opencaselaw.ch

Startseite / Ch Vb / 88.032

88.032

Ch Vb · 1988-05-10 · Deutsch CH
Quelle Original Original-PDF Export Word PDF BibTeX RIS
Volltext (verifizierbarer Originaltext)

#ST# 88.032 Message concernant la loi fédérale sur la protection des données (LPD) du 23 mars 1988 Messieurs les Présidents, Mesdames et Messieurs, Nous vous soumettons un message à l'appui du projet de loi fédérale sur la protection des données, en vous proposant de l'adopter. Nous vous proposons en outre de classer les interventions parlementaires sui- vantes: 1971 P 10.898 Législation sur l'ordinateur (N 11.12. 72, Bussey) 1977 P 77.381 Centres d'informations publics et privés (N 17.1 78, Carobbio) 1982 P 86.336 Offres d'emploi et protection de la personnalité (N 8.10. 82, Crevoisier) 1984 P 84.598 Protection de la personnalité du salarié (N 22. 3. 85, Reimann) 1984 P 84.909 Protection des données. Régime transitoire (N, non encore traitée, Leuenberger) Nous vous proposons également de ne pas donner suite aux initiatives parle- mentaires suivantes: 1977 77.223 Fichiers personnels et protection de la personnalité. Constitu- tion (non encore traitée, Gerwig) 1977 77.224 Fichiers personnels et protection de la personnalité. Loi (non encore traitée, Gerwig). Nous vous prions d'agréer, Messieurs les Présidents, Mesdames et Messieurs, l'assurance de notre haute considération. 23 mars 1988 Au nom du Conseil fédéral suisse: Le président de la Confédération, Stich Le chancelier de la Confédération, Buser 1988 - 190 29 Feuille fédérale. 140e année. Vol. II 421

Condensé Suite à l'avènement de l'informatique et des technologies des télécommunications, suite à la multiplication des traitements de données, suite à la diffusion d'informations personnelles toujours plus nombreuses au sein de la société, de l'économie et de l'Etat, les risques d'atteinte à la personnalité ont considérablement augmenté. Dans leur état actuel, le droit privé et le droit administratif communs ne sont plus en mesure d'offrir la protection adéquate. La législation qui fait l'objet du présent message, entend remédier à cette déficience, autrement dit, offrir une protection efficace aux personnes concernées par les traitements de données. Notre projet de loi renferme dans sa partie générale les principes fondamentaux applicables au traitement de données, qu'il soit le fait d'organes de la Confédération ou de personnes privées. Il accorde en outre à tout-un-chacun le droit d'exiger du maître d'un fichier des renseignements sur les données recueillies sur son compte; à cette fin, la plupart des fichiers devront être enregistrés. Cette obligation est plus étendue pour les organes fédéraux que pour les personnes privées, lesquelles ne devront déclarer que les seuls fichiers présentant, du point de vue de la protection de la personnalité, des risques particuliers. Enfin, certaines catégories de communications de données à l'étranger seront soumises à déclaration préalable, et ce, en fonction de la quantité et de la nature des informations transmises. La partie du projet qui est consacrée aux traitements de données effectués par des personnes privées complète et concrétise la protection de la personnalité instituée par le code civil. D'une part, elle exemplifie certains traitements de données susceptibles de porter atteinte à la personnalité. D'autre pan, elle fournit au juge certains éléments qui lui permettront d'apprécier dans quels cas les intérêts de celui qui traite des données doivent être considérés comme prépondérants et, partant, l'atteinte à la personnalité comme justifiée. A cet égard, le présent projet tient amplement compte des besoins d'informations de l'économie. Relevons enfin qu'il appartiendra au juge civil de se prononcer sur les litiges portant sur les traitements de données effectués par des personnes privées. La loi réglemente ensuite, dans le détail, les traitements de données effectués par l'administration fédérale et les autres organes fédéraux. Elle établit les responsabilités en matière de protection des données et détermine à quelles exigences légales doivent répondre les différents traitements envisageables. Elle précise en outre à quelles conditions les organes fédéraux sont en droit de collecter des données, de les communiquer ou de procéder à d'autres formes de traitements. A ce propos, on relèvera que les intérêts spécifiques des organes chargés de la sûreté de l'Etat et de la sûreté militaire n'ont pas été oubliés. Un préposé fédéral à la protection des données sera appelé à surveiller l'application de la loi. Il pourra conduire des enquêtes; reste que, s'agissant de personnes privées, il ne pourra intervenir que dans des cas particuliers. Quoi qu'il en soit, il ne sera pas en droit de prendre des mesures contraignantes: il ne pourra faire que des recommanda- tions. Cela dit, il lui sera toujours possible de soumettre une affaire pour décision à la 422

Commission fédérale de la protection des données. Cette institution connaîtra en outre les litiges en matière de protection des données, qui surviennent entre les administrés et l'administration. Ses décisions pourront être déférées au Tribunal fédéral. Le projet règle aussi la communication de données à des fins de recherche médicale. Des données soumises au secret professionnel, tel le secret médical, ne pourront être communiquées qu'avec le consentement des personnes concernées ou moyennant l'autorisation d'une Commission d'experts nommée par le Conseil fédéral. Celle-ci n'est cependant en droit d'octroyer une telle autorisation qu'à certaines conditions: la recherche ne peut être effectuée avec des données rendues anonymes et il est impossible ou particulièrement difficile pour le chercheur d'obtenir le consentement des intéressés; au demeurant, les intérêts de la recherche doivent primer les intérêts au maintien du secret. Cette réglementation, conçue pour l'essentiel comme un complément au code pénal, doit concilier deux intérêts divergents: la protection de la personnalité du patient d'une pan et l'intérêt public à une recherche médicale efficiente de l'autre. Notre projet prévoit également de réviser la procédure pénale fédérale et la loi sur l'entraide pénale internationale, en vue d'y consacrer certains principes du droit de la protection des données; ces principes régiront notamment l'enquête préliminaire et l'échange d'informations avec INTERPOL. En se dotant d'une législation sur la protection des données, la Suisse suit l'exemple de presque tous les Etats industrialisés. Signalons enfin que notre projet concrétise nombre de principes de protection des données consacrés par le droit international public. Panant, il contribue à favoriser les échanges internationaux d'informations. 423

