Dispositions pénales

Dispositions pénales

Afin de renforcer l’effectivité des obligations qu’elle impose, la LPD contient plusieurs dispositions pénales destinées à en sanctionner la violation.

La nouvelle loi sur la protection des données renforce sensiblement les sanctions pénales attachées à la violation des obligations qu’elle impose. Elle érige quatre infractions distinctes, énoncées aux art. 60 à 63 LPD. Ces infractions ont trois caractéristiques communes :

  • Il s’agit d’infractions intentionnelles seulement. Pénalement, la violation par négligence des obligations liées à la protection des données n’est donc pas sanctionnée.
  • Elles punissent en premier lieu des personnes physiques. Si les infractions ont été commises au sein d’une entreprise, l’art. 64 al. 1 permet, par renvoi à la loi sur le droit pénal administratif, de condamner les personnes ayant une fonction dirigeante. A noter que si l’amende envisagée ne dépasse pas CHF 50'000.- et que l’enquête nécessaire pour sanctionner une personne physique serait proportionnellement trop importante, l’autorité de poursuite peut renoncer à poursuivre cette personne et condamner l’entreprise en son lieu et place.
  • La peine maximale est de CHF 250'000.-.

A noter que dans tous les cas, les autorités de poursuites cantonales – en principe les procureurs – sont compétents pour poursuivre ces infractions.

Une remarque importante : ces éléments ne concernent que l’aspect pénal lié à la violation des règles de la LPD. Or, l’on rappellera que les sanctions pénales ne sont justement que l’un des volets liés à de telles violations. Il peut fréquemment y avoir des conséquences de droit public ou privé également, et en particulier le devoir de réparer le dommage. Les trois limitations exposées ci-dessus ne s’appliquent pas à ces autres domaines. Sous l’angle du droit privé, l’on peut donc envisager la poursuite de l’entreprise elle-même, pour une violation des règles par négligence et pour un montant supérieur à CHF 250'000.-. Cette responsabilité est cependant à définir de manière spécifique dans chaque cas, et est en principe encadrée par un contrat.

Obligation d’informer, de renseigner et de collaborer (art. 60 LPD)

L’art. 60 LPD se rapporte aux devoirs d’informer, de renseigner et de collaborer. Les deux premiers devoirs visent essentiellement les rapports directs ou indirects entre le responsable du traitement et la personne concernée par le traitement de données. L’obligation d’informer lors de la collecte des données (art. 19 LPD), respectivement en cas de traitement automatisé (art. 21 LPD), vise à mettre la personne concernée en situation de comprendre ce qui sera fait avec ses données et ainsi, de décider en connaissance de cause. Quant à l’obligation de renseigner (art. 25 à 27 LPD), elle concerne les traitements en cours et permet donc à la personne concernée d’exiger la transparence sur les données traitées. Au besoin, elle pourra alors faire valoir ses droits pour corriger les données, par hypothèse erronées, ou faire stopper un traitement injustifié. Ces dispositions jouent un rôle central dans le système de la protection des données, en ce que la connaissance est le préalable à toute autre action. Pour ces raisons, leur violation est pénalement sanctionnée.

Quant au devoir de collaborer, également sanctionné par l’art. 60 LPD, il se rapporte aux enquêtes menées par le PFPDT en cas de soupçons de traitement contraire à la LPD (art. 49ss LPD). Il assure ainsi l’efficacité de telle procédure.

Devoir de diligence (art. 61 LPD)

Détenir les données de personnes privées veut aussi dire assumer une responsabilité vis-à-vis de ces données. Le responsable du traitement doit en assurer la sécurité, par des mesures techniques et organisationnelles destinées notamment à les protéger contre les accès indus les risques de perte des données (art. 8 al. 3 LPD). Il doit également respecter des règles relatives à leur transmission, que ce soit à des sous-traitants ou à l’étranger (art. 9 et 16 s. LPD). Afin de renforcer l’effectivité de ces obligations, l’art. 61 LPD sanctionne pénalement leur violation.

Devoir de discrétion

L’art. 62 LPD consacre un devoir de discrétion, dont la fonction est analogue au secret professionnel de l’art. 321 du code pénal (CP), mais dans une version moins absolue. Par exemple, les codes procédures judiciaires prévoient souvent des exemptions à l’obligation de témoigner pour les personnes soumises au secret professionnel ; ces exemptions ne couvrent en principe pas les personnes soumises au devoir de discrétion de la LPD. Le cercle des personnes soumises est cependant beaucoup plus large que celui de l’art. 321 CP. Toute personne répondant à l’énoncé légale, soit une personne à laquelle des données personnelles ont été portées à la « connaissance dans l’exercice d’une profession qui requiert la connaissance de telles données » est potentiellement soumise à ce secret. Dans le domaine de la santé, l’on peut par exemple penser aux naturopathes ou acupuncteurs, non soumis à l’art. 321 CP. Pour le reste, les notions de secret et de révélation sont à interpréter dans le même sens que dans le cadre de l’art. 321 CP. Pareillement, la notion d’auxiliaires soumis au devoir de discrétion (al. 2) est également semblable à celle utilisée pour l’art. 321 CP. Le professionnel peut être délié de son devoir de discrétion par le consentement de la personne concernée, mais aussi en vertu d’une disposition légale (par ex. obligation de témoigner en procédure ou obligation de dénoncer, telle l’art. 314d du code civil).

Insoumission à une décision du PFPDT

L’art. 63 LPD est une disposition générale, renforçant l’effectivité des décisions prononcées par le PFPDT, comme par exemple lorsqu’il ordonne la cessation d’un traitement selon l’art. 51 LPD. Celui-ci peut ainsi prévoir que le non-respect de sa décision entraînera une possible amende selon l’art. 63 LPD. Il s’agit donc d’une disposition analogue à l’art. 292 CP.

Dispositions pénales hors de la LPD

A noter enfin qu’il existe aussi des dispositions pénales visant – notamment – à renforcer la protection des données en dehors de la LPD. On peut avant tout citer les art. 179novies et 179decies CP. Le premier vise la soustraction de données personnelles sensibles qui ne sont pas librement accessibles. La disposition vise autant la soustraction physique (emporter un dossier) que numérique. Quant à l’art. 179decies CP, il réprime celui qui usurpe l’identité de quelqu’un d’autre, soit qui se fait passer pour cette personne pour lui nuire ou en tirer des avantages. 

Devoir d’informer

Le devoir d’informer garantit la transparence des traitements et contribue à renforcer les droits de la personne concernée.

Droit d’accès

Conformément à la loi fédérale sur la protection des données, toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.

Conseiller à la protection des données

Notification de conseillères et conseillers à la protection des données au PFPDT conformément à l'art. 10, al. 3 LPD pour les particuliers et à l'art. 10, al. 4 LPD pour les organes fédéraux.

Analyse d’impact relative à la protection des données personnelles

Les responsables du traitement des données doivent effectuer une AIPD lorsque le traitement de données personnelles est susceptible d’entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

Surveillance

Accès rapide aux recommandations en matière de protection des données, les actions de justice ainsi que les registres.

Bases légales protection des données

Les bases légales actuelles

Infothèque

Vous trouverez ici tous les documents à télécharger, classés par thème.

Webmaster
Dernière modification 09.01.2024

Début de la page