaut. Un intérêt est établi en cas de proche parenté ou de mariage avec la personne décédée.
Des dispositions particulières (bancaires, secret médical) peuvent également s’opposer au droit d’accès.
Dans la nLPD il était prévu de codifier la disposition concernant l'accès aux données d'une personne décédée mais refus du Parlement. Il n'y a donc pas de disposition concernant l'accès aux données d'une personne décédée dans la nLPD.
Actuellement, il n’y a pas dans la réglementation suisse ni dans la réglementation européenne d’équivalent à la « mort numérique » telle qu’elle est prévue dans la loi pour une république numérique.
Le Règlement européen sur la protection des données (RGPD) quant-à-lui, est clair dans son considérant 27 : « le présent règlement ne s’applique pas aux données à caractère personnel des personnes décédées ».