Message I Partie générale II Nécessité d'une législation sur la protection des données III Remarques liminaires La collecte et le traitement des données mettent en jeu la personnalité des individus, suscitant des réactions plus ou moins variables en fonction de leur propre sensibilité: certains considèrent que les activités d'information favorisent la communication entre individus, d'autres par contre s'estiment lésés, voire entravés dans leurs facultés d'épanouissement. Le traitement de données personnelles peut porter préjudice aux personnes concernées de différentes manières. L'ignorance désécurise: s'il est inquiétant de ne pas savoir quelles données vous concernant sont traitées, il l'est encore plus de ne pas connaître quelle image votre entourage se fait de vous1)*). En outre, nombre de personnes s'offusquent de ce que l'on ose recueillir secrètement des informations sur leur compte2). Enfin, il est incontestable que les décisions prises sur la base d'informations inexactes, incomplètes ou périmées sont susceptibles de léser les personnes concernées ou, à tout le moins, de leur causer du tort3). Un individu peut pâtir sa vie durant de la réutilisation d'une information péjorative conservée indéfiniment. Mais ce ne sont pas là les seuls cas d'atteintes. Il y en a encore bien d'autres, à commencer par les traitements excessifs de données, l'étalage injustifié d'un passé compromettant4), ou encore, dans le cadre d'une relation contractuelle, la collecte de données relatives à son partenaire, mais absolument inutiles à la réalisation de l'affaire. Enfin, on ne saurait nier que les services administratifs, en accumulant et en échangeant sans limites des données personnelles, risquent de porter préjudice à la personnalité des administrés5). Finalement, personne n'apprécie l'usage de données dans un but autre que celui pour lequel elles ont été recueillies. Ainsi, par exemple, des informations sur les relations de travail ou sur des mesures sociales ne devraient pas être réutilisées hors de leur contexte. 112 Croissance des flux d'informations et développement des nouvelles technologies Depuis la deuxième guerre mondiale, non seulement on utilise toujours plus d'informations personnelles, mais encore leur traitement a revêtu de nouvelles formes. L'accroissement du nombre des transactions commerciales, l'apparition de nouvelles stratégies de vente et de nouvelle méthodes de gestion d'entreprise, l'extension et la diversification du crédit bancaire exige des quantités toujours plus importantes d'informations personnelles, lesquelles sont exploitées suivant des techniques toujours plus complexes. Le secteur public n'est pas demeuré en reste: la multiplication des tâches étatiques et les exigences plus grandes quant à la ') La note '' comme les autres notes figurent à la fin du message. 424

qualité des prestations ont conduit à une importante augmentation des traite- ments d'informations. L'avènement de la société d'information que nous connaissons aujourd'hui n'aurait pas été possible sans l'apparition de l'informatique et des nouvelles techniques de télécommunication. Les installations de traitements automatisés de données permettent en effet d'exploiter les informations avec une systématique et une efficacité inconnues jusqu'alors. A l'heure qu'il est, on est en mesure de collecter, de réunir, de traiter et de diffuser des informations presque sans aucune limite. La technologie moderne permet de connecter des fichiers entre eux, de les fractionner, de les exploiter et d'en transmettre le contenu à volonté. Ces possibilités de traitement devraient encore augmenter avec l'essort de la télé- matique, c'est-à-dire l'union du traitement automatisé des données et des tech- niques de télécommunication. Plus rien ne s'oppose à la création de réseaux locaux, régionaux et internationaux connectant des centres de calcul et des ensembles de données géographiquement éloignés. Les nouvelles technologies permettent d'exercer une surveillance plus étroite des personnes, notamment de leur comportement. Cette surveillance n'est pas seule- ment le fait d'enregistrements vidéo, mais aussi de moyens toujours plus sophisti- qués de contrôle automatisé de l'accès, du temps de présence, des performances et des communications. L'utilisation d'appareils électroniques, le franchissenemt d'enceintes de sécurité ou la lecture automatisée de cartes d'identité ou de crédit permettent de récolter toute une série d'informations. Il en va de même des systèmes de communication bidirectionnels et automatisés tel le Vidéotex. A la saisie traditionnelle au clavier se substitue de plus en plus la lecture optique d'images, de textes, voire d'autres signes, ou l'enregistrement de sons. Conséquences de cette évolution: les risques de porter atteinte à la personnalité se sont accrus. En particulier l'individu n'est souvent plus en mesure de déter- miner, même de manière approximative, quelles données le concernant sont traitées, par qui, où et quand. La maîtrise de ses propres données, il l'a perdue, et, avec elle, la faculté de choisir les personnes avec lesquelles il souhaite entrer en communication et ce qu'il entend leur faire savoir à son sujet. Plus grave, souvent il n'est plus à même de reconnaître les erreurs et les abus engendrés par les traitements d'informations, et d'en découvrir les responsables. Mais, le traitement automatisé des données revêt aussi du point de vue de la protection des données des aspects positifs. Il permet notamment de rendre anonymes les données personnelles à peu de frais. 113 Objectifs principaux de la loi sur la protection des données Le but d'une loi sur la protection des données n'est pas de stopper le développe- ment des technologies de l'information, ni même de limiter les possibilités qu'elles offrent. Ces technologies ont incontestablement fait leurs preuves; et ce, dans des domaines aussi divers que les sciences, l'économie ou l'administration. Les progrès dont on leur est redevable ne sauraient être remis en cause; bien au contraire, il faut qu'ils se poursuivent. Néanmoins, il est impératif de consacrer certains principes directeurs garantissant qu'aucun traitement de données inutile 425

