Si le responsable du traitement :
On est dans le cas d'une présomption d'atteinte à la personnalité et le traitement des données est illicite.
On a toutefois une présomption de non-atteinte à la personnalité (art. 12 al. 3 LPD) si la personne concernée a partagé publiquement les données et qu'elle ne s'oppose pas formellement à leur traitement.
Dans le cas où le traitement est illicite, le responsable du traitement peut essayer de trouver un motif justificatif pour considérer que le traitement est néanmoins admissible et rendu licite par ce motif justificatif. On a trois motifs justificatifs (art. 13 al. 1 LPD) :
-Le consentement doit être libre et intervenir après une information claire et complète de la personne concernée. S'il s'agit de données sensibles ou de profils de la personnalité le consentement doit être explicite (art. 4 al. 5 LPD).
-L'intérêt public prépondérant est constitué lorsque l'atteinte est destinée à procurer un avantage à la collectivité ou à une multitude de personnes. En général il est rarement reconnu par le juge parce qu'un tel intérêt serait déjà dans une loi (art. 13 al. 2 LPD).
-L'intérêt privé prépondérant est plus souvent admis. Le juge procéde à une pesée d'intérêts entre l'intérêt de celui qui traite les données et de celui qui demande à ce que ses données ne soient pas traitées. (art. 13 al. 2 LPD). Un intérêt privé prépondérant souvent reconnu est le traitement de données dans le cadre de la conclusion ou de l'exécution d'un contrat. On admet également un intérêt privé prépondérant dans le cas où les données sont traitées à des fins ne se rapportant pas à des personnes notamment dans le cadre de la recherche, de la planification ou de la statistique à condition que les résultats soient publiés sous une forme ne permettant pas d'identifier les personnes concernées.
-La loi peut autoriser ou imposer un traitement (art. 13 al. 1).
En résumé : une atteinte à la personnalité est par définition illicite mais l'illicéité peut être levée par un des trois motifs justificatifs existants.
En droit européen, on ne doit pas justifier l'atteinte comme en droit suisse mais c'est le traitement qui doit être justifié. C'est-à-dire que chaque fois que le responsable du traitement traite des données il doit pouvoir justifier d'un motif justificatif.
Tout traitement doit être justifié par un des 6 motifs suivants (art. 6 RGPD) :
En matière de données sensibles, par principe le responsable du traitement n'a pas le droit de les traiter sauf exceptions (art. 9 RGPD)