C10: Communication transfrontière (LPD 6)

Question 1

Quelle est l’origine de LPD 6?

Answer 1

Art. 12 Conv. 108

Question 2

Faut-il informer la personne concernée lorsqu’on transmet des données au travers la frontière?

Answer 2

Non; mais le Préposé dans les cas de LPD 6 II let. a et g

Question 3

A qui faut-il communiquer a. s. d. LPD 6, tout tiers ou que les véritables?

Answer 3

LPD 6 s’applique à TOUT transfert de données

= aussi au sein de la même entreprise p. ex.

Question 4

La communication involontaire, tombe-t-elle également sous LPD 6?

Answer 4

Non, que la communication VOLONTAIRE

Question 5

Est-ce que les sites web sont soumis à la LPD 6?

Answer 5

D’abord, jurisprudence et doctrine y voyait application; mais se sont rendus compte que les exigences n’étaient pas respectées en pratique

• -> LPD 6 ne s’applique pas aux sites web et non plus aux newsletter (OLPD 5)
• -> tel devrait être le cas aussi, si après, le newsletter est imprimé et envoyé sur l’autre côté de la frontière

Question 6

Application de LPD 6 pour données qui font que transiter un Etat?

Answer 6

Non

Question 7

Que faut-il pour la présomption d’illicéité et quels en sont les motifs justificatifs lors de la communication transfrontière?

Answer 7

Illicéité si

1. Législation étrangère n’assure pas un niveau de protection adéquat; et
2. il en résulte une menace grave d’atteinte à la personnalité

Peut être justifié par al. 2

Question 8

Est-ce que les motifs justificatifs de LPD 13 s’appliquent?

Answer 8

Non; LPD 6 règle la communication transfrontière de manière exhaustive
–> al. 2 déroge comme lex specialis LPD 13

Question 9

Définition d’une législation offrant un niveau de protection adéquat?

Answer 9

Loi (formelle ou matérielle) étrangère doit

• comprendre principes fondamentaux de la protection des données
• garantir le droit d’accès,
• le droit de rectification
• et le droit de demander la destruction.
• Il faut en outre une autorité de contrôle indépendante.
• Personne doit disposer de moyens pour faire valoir ses droits

–> le droit étranger qui remplit ces critères doit aussi être appliqué en pratique

Question 10

A qui incombe la vérification du niveau suffisant?

Answer 10

Le responsable du traitement

–> CH ≠ système d’autorisation

Question 11

Sur quoi le responsable peu se fonder lors de son examen du niveau de protection?

Answer 11

Circonstances particulières, notamment:

• L’adhésion d’un pays à la Conv. 108 = présomption de niveau suffisant
• Renseignements généralement connus du public ou de sa branche professionnelle
• PFPDT tient liste (LPD 31 I let. d; OLPD 7)

Question 12

Est-ce que la liste du PFPDT a valeur contraignante, c-à-d lie-t-elle le juge civil?

Answer 12

Non; même si c’est toutefois exigé de demander du responsable un examen plus approfondi que celui du PFPDT

Question 13

Qui doit prouver le motif justificatif lors de la communication transfrontière?

Answer 13

Celui qui exporte les données (OLPD 6 IV)

Question 14

Que faut-il pour que les garanties contractuelles puissent remplacer la législation étrangère insuffisante par un contrat a. s. de LPD 6 II let. a (contenu) ?

Answer 14

Il faut y avoir:

1. Principes fondamentaux
2. Moyens juridiques principaux

Question 15

Quel est le contenu matériel plus précisément?

Answer 15

= Exigences min de Conv. 108:

• principes généraux de la protection des données
• protection en cas de ré-exportation ver un Etat tiers,
• Prétentions individuelles à l’accès,
• à la rectification
• à la radiation et
• droit de s’opposer au traitement
• mesures particulières de protection pour les données sensibles

Question 16

Contenu formel?