ou indésirable ne vienne menacer l'épanouissement de la personnalité des individus. A moins que l'ordre juridique n'en dispose autrement, chacun doit pourvoir déterminer la valeur qu'il attache à ses propres données et l'utilisation qu'il souhaite qu'on en fasse. Chaque individu doit pouvoir déterminer librement le cercle des personnes avec qui il souhaite entrer en communication et sous quelle forme6'. Cela signifie, en premier lieu, que la vie privée et familiale doit être à l'abri des atteintes. Ainsi, seuls les particuliers ou les services publics qui font valoir un intérêt prépondérant devront être en droit de collecter des informations concer- nant la sphère privée d'une personne7'. En outre, les opinions religieuses, philosophiques et politiques, requièrent une protection spécifique, car elles relèvent des droits fondamentaux que sont la liberté de croyance et de conscience, la liberté d'opinion, le droit de vote et de pétition. Une loi sur la protection des données a aussi pour but d'empêcher que l'individu ne soit réduit à l'état de simple objet d'information: l'individu doit pouvoir déterminer l'image et les informations que son environnement aura de lui. Aussi peut-il revendiquer le droit de savoir qui détient des données à son sujet et dans quel but elles sont traitées. A défaut, il ne sera pas en mesure de se déterminer de manière adéquate au cours de ses activités privées ou professionnelles ou tout simplement en société. On lui accordera également le droit de faire corriger ou détruire des informations le concernant, ou d'exiger que celui qui traite ces informations les garde secrètes. 114 L'état du droit suisse 114.1 Le secteur privé A l'heure actuelle, la protection des données en droit privé se fonde sur les seuls principes de la protection générale de la personnalité, telle qu'elle est instituée par les articles 28 et suivants du code civil (CC). Aux termes de l'article 28, 1er alinéa, du code civil, entré en vigueur le 1er juillet 1985, «Celui qui subit une atteinte illicite dans sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe». La notion de personnalité doit être entendue dans un sens large, couvrant l'ensemble des valeurs physiques, psychiques, morales et sociales liées à l'existence de l'individu8'. Cette définition extensive laisse cependant une question fondamentale en suspens: dans quels cas y a-t-il effectivement une atteinte illicite à la personnalité? De surcroît, la loi ne donne aucune indication permettant de déterminer quels traitements de données sont licites. La jurisprudence, il est vrai, a posé quelques jalons et défini quelques critères. Ainsi, il y aura atteinte à la personnalité si le traitement d'informations vient à menacer la sphère privée ou intime9'. La sphère intime comprend tous les faits et les événements de la vie dont seule a connaissance la personne concernée ou des personnes jouissant de sa confiance. A la sphère privée appartiennent les autres faits de la vie privée qui ne doivent pas être portés à la connaissance d'un large public. Constituent également des violations de la personnalité les atteintes à l'honneur et à l'image sociale, ainsi que les traitements de données personnelles 426

inexactes, s'ils donnent une image fausse de la personne concernée10'. En résumé, la jurisprudence est d'avis qu'un traitement de données est illicite s'il, porte atteinte à un aspect de la vie de l'individu, à son indépendance morale ou à son crédit social. Autant dire qu'actuellement les traitements de données sont réglementés de matière très sommaire; désireuses de pourvoir à la protection des données par des normes plus précises, quelques organisations privées ont, de manière isolée, pris l'initiative d'édicter des règles dans ce domaine. Tour à tour, la Conférence des instituts suisses d'études de marché et d'opinion, en collaboration avec l'Associa- tion suisse des spécialistes en études de marché, l'Association d'agences de renseignements commerciaux en Suisse et l'Association suisse de vente par correspondance ont élaboré des règles déontologiques applicables aux traite- ments de données personnelles qu'ils effectuent. On ne manquera pas non plus de signaler les «Nouveaux principes à l'usage des médecins-conseil» et les «Règles fondamentales pour les médecins d'entreprise» adoptés par la Chambre médicale suisse en 1981. Mentionnons enfin deux textes importants définissant des prin- cipes destinés à assurer la protection des données: premièrement l'accord passé en 1983 entre l'Association patronale suisse des constructeurs de machines et industriels en métallurgie (AFM) et la Fédération des travailleurs de la métallur- gie et de l'horlogerie (FTMH), secondement la Convention modèle de 1984 de la Commission des employés de l'Union syndicale suisse intitulée «Nouvelles tech- niques et protection des données dans l'entreprise». 114.2 Le secteur public A l'instar des règles sur la protection de la personnalité consacrées par le droit civil, le droit constitutionnel offre également une certaine protection contre les traitements de données, illicites ou excessifs. Cette protection ne découle pas d'une disposition constitutionnelle topique, mais, d'une part, d'un droit constitu- tionnel non-écrit: la liberté personnelle, et, d'autre part, de l'article 8 de la Convention européenne des droits de l'homme (CEDH). Liberté cardinale, la liberté personnelle garantit non seulement «le droit d'aller et venir et le droit au respect de l'intégrité corporelle», mais aussi «toutes les libertés élémentaires ... dont l'exercice est indispensable à l'épanouissement de la personne humaine, notamment ... le droit d'apprécier une situation et de se déterminer en consé- quence»11). Aux termes de l'article 8 de la CEDH, «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance». De surcroît, le secret du vote et le droit de pétition imposent certaines limites au traitement des informations; il s'agit d'éviter que le nom des signataires d'initia- tives, de référendums ou de pétitions soit utilisé à des fins politiques ou policières12'. Relevons enfin que l'article 4 de la constitution (est.), revêt ici une signification nouvelle: il permet à la personne concernée d'être partie prenante au traitement de données13'. Afin de concrétiser ces principes, le Conseil fédéral a édicté le 16 mars 1981 des «Directives applicables au traitement de données personnelles dans l'administra- tion fédérale»14' et, ce, à titre provisoire, car les travaux préparatoires à la loi sur 427

la protection des données avaient déjà débuté. Ces directives posent les principes juridiques appelés à régir les traitements de données et font à l'administration fédérale obligation de renseigner les personnes concernées. Elles sont destinées à familiariser l'administration avec les impératifs de la protection des données et, par la même, à préparer le terrain à l'entrée en vigueur de la future loi. Parant au plus pressé, le Conseil fédéral a en outre soumis certains grands systèmes d'information de la Confédération à des règles de protection des données. Mentionnons, à titre d'exemple, l'ordonnance du 20 octobre 1982 sur le Registre central des étrangers (RS 142.215), l'ordonnance du 16 décembre 1985 sur le système de recherches informatisées de police (RIPOL; RS 172.213.61), l'ordon- nance du 29 octobre 1986 sur les contrôles militaires (PISA; RS 511.22), l'ordonnance du 27 septembre 1982 concernant les tests d'application d'un système d'information en matière de placement et de statistiques du marché du travail (RS 823.114), ainsi que plusieurs ordonnances régissant la statistique fédérale15'. Quelques cantons disposent déjà d'une législation sur la protection des données applicable au secteur public. Le pionnier fut assurément le canton de Genève qui s'est doté dès 1976 d'une «loi sur la protection des informations traitées auto- matiquement par ordinateur»; ce texte a fait l'objet d'une révision totale en 1981. D'autres cantons - Vaud, Neuchâtel, Valais, Berne, Jura, Tessin et Thurgovie - ont suivi l'exemple genevois. Les cantons de Baie-Ville, Baie-Campagne, Glaris, Lucerne, Saint-Gall, Soleure et Zurich, quant à eux, sont actuellement en train de préparer leur loi sur la protection des données. Ailleurs, on se contente provi- soirement d'ordonnances ou de simples directives. 114.3 Insuffisance du droit en vigueur Nous venons de le voir, notre ordre juridique renferme déjà certaines dispositions régissant le traitement d'informations. Toutefois, en dépit de quelques décisions judiciaires significatives, nous sommes dépourvus d'une protection efficace contre les atteintes causées par les traitements d'informations. Ni le droit privé, ni le droit public ne sont en mesure de prendre suffisamment en compte ce besoin de protection, besoin particulièrement aigu à l'heure de l'informatique. S'agissant de traitements relevant du droit privé, le caractère insuffisant du droit en vigueur tient avant tout au fait que les personnes concernées ne peuvent, la plupart du temps, déterminer quelles personnes traitent des données à leur sujet. Si elles y parviennent, il est loin d'être certain qu'elles puissent obtenir des renseignements sur les fichiers qui les concernent et les données qu'ils renfer- ment. De plus, elles sont difficilement en mesure d'identifier les risques qu'elles courent ou les atteintes qu'elles subissent. L'article 28 du code civil, de par sa formulation très générale, ne leur fournit en effet aucun critère permettant de déterminer si un traitement est licite ou illicite. En outre, la personne concernée éprouve souvent les pires difficultés à établir le lien de causalité adéquate entre un traitement d'informations et l'atteinte portée au droit de la personnalité. Dans ces conditions, on comprend que la personne concernée hésite le plus souvent à saisir la justice, car l'issue du procès est des plus aléatoires. 428

