Skip to Main Content

Protection des données

Le traitement illicite par un privé en droit suisse et la justification de l'atteinte

Si le responsable du traitement : 

  • traite les données sans respecter les principes suivants : licéité, bonne foi, proportionnalité, finalité, reconnaissabilité, exactitude et sécurité
  • traite les données contre la volonté expresse de la personne concernée
  • communique à des tiers des données sensibles ou des profils de personnalité

On est dans le cas d'une présomption d'atteinte à la personnalité et le traitement des données est illicite.

On a toutefois une présomption de non-atteinte à la personnalité (art. 12 al. 3 LPD) si la personne concernée a partagé publiquement les données et qu'elle ne s'oppose pas formellement à leur traitement.

Dans le cas où le traitement est illicite, le responsable du traitement peut essayer de trouver un motif justificatif pour considérer que le traitement est néanmoins admissible et rendu licite par ce motif justificatif. On a trois motifs justificatifs (art. 13 al. 1 LPD) :

  • le consentement de la personne concernée
  • un intérêt prépondérant public ou privé
  • la loi (qui prévoit le traitement de données)

-Le consentement doit être libre et intervenir après une information claire et complète de la personne concernée. S'il s'agit de données sensibles ou de profils de la personnalité le consentement doit être explicite (art. 4 al. 5 LPD).

-L'intérêt public prépondérant est constitué lorsque l'atteinte est destinée à procurer un avantage à la collectivité ou à une multitude de personnes. En général il est rarement reconnu par le juge parce qu'un tel intérêt serait déjà dans une loi (art. 13 al. 2 LPD).

-L'intérêt privé prépondérant est plus souvent admis. Le juge procéde à une pesée d'intérêts entre l'intérêt de celui qui traite les données et de celui qui demande à ce que ses données ne soient pas traitées. (art. 13 al. 2 LPD). Un intérêt privé prépondérant souvent reconnu est le traitement de données dans le cadre de la conclusion ou de l'exécution d'un contrat. On admet également un intérêt privé prépondérant dans le cas où les données sont traitées à des fins ne se rapportant pas à des personnes notamment dans le cadre de la recherche, de la planification ou de la statistique à condition que les résultats soient publiés sous une forme ne permettant pas d'identifier les personnes concernées.

-La loi peut autoriser ou imposer un traitement (art. 13 al. 1).

En résumé : une atteinte à la personnalité est par définition illicite mais l'illicéité peut être levée par un des trois motifs justificatifs existants.

La justification du traitement selon le RGPD

En droit européen, on ne doit pas justifier l'atteinte comme en droit suisse mais c'est le traitement qui doit être justifié. C'est-à-dire que chaque fois que le responsable du traitement traite des données il doit pouvoir justifier d'un motif justificatif.

Tout traitement doit être justifié par un des 6 motifs suivants (art. 6 RGPD) :

  • le consentement de la personne concernée
  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers
  • le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie
  • le traitement est nécessaire au respect d'une obligation légale
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux d'une personne physique
  • le traitement est nécessaire à l'exécution d'une mission d'intérêt public

En matière de données sensibles, par principe le responsable du traitement n'a pas le droit de les traiter sauf exceptions (art. 9 RGPD)