Protection des données

CONSEIL DE L'EUROPE. Convention 108+ : Convention pour la protection des personnes à l'égard du traitement des données à caractère personnel. 2018. [en ligne] [Consulté le 24.01.2024]

CONSEIL DE L'EUROPE. Rapport explicatif de la Convention pour la protection des personnes à l'egard du traitement automatisé des données à caractère personnel, Strasbourg, 28.1.1981 [en ligne] [Consulté le 12.08.2021]

CONSEIL DE L'EUROPE. Projet de rapport explicatif - Convention 108 modernisée [en ligne] [Consulté le 12.08.2021]

Règlement no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (= Règlement général sur la protection des données (RGDP)

Les sources de droit supérieur donnent le cadre général auquel doit se conformer le législateur suisse.

• La Constitution fédérale du 18 avril 1999 dans son article 13 pose le principe du droit à l'autodétermination informationnelle : toute personne a le droit de décider qui a le droit de traiter les données la concernant, comment et à quelles conditions. Ce droit fondamental n'est pas absolu. Il peut être réduit sur la base d'une base légale pour autant que la restriction soit proportionnelle, qu'elle ne porte pas atteinte à l'essence même de la protection de la sphère privée et qu'elle soit motivée par un intérêt public (art. 36 Cst féd.)
• On a des dispositions similaires dans les constitutions cantonales : art. 15 Protection de la sphère privée et des données personnelles (Cst-VD) ou art. 21 Protection de la sphère privée (Cst-GE)
• La CEDH dans son art.8 a une formulation semblable à l'art.13 Cst féd.
• La Convention 108 : Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 est entrée en vigueur pour la Suisse le 01.02.1998. Elle a pour but de facilier l'échange de données au sein des pays signataires. Un protocole additionnel (STE 181) est entré en vigueur pour la Suisse le 1.04.2008. Il renforce l'indépendance et les pouvoirs des autorités nationales de contrôle et prévoir le transfert de données vers un Etat non partie.
• La Convention 108+ (2018) est une modernisation de la Convention 108. La Suisse est en train de la signer et de la ratifier.

Les lois suisses sont directement applicables

• Loi fédérale sur la protection des données (LPD) du 19 juin 1992 qui régit les traitements de données personnelles en Suisse par l'administration fédérale et par les personnes privées. Elle contient 39 articles : les articles 1-11 contiennent les définitions, les dispositions générales et les principes s'applicant tant aux personnes privées qu'à l'administration fédérale. Les art. 12-15 regroupent les règles applicables aux traitements de données par les personnes privées, les articles 16-25bis les règles applicables aux traitements de données par les organes fédéraux et les articles 26-39 concernent le PFPDT, les dispositions pénales et autres régles communes.

La LPD régit le traitement de données concernant les personnes physiques et morales effectué par des personnes privées et des organes fédéraux à quelques exceptions près, qui ont lieu en Suisse.

• Loi sur la protection des données Schengen (LPDS) du 28 septembre 2018. Cette loi s'applique dans un cadre très limité : le traitement de données par les organes fédéraux dans le cadre des accords de Schengen dans le domaine pénal.
• Les lois cantonales qui sont applicables à l'administration cantonale. Il y a une loi par canton sauf Jura et Neuchâtel qui ont une convention intercantonale.
• Certaines lois spécifiques contiennent également des dispositions sur le traitement des données (ex. FINMA, LRENS, LOGA ...)

Au niveau européen il y a 2 textes principaux :

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données RGPD) appliqué depuis le 25 mai 2018. Ce texte est d'application direct.
• Directive (UE) 2016/680 Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (Directive Law enforcement)