La jurisprudence relative aux droits fondamentaux n'affecte les traitements de données effectués par les organes étatiques que d'une façon limitée et ponc- tuelle16). De surcroît, les tâches de l'administration impliquant le traitement d'informations ne sont en général définies que de manière très fragmentaire. Certes, il ne manque pas de dispositions contraignant les administrés à fournir les informations aux autorités, réglant l'utilisation de données qu'elles détiennent ou encore leur imposant des obligations d'entraide. Cependant, ces dispositions répondent en général uniquement aux finalités propres de la loi qui les renfer- ment. Leur but premier n'est donc pas la protection des personnes concernées. Le devoir de discrétion imposé aux agents de la fonction publique fait certes obstacle, dans une certaine mesure, à la communication d'informations à des particuliers. Il ne réglemente néanmoins pas de façon adéquate l'entraide administrative ou judiciaire. En outre, aucune règle n'interdit à ce jour à l'administration publique d'utiliser des données à des fins autres que celles initialement prévues. Aucune règle non plus ne vient préciser dans quelle mesure une collecte de données est conforme aux impératifs de la protection des données. Font également défaut, mais en droit public cette fois, des procédures administratives ou judiciaires permettant aux administrés de s'informer sur les données les concernant, d'en contrôler leur utilisation ou leur communication et de se défendre contre les erreurs de traitement17'. 115 Différences dans la recherche médicale entre le droit en vigueur et la pratique 115.1 Protection des données et recherche médicale: des intérêts divergents Les informations sur l'état de santé, telles les données afférentes aux maladies ou aux infirmités graves, font partie de ces données très sensibles qui appartiennent par excellence à la sphère intime. On comprend dès lors que bien des personnes hésitent à donner à des tiers des informations sur leur santé. Elles craignent que leur situation sociale ou leur avenir professionnel n'en pâtisse. Il en va tout autrement dans une relation d'ordre médical. Convaincu que le rétablissement est à ce prix, le patient donne au personnel soignant foule d'informations intimes sur son état physique et psychique. Ces informations, il les communique sans hésitation aucune, pour autant qu'il ait confiance dans le personnel soignant, à commencer par son médecin. La pierre angulaire de cette relation de confiance est la conviction que la plus grande discrétion entourera les constatations faites en cours de traitement. Il n'y a là rien de nouveau. L'une des plus anciennes règles de protection des données vise justement le domaine de la santé; cette règle n'est autre que le secret professionnel du médecin consacré par le serment d'Hippocrate. Aujourd'hui, la plupart des pays sanctionnent pénalement la violation du secret médical. Il en est de même en Suisse: l'article 321 du code pénal (CP) punit, sur plainte, de la prison ou de l'amende le médecin, le dentiste, le pharmacien ou la sage-femme qui révèle un secret professionnel; quant à leurs auxiliaires, ils sont passibles de la même peine. Ces personnes ne peuvent être déliées du secret professionnel qu'avec le 429

consentement du patient ou l'autorisation de l'autorité supérieure ou de l'autorité de surveillance. La recherche médicale requiert par ailleurs quantité de données personnelles. Plus que tout autre secteur de la recherche scientifique, elle ne peut se passer d'informations permettant d'identifier les personnes concernées. Seules des données personnelles permettent, par exemple, de faire bénéficier immédiate- ment une personne en traitement des fruits d'une recherche, de reconnaître des enregistrements répétés de personnes, d'organiser des groupes de comparaison, d'entreprendre des examens de longue durée ou de poser des questions complé- mentaires. Cette activité de recherche médicale répond à un intérêt public et/ou privé important. La lutte contre les affections graves ou très répandues en dépend; en outre dans nombre de cas, la recherche médicale a grandement concouru au succès d'une thérapie ou de mesures prophylactiques. Dès lors, on ne saurait nier qu'elle est au service de la santé publique. 115.2 Réglementation insuffisante dans le code pénal Les dispositions pénales sur le secret professionnel (art. 321 CP) ne sont pas toujours scrupuleusement respectées dans la pratique. Elles ne tiennent en effet pas compte des récents développements de la recherche médicale. Selon le droit en vigueur, le chercheur doit obtenir le consentement des patients, directement ou par l'intermédiaire du médecin traitant, avant de consulter leurs dossiers médicaux 18\ Reste qu'il n'est pas toujours aisé d'obtenir cet accord: les patients concernés peuvent avoir disparu sans laisser de trace ou être décédés, voire simplement résider à de grandes distances les uns des autres. Que les données protégées par le secret professionnel soient communiquées à une personne elle aussi astreinte au secret professionnel ne change rien: même l'échange d'informations entre médecins constitue une violation du secret profes- sionnel. Il s'ensuit que le secret médical doit également être respecté au sein d'un seul et même hôpital; la communication d'informations sur le compte d'un patient aux différentes personnes participant à son traitement fait bien entendu excep- tion. Dans ce cas particulier, on admet que le patient a tacitement consenti à la levée du secret médical19). Si le patient doit dès le début de son hospitalisation compter sur le fait que son dossier médical parviendra, tout au long du traitement, à la connaissance de plusieurs personnes, il ne sera, généralement, pas à même de déterminer l'identité de tous ceux qui seront mis au courant. Eu égard à l'organisation et aux structures d'un établissement hospitalier, il se justifie en outre de tenir pour licite toute communication de données, relatives à des patients, au sein du personnel hospitalier relevant de la même direction thérapeu- tique - soit, le plus souvent, de la même division hospitalière. 116 La protection des données à l'étranger Dès la fin des années 60, les Etats industriels occidentaux se sont dotés de législations sur le traitement de données personnelles. La première loi sur la protection des données a vu le jour en 1970 dans le Land de Hesse. Caractéris- tique principale de ce texte: l'institution d'une instance de contrôle entièrement 430