Answer 16

= L’ensemble des éléments pertinents du transfert, n. b.:

• identité de l’exportateur et de l’importateur
• catégories de données personnelles à transférer
• finalités du transfert
• catégories de personnes dont les données sont transférées
• destinatairesdes données
• durée de conservation
• droits des personnes concernées
• droit d’agir en justice découle en principe de la législation étrangère; à défaut, régler dans le contrat

Question 17

Dans quel mesure le PFPDT aide quant au contrat?

Answer 17

Il met à dispo des contrats-modèles et de clauses standard qui sont soit établis par le PFPDT lui-même, soit reconnus par lui (OLPD 6 III in fine)

Question 18

Que doit prouver le responsable pour se prévaloir du motif a. s. d. LPD 6 II let. a?

Answer 18

• Garanties suffisante

- Mesures prises pour les faire effectivement respecter auprès du destinataire

Question 19

Quel devoir d’information est lié à la communication transfrontière qui est légitimé par un contrat entre les parties?

Answer 19

Il faut en informer le Préposé (LPD 6 III)

MAIS uniquement si la communication est RÉGULIÈRE !!!

Question 20

Conséquence de la violation de ce devoir d’information?

Answer 20

Amende jusqu’à 10’000 (LPD 34 II let. a)
–> se poursuit d’office

(grave pour un simple devoir d’info je trouve !)

= même peine si l’intéressé refus de collaborer (LPD 29)

Question 21

Le consentement a. s. d. LPD 6 II let. b vise quelle situation?

Answer 21

Extra-contractuelle

–> sinon régi par let. c

Question 22

Sur quoi doit porter le consentement “en l’espèce”? Est-il valable pour qu’un traitement?

Answer 22

Contenu nécessaire: critères de OLPD 6 II let. a applicables par analogie:

• catégories de destinataires
• finalité (une ou plusieurs, mais pas trop)
• catégories de données similaires

En outre:

• Le consentement peut porter sur plusieurs communications;
• MAIS il faut une certaine proximité temporelle
• -> le consentement générale et anticipé n’est pas possible (indépendamment de CC 27)
• Un Etat ou des Etats déterminés

Question 23

Est-ce qu’on peut révoquer le consentement?

Answer 23

Oui, mais slmnt tant et aussi longtemps que la communication n’a pas eu lieu

–> si ça entraîne la résiliation du contrat, il faut informer la personne concernée des possibles conséquences

Question 24

Conditions du consentement?

Answer 24

LPD 4 V (y c. consentement expres (mais pas forcément écrit) lors communication transfrontière de données sensibles ou profilages)

–> l’information nécessaire en fonction de n. b. niveau de protection à l’étranger !

Question 25

Est-ce que la personne renonce aux principes généraux de la protection des données en consentant?

Answer 25

Non (n. b. pas à la sécurité); elle accepte juste que l’exportation sans garanties légales (LPD 6 I), contractuelles (LPD 6 II let. a) ou corporatives (LPD 6 II let. g)

–> Exportateur doit tjrs respecter ses devoirs généraux (ou spécifiques au contrat) s’agissant du traitement à l’étranger

Question 26

Quelle est la condition pour pouvoir se prévaloir du motif justificatif de LPD 6 II let. c?

Answer 26

La communication doit être vrmnt nécessaire !

–> la preuve incombe au maître du fichier

Question 27

Ex. de nécessité a. s. d. LPD 6 II let. c?

Answer 27

• Communication au sein d’une multinationale
• Agence de voyage transmet à l’hôtel ou aux entreprises de transport
• Banque dans le cadre de transaction bancaire

Question 28

Comment la communication transfrontière en vu de l’exécution d’un contrat de travail est limité (pas juste par LPD 6 II let. c)?

Answer 28

CO 328b: données communiquées peuvent porter que sur

• l’aptitude du travailleur qui est nécessaire (et pas juste utile)
• ou autre chose

–> en gros appréciation plus stricte

Question 29

Si le contrat rend la communication transfrontière nécessaire (rappel: pas juste utile), peut le concerné quand-même s’y opposer?