indépendante de l'administration et responsable devant le seul Parlement. En 1973, c'était au tour de la Suède d'adopter une loi sur la protection des données, laquelle soumet à autorisation de l'«Inspectorat des données» la création et l'exploitation de fichiers électroniques de données personnelles. La République fédérale d'Allemagne devait adopter une loi sur la protection des données en 1977; les Länder lui emboîtèrent le pas et adoptèrent, dans leurs domaines de compétences, leurs propres lois. En 1978, le Parlement français votait la «Loi relative à l'informatique, aux fichiers et aux libertés». La même année, l'Autriche, la Norvège et le Danemark se dotaient également de lois sur la protection des données; ce dernier pays alla même jusqu'à édicter deux textes différents, l'un pour le secteur privé, l'autre pour le secteur public. Ces trois pays ne furent pas les derniers. Le Luxembourg suivait en 1979, l'Islande, Israël et la Hongrie - par voie de décret - en 1981, la Grande-Bretagne en 1984 et tout dernièrement, en 1987, la Finlande et l'Irlande. L'évolution législative outre-mer n'est pas non plus dénuée d'intérêt. En 1974, les Etats-Unis d'Amérique ont adopté une loi fédérale qui accorde aux personnes concernées un droit d'accès et limite clairement les possibilités de traitement de données effectués par l'administration. Cette loi, qui s'applique uniquement aux autorités fédérales, est complétée par des lois spéciales régissant la protection des données dans certains secteurs, notamment le crédit, l'éducation et la formation, les moyens électroniques de paiement et les systèmes de télécommunications. Les Etats fédérés ne sont pas demeurés en reste: s'inspirant parfois de lois-modèles, ils se sont dotés de leur propre réglementation, valable tant pour le secteur public que pour le secteur privé. Le Canada et l'Australie ont eu une évolution semblable. On relèvera enfin que dans ces deux pays, comme aux USA, l'Etat fédéral ne dispose que de compétences limitées de réglementer le secteur privé. Les législations américaine, canadienne et australienne ont une caractéristique commune: toutes trois ont cherché à concilier le droit de la personnalité et de la protection des données avec des dispositions sur la publicité de l'administration et sur l'accès aux informations détenues par les autorités. Cela dans le but de pondérer deux intérêts divergents: la nécessité du secret et les besoins de transparence. Au Canada, la loi de 1982 édictant la loi sur l'accès à l'information et la loi sur la protection des renseignements personnels atteignent cet objectif. 117 La protection internationale des données L'avènement de l'informatique et des réseaux modernes de télécommunications a non seulement permis de développer fortement les relations commerciales, mais encore de favoriser une coopération étroite des Etats et des organisations internationales. Les activités publiques ou privées dans lesquelles le traitement de données s'arrête aux frontières nationales ont tendance à diminuer. Fortes de ce constat, plusieurs organisations internationales se sont souciées de régler les flux transfrontières de données par des normes de droit international public20). La réglementation la plus étendue en la matière est le fait du Conseil de l'Europe. Ouverte à la signature des Etats-membres le 28 janvier 1981, sa «Convention n° 108 pour la protection des personnes à l'égard du traitement automatisé des 431

données à caractère personnel» a déjà été ratifiée par la République fédérale d'Allemagne, l'Autriche, la France, l'Espagne, la Grande-Bretagne, le Luxem- bourg, la Norvège et la Suède. Elle a en outre été signée par dix Etats. La Convention entend garantir les libertés fondamentales, notamment la vie privée des personnes physiques lors du traitement automatisé de données per- sonnelles. Les Etats contractants s'obligent à instituer dans leur droit interne les garanties minimales de protection des données énoncées aux articles 4 à 11. Il en résulte une harmonisation des diverses réglementations de protection des don- nées consacrées par les Etats cocontractants, laquelle facilite les flux trans- frontières d'informations (art. 12). Enfin, la Convention règle la coopération et l'entraide internationales entre les parties (art. 13 à 17). Relevons en outre que le Conseil de l'Europe a également élaboré plusieurs Recommandations appelées à régir la protection des données dans certains domaines particuliers, à savoir les banques de données médicales automatisées, la recherche et la statistique, le marketing direct, la sécurité sociale et la police. Pour sa part, l'Organisation de Coopération et de Développement Economique (OCDE) a édicté des «Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel. Ce texte, accompagné d'une Recommandation, a été transmis le 23 septembre 1980 aux gouvernements des pays membres; tous l'ont accepté. Les lignes directrices posent les principes généraux applicables aux flux internationaux de données et à la protection des données; en particulier, elles recommandent aux Etats-membres de collaborer lors de l'échange international de données. Signalons enfin que ces lignes directrices revêtent une signification particulière: d'une part elles ont été approu- vées par les Etats-Unis, le Canada, le Japon et l'Australie, d'autre part, un grand nombre d'entreprises multinationales se sont engagées publiquement à les appli- quer. 12 Les impératifs d'ordre constitutionnel La constitution ne contient aucune disposition expresse qui habilite la Confédéra- tion à légiférer en matière de protection des données. Certes, la protection des données vient concrétiser de manière substantielle les droits fondamentaux traditionnels et renforcer leur impact; la doctrine dominante souligne toutefois que ceux-ci ne sont pas à eux seuls attributifs de compétences. Cela dit, la Confédération peut adopter des dispositions de protection des données sur la base de certaines compétences législatives dont elle dispose déjà. 121 Le droit privé L'article 64 est. autorise la Confédération à légiférer en matière de droit privé. Se fondant sur cette disposition, le législateur fédéral peut étendre et renforcer la protection de la personnalité qui n'est actuellement consacrée que de manière générale par des dispositions de droit privé régissant spécifiquement la protection des données. De surcroît, il peut également prévoir des dispositions qui, bien qu'elles revêtent un caractère de droit public, - par exemple l'obligation de déclarer 432

certains fichiers - sont nécessaires à l'exécution et à l'application uniforme du droit civil fédéral, ou encore permettent d'éviter des conflits de lois21'. En outre, sur la base de l'article 31bis, 2e alinéa, est., la Confédération peut édicter des «prescriptions... sur l'exercice du commerce et de l'industrie». Cette disposition permet de restreindre les activités lucratives des particuliers par des mesures de police économique destinées à assurer la loyauté en affaires. Cette exigence de loyauté vaut également pour les traitements de données effectués en relation avec une activité économique, peu importe que le traitement constitue en soi cette activité économique - comme c'est le cas des centres de calcul - ou qu'il ne soit qu'un moyen à son service. Par contre, l'article 31bis, 2e alinéa, est., n'est pas une base constitutionnelle adéquate permettant de réglementer les traitements de données effectués soit pour un usage exclusivement personnel, soit à des fins scientifiques ou idéales. D'autres dispositions constitutionnelles viennent compléter ces deux normes fondamentales en habilitant la Confédération à légiférer sur la protection des données dans des domaines spécifiques. Ainsi, l'article 34ter, 1er alinéa, est., permet de réglementer les systèmes d'informations relatifs au personnel en vue de protéger les travailleurs. De plus l'article 3l ; à ces mesures s'ajouteront d'autres mesures d'identification au fur et à mesure des progrès enregistrés dans le domaine de la police scientifique. On songera tout parti- culièrement aux nouvelles techniques de comparaison de la voix ou des cheveux. Le nouvel article 73quater, qui s'inscrit dans la ligne de l'article 30, 4e alinéa, lettre c, LPD, fournit la base légale nécessaire à la mise en oeuvre de ces moyens d'investigation de première importance 63\ Peuvent être soumis à des mesures d'identification, premièrement un inculpé, si l'administration des preuves l'exige (let. a), secondement, toute autre personne, s'il se révèle nécessaire de déterminer l'origine de traces (let. b). Les empreintes des personnes acquittées et celles prises sur d'autres personnes pour constater leur droit à accéder au lieu du délit sont détruites conformément aux dispositions pertinentes de l'ordonnance sur le service d'identification. Quant aux autres pièces, elles seront à leur tour détruites passé un certain délai64'. Il n'y a pas lieu de réglementer spécifiquement l'obtention, aux fins de comparaison, de spécimens d'écriture ou de la voix; en effet, l'article 102 de la loi fédérale sur la procédure pénale fournit à cet égard une base légale suffisante, du moment qu'il est, en pratique, difficilement possible de contraindre une personne à fournir ces spécimens contre sa volonté. 508

Article 101bis Seul un juge d'instruction peut procéder à une audition de témoins au sens strict. Cela dit, la police judiciaire peut, lors des recherches préliminaires, entendre des tiers à titre de renseignement65', pour autant que ceux-ci ne puissent pas se prévaloir du droit de refuser le témoignage. L'article 101bls, qui est calqué sur l'article 40 de la loi sur le droit pénal administratif (RS 313.10), ne fait que consacrer cette pratique dans la loi. Il est ainsi expressément dit que la police judiciaire est tenue d'aviser toute personne en droit de refuser son témoignage lors de l'instruction préparatoire qu'elle n'est pas obligée non plus de répondre lors de la procédure des recherches préliminaires. Article 102bis A l'instar de la loi sur la protection des données, le 1er alinéa accorde à tout-un-chacun le droit d'accéder aux données que la police judiciaire a recueillies sur son compte; la requête doit être adressée à celui qui dirige les recherches de la police judiciaire, le procureur général de la Confédération. Suivant le 2e alinéa, les renseignements demandés peuvent être restreints ou refusés si leur octroi compromet les recherches (let. a), si des intérêts publics prépondérants, en particulier la sûreté intérieure ou extérieure de la Confédéra- tion l'exigent (let. b), ou si des intérêts prépondérants de tiers l'exigent (let. c). Les restrictions au droit d'accès sont en conséquence presque les mêmes que celles prévues par l'article 6 de la loi sur la protection des données. Il importe en effet qu'un délinquant ne tire pas parti de son droit d'accès pour savoir si la police est sur ses traces. Même dans le domaine des recherches de la police judiciaire, le requérant qui s'est vu refuser ou restreindre l'accès n'est pas dépourvu de moyens juridiques: il peut saisir le préposé fédéral à la protection des données (cf. nos remarques concernant l'art. 102ter): Le 3e alinéa concrétise une exigence de la protection des données: la personne concernée a droit à ce qu'aucune donnée inexacte ne soit traitée à son sujet. Reste que la portée du qualificatif «inexact» doit être relativisée: il n'y a pas lieu de procéder à la rectification ou à la destruction d'une donnée dont l'exactitude n'a pas été formellement établie. Toutes les informations qui sont recueillies au stade de l'enquête préliminaire, le sont en vue de leur appréciation future par un juge, lequel sera appelé à déterminer ce qui est «vrai» et ce qui est «faux». Il s'ensuit qu'il n'est pas toujours possible, au stade de l'enquête préliminaire déjà, de procéder à une rectification au sens du droit de la protection des données. En revanche, le 3e alinéa impose la rectification de données qui sont traitées comme si leur exactitude avait été prouvée, alors même que la preuve n'a pas encore été fournie. Relevons enfin que dans la pratique on ne doit pas se montrer trop sévère quant à l'appréciation de l'intérêt légitime du requérant. Reste que ce dernier doit pour le moins rendre vraisemblable un intérêt propre. Au demeurant il va de soi que l'office qui s'apercevrait que des données sont erronées devrait de lui-même procéder à leur rectification ou à leur destruction. Suivant le 4e alinéa, il appartient à la police judiciaire d'apporter la preuve de l'exactitude d'une donnée; la personne concernée a en effet rarement les moyens de prouver elle-même l'inexactitude de l'information. Il peut cependant arriver 509