Answer 29

Oui –> mais débouchera probablement dans une rupture du contrat

Question 30

Délimitation LPD 6 II let. b et c?

Answer 30

Difficile (n. b. consentement concluant); dans le doute, il vaut mieux de demander le consentement (puis il faut pas prouver la nécessité)

Question 31

Si on peut se baser sur un contrat pour la communication transfrontière, est-ce qu’on a quand-même des devoirs d’informations?

Answer 31

Lors profils ou données sensibles: certainement LPD 14 II let. c (destinataires situés à l’étranger où protection pas adéquate)

D’autres devoirs: selon bonne foi et reconnaissabilité

Question 32

Quand est-ce qu’on parle d’un intérêt public prépondérant a. s. d. LPD 6 II let. d?

Answer 32

= intérêt de la Suisse, n. b. coopération avec d’autres Etats (p. ex. prévention violence hooligan en transmettant des données [à un pays avec protection inférieur!]; actions humanitaires)
MAIS: intérêt abstrait/hypothétique ne suffit pas

Prépondérant = par rapport à l’intérêt de la personne concernée

–> doit être interprété de manière restrictive

Question 33

Est-ce que la coopération avec un autre Etat avec un niveau inférieur peut justifier la communication transfrontière de manière générale?

Answer 33

Non; juste pour une finalité/évènement déterminé

CAVE: Communication à la fin d’entraide judiciaire ou administrative échappe à la LPD (LPD 2 II let. c) !!

Question 34

Quel type de “droit en justice” à l’étranger est visé par LPD 6 II let. c?

Answer 34

Tout: civil, pénal, administratif, disciplinaire, arbitral

Question 35

Est-ce que LPD 6 règle aussi la collecte et la conservation de données à l’étranger?

Answer 35

NON –> LPD 6 englobe que la communication (pas d’autre traitement)

Question 36

Quand s’applique LPD 6 II let. e (protection de la vie ou de l’intégrité corporelle?

Answer 36

Personne concernée n’est pas en mesure de donner son consentement elle-même + si elle pouvait, (subjectivement + objectivement elle le donnerait compte tenu des circonstances
=consentement présumé

S’applique aussi aux proches du concerné !

Question 37

Quelle est la différence entre LPD 6 II let. a et let. c?

Answer 37

Let. a: on fait un nouveau contrat/accord (que) pour la communication vers un Etat avec protection légale inférieure qu’on remplace moyennant une auto-règlementation

Let. c: Un contrat entre les deux parties existe déjà ou est en train de se former et pour l’exécuter ou le créer il faut la communication transfrontière

Question 38

Que comprend la communication intra-entreprise/-groupe a. s. d. LPD 6 II let. g?

Answer 38

Multinationale avec personnes morales différentes;

Mais aussi succursales (sans propre personne morale ou société indépendante)

Question 39

Que doivent faire les entreprises/groupes qui veulent profiter de LPD 6 II let. g?

Answer 39

Doivent être soumis à des règles de protection de données (auto-règlementation; “Binding Corporate Rules”) qui garantissent un niveau de protection adéquat

Question 40

Exigences au Binding Corporate Rules?

Answer 40

Min. matériel = standard de Conv. 108 (cf. avant)

Doivent être contraignants

Doivent être communiqué au PFPDT (al. 3)
–> modalités: OLPD 6

Question 41

Qui vérifiera l’adéquation de la législation étrangère dans la nLPD?

Answer 41

nLPD 16: le CF (par ordonnance)

Question 42

Que signifie-t-il si un Etat figure pas sur la liste du CF?

Answer 42

Soit niveau inadéquat
Soit pas encore évalué

–> liste = positive

Question 43

En cas d’absence d’une “certification” par le CF, peut-on quand-même communiquer des données à l’étranger?

Answer 43

Oui, nLPD 16 II; nLPD 17 (correspondent à LPD 6 II + III)

let. a: traité international
let. b-d: correspondent à art. 12 II let. b P-STE 108 et RGPD 46