que ni l'exactitude de la donnée ne puisse être prouvée; dans ce cas, il pourra être fait mention au dossier du caractère litigieux de la donnée. Cette solution, que connaissent déjà les lois sur les données de police des cantons de Vaud et du Valais, est conforme aux principes généraux de la procédure pénale. Article 102'" Si le procureur général refuse ou restreint l'accès, le requérant peut, en vertu du 1er alinéa, porter l'affaire devant le préposé fédéral à la protection des données. Celui-ci peut s'informer auprès du procureur général. Aux termes du 2e alinéa le préposé peut recommander au procureur général de reconsidérer sa décision, s'il ne parvient pas aux mêmes conclusions que lui. Le 3e alinéa vise l'hypothèse où le procureur général n'est pas d'accord avec la recommandation; dans ce cas, le préposé ou le procureur peuvent saisir la Chambre d'accusation du Tribunal fédéral. Cette voie n'est pas nouvelle: le Tribunal fédéral dispose déjà de certaines attributions dans le domaine de l'enquête préliminaire (détention, surveillance officielle, levée des scellés); de surcroît, la présente révision de la loi fédérale sur la procédure pénale entend lui octroyer plus de compétences dans ce domaine. Il y a lieu de relever que, afin de ne pas compromettre l'enquête, la personne concernée n'est pas partie à la procédure. Si nécessaire, la Chambre d'accusation peut consulter le dossier de la police judiciaire. Article 102iuater Les données de police sont pour la plupart des informations hautement sensibles; il importe dès lors d'en limiter la communication au strict nécessaire. A cet effet, le 1er alinéa dresse, sur le modèle de plusieurs réglementations cantonales, la liste des autorités auxquelles des données recueillies par la police judiciaire peuvent être communiquées. Quant au 2e alinéa, il réserve les autres dispositions en matière d'entraide judiciaire. Sont en particulier visés par cette disposition, les articles 352 et suivants du code pénal - qui définissent la procédure d'entraide judiciaire -, et les articles 19 et 30 de la loi fédérale sur le droit pénal administratif - qui obligent les autorités à dénoncer les infractions et à fournir l'entraide judiciaire. Enfin, l'entraide judiciaire en faveur des autorités judiciaires militaires est réglée par les articles 18 et suivants de la procédure pénale militaire (RS 322.1). Article 105bis A l'heure actuelle, seules quelques-unes des mesures de contrainte que le procureur général peut ordonner sont soumises au contrôle de la Chambre d'accusation; il s'agit du rejet d'une demande de mise en liberté (art. 52 PPF), de la surveillance de la correspondance postale, téléphonique et télégraphique (art. 66bis PPF) et de la perquisition de papiers (art. 69,3e al., PPF). Les autres mesures de contrainte envisageables, tels le séquestre et la perquisition domiciliaire, échappent au contrôle direct des juges fédéraux. A l'instar de la loi fédérale sur le droit pénal administratif (c. art. 26,1er al., DPA; RS 313.0), le 1er alinéa accorde à la personne concernée le droit de recourir devant la Chambre d'accusation du Tribunal fédéral contre une mesure de contrainte, notamment l'arrestation, 510

l'arrestation provisoire, le séquestre, l'examen médical, la fouille et la confisca- tion. Cela ne signifie cependant pas que la Chambre d'accusation doit substituer son appréciation à celle du juge d'instruction, ni qu'elle doit contrôler l'opportuni- té de chaque mesure d'instruction. Il n'y a pas lieu de modifier la pratique de la Chambre d'accusation66' à cet égard. Quant aux opérations de la police judiciaire qui portent une atteinte moindre au droit de la personnalité, elles peuvent faire l'objet d'une dénonciation à l'autorité de surveillance, en l'occurrence le Département fédéral de justice et police (cf. art. 17, 1er al, PPF). Article I07b(s Suivant le 1" alinéa le Ministère public de la Confédération doit détruire ou archiver les pièces à l'issue de la procédure fédérale ou cantonale. Ce principe doit toutefois être tempéré s'agissant des recherches préliminaires de la police judiciaire. Souvent, les actes doivent être conservés en vue d'une éventuelle demande de révision ou d'une action en dommages-intérêts67'. On relèvera également que les documents peuvent être nécessaires pour établir des statis- tiques. Il importe en outre de pouvoir conserver, traiter et dépouiller sur une longue période les informations recueillies à l'occasion d'opérations de renseigne- ment à long terme ou dans le cadre de la lutte contre le terrorisme; une partie de ces informations sont en effet obtenues lors de recherches préliminaires au sens de la procédure pénale fédérale. La destruction prématurée de ces informations pourrait compromettre la sûreté intérieure ou extérieure de la Confédération. Les prescriptions sur la conservation des documents sont dès lors réservées. Ainsi, le procureur général doit prendre sous sa garde le dossier de l'instruction suspendue (art. 124 EPF). C'est pourquoi le 1er alinéa prévoit, pour tous ces cas, la possibilité de verser les dossiers pertinents aux archives. Les dispositions régissant les archives fédérales pourront en outre prévoir une obligation de déposer ces dossiers aux Archives fédérales. Le 2e alinéa restreint les possibilités d'avoir recours aux pièces archivées: celles-ci ne peuvent être utilisées que dans le cadre d'une autre procédure ou pour des traitements ne se rapportant pas à des personnes, par exemple pour l'établisse- ment de statistiques. Suivant le 3e alinéa, il appartient au Conseil fédéral de préciser les modalités de l'archivage par la voie réglementaire. A cette occasion, il réglera notamment l'organisation de l'archivage. 222.6 Modification de la loi fédérale sur l'entraide internationale en matière pénale 222.61 L'organisation internationale de police criminelle INTERPOL La présente révision a pour objet de réglementer la coopération entre l'organisa- tion internationale de police criminelle (INTERPOL) et notre pays. Il importe en effet de canaliser un flux tranfrontière d'informations policières dont le volume est toujours plus considérable: plus d'une centaine de milliers de ces informations ont transité en 1986 par le Bureau central suisse, l'organe du Ministère public 511

chargé d'assurer la liaison entre les services de police suisses et étrangers. Il est donc nécessaire de fixer dans la loi sur l'entraide judiciaire le cadre juridique de la coopération avec INTERPOL (compétences et attributions des services fédéraux concernés), et ce, tout en respectant les exigences actuelles de la protection des données. L'accomplissement des tâches et l'efficacité d'INTERPOL n'en souffri- ront aucunement. Fondé en 1923, INTERPOL regroupe les polices criminelles de 146 Etats. La Suisse est membre de l'organisation depuis ses débuts. Aux termes de ses statuts, INTERPOL a pour but d'assurer et de développer, dans les limites des accords internationaux et des lois nationales, l'assistance réciproque la plus large possible entre les autorités de police criminelle et, partant, de contribuer efficacement à la prévention et à la répression des infractions. L'activité d'INTERPOL est avant tout axée sur l'échange d'informations poli- cières entre les différents pays membres (mandats d'arrêts internationaux, avis de recherche, demandes de mise sous surveillance, demandes d'identification, etc.). Ces échanges s'effectuent par l'intermédiaire d'organes de liaison, les Bureaux centraux nationaux. Ceux-ci servent de plaque tournante entre d'une part les différentes autorités de police de chaque pays, d'autre part le Secrétariat général de l'organisation ou les Bureaux centraux nationaux des autres pays membres. La plupart des informations policières entre Bureaux centraux nationaux transitent par le Secrétariat général; les communications directes entre Bureaux centraux nationaux sont toutefois fréquentes. Alors que le premier cas est régi par le «Règlement de 1984 sur le traitement et la communication d'informations dans le cadre d'INTERPOL» (ci-après règlement 84), le second ne fait l'objet d'aucune réglementation de protection des données; toutefois un règlement pertinent est en préparation (cf. art. 11, règlement 84; annexe 2 de l'ordonnance du 1er dé- cembre 1986 concernant le Bureau central national INTERPOL Suisse, OBCN; RS 172.213.56). 222.62 Une réglementation nécessaire Les échanges internationaux d'informations policières sont aujourd'hui régis par les statuts d'INTERPOL, encore que ceux-ci réservent expressément le droit national des Etats membres. Aucun Bureau central national n'est tenu de transmettre une information si le droit national s'y oppose. Du fait de l'ordon- nance du 1er décembre 1986 concernant le Bureau central national INTERPOL Suisse, les statuts d'INTERPOL font partie intégrante de notre ordre juridique; cela dit, on doit convenir que cette ordonnance ne dispose pas d'une base légale suffisante. La modification qui vous est soumise tend à consolider l'assise juridique néces- saire à la coopération avec INTERPOL. Il s'agit en premier lieu de déterminer à quelles conditions des informations de police peuvent être communiquées en vue de prévenir des infractions. La loi fédérale sur l'entraide internationale en matière pénale (EIMP; RS 351.1) ne s'applique qu'à lu poursuite des infractions pénales; en conséquence, les principes qu'elle renferme, dont certains relèvent partielle- ment de la protection des données (p. ex. l'interdiction de l'entraide en cas de 512

poursuites en raison d'opinions politiques, de la race, de la religion ou de la nationalité, art. 2 EIMP), ne s'appliquent pas à la prévention des infractions. Puisque le règlement INTERPOL concernant l'échange direct d'informations entre Bureaux centraux nationaux n'est qu'en préparation, il importe de créer le cadre normatif régissant les échanges de données entre le Ministère public de la Confédération, dans sa fonction de Bureau central national, et les Bureaux centraux nationaux des pays étrangers. Les modifications que nous proposons prennent en compte la spécificité des échanges d'informations de police. Des données ne pourront être transmises en vue de prévenir des infractions que si, au vu des circonstances réelles, la commission d'un crime ou d'un délit est très probable. De surcroît, les principes généraux en matière d'entraide judiciaire consacrés par la EIMP deviennent applicables à ce type de communication. Il est en outre prévu que les échanges directs d'informa- tions entre Bureaux centraux nationaux devront se conformer au règlement INTERPOL de 1984 comme à tout autre réglementation future émanant de cette organisation. Ainsi, le droit suisse aussi garantira certains principes de protection des données lors des échanges d'informations dans le cadre d'INTERPOL. 222.63 Emplacement des dispositions proposées Les échanges internationaux d'informations de police criminelle relèvent en fait et en droit du domaine de l'entraide judiciaire et administrative en matière pénale. Dès lors, le siège des dispositions que nous proposons est la EIMP et non le code pénal. Les dispositions sur la coopération avec INTERPOL formeront une nouvelle section de l'EIMP. Il sera ainsi clairement établi que ces normes ne visent que la transmission d'informations de police et non les communications de données effectuées dans le cadre d'une procédure d'entraide judiciaire; et même si ces communications empruntent les canaux d'INTERPOL et partant transitent par les Bureaux centraux nationaux (cf. art. 29, 2e al., EIMP). Relevons enfin que la loi sur la protection des données n'est pas applicable aux demandes d'entraide judiciaire (cf. art. 2, 2e al., let. f, LPD), car ces demandes sont soumises à des règles de procédure sévères assurant une protection juridique étoffée. 222.64 Commentaire des diverses dispositions Article 81a Compétences Aux termes de l'article 32 des statuts d'INTERPOL, chaque pays doit désigner un Bureau central national. Cet organisme public a la tâche d'assurer la liaison entre ses propres autorités de poursuite pénale d'une part, et les Bureaux centraux nationaux d'autres Etats et le secrétariat général d'INTERPOL d'autre part. Le nouvel article 81a répond à cette injonction en désignant, comme le faisait déjà l'article 1er de l'ordonnance concernant le Bureau central national INTERPOL Suisse, le Ministère public de la Confédération en tant que Bureau central national. 513

Article 81b Attributions Cette disposition détermine à quelle fin et dans quelle mesure le Ministère public peut coopérer avec le Secrétariat général d'INTERPOL et les Etats membres. Suivant le 1er alinéa, il peut être procédé à des échanges d'informations aux fins de poursuivre les infractions ou d'assurer l'exécution de peines et de mesures. Le 2e alinéa n'autorise la transmission d'informations en vue de prévenir des infrac- tions que si, au vu des circonstances réelles, la commission d'un crime ou d'un délit est très probable. Le 3e alinéa souligne que le Ministère public de la Confédéra- tion peut communiquer des informations par le canal d'INTERPOL en vue de rechercher des personnes disparues ou d'identifier des inconnus. Font partie de cette catégorie d'informations non criminelles en particulier les appels urgents destinés à la centrale d'alarme du Touring Club Suisse. Le 4e alinéa autorise le Ministère public de la Confédération à transmettre des informations à des parti- culiers en vue de prévenir ou d'élucider des infractions. Il importe en effet de pouvoir communiquer des informations relatives à des objets volés, des chèques et des cartes de crédit falsifiés, etc. Dans ses attributions de Bureau central national, le Ministère public doit se limiter à la communication de données; ce que souligne le recours au verbe «transmettre». Dans cette perspective, il lui appartient de contrôler dans tous les cas la licéité d'une demande ou d'une communication de renseignements. En revanche, le Bureau central national n'est pas en droit d'exploiter les données qui transitent par ses services pour mener ses propres recherches. Article Sic Protection des données Cette disposition régit la protection des données dans le cadre de la collaboration avec INTERPOL. Elle institue deux régimes différents suivant que l'échange de données porte sur des informations de police criminelle ou sur des informations destinées à des tâches administratives. Dans le premier cas, ce sont les principes généraux de la EIMP, de même que les statuts et règlement d'INTERPOL qui sont applicables; dans le second cas, la loi sur la protection des données. Solution logique, car, dans cette seconde éventualité, on a très souvent plus à faire à des données relevant d'une procédure juridictionnelle, et partant exceptée du champ d'application de la LPD (cf. art. 2, 2e al., let. f, LPD). Le 1er alinéa souligne que les statuts et règlements d'INTERPOL ne sont applicables dans notre pays que si le Conseil fédéral les a expressément déclarés comme tels. Les règlements d'INTERPOL ne sont en effet pas des traités internationaux, mais de simples accords entre organes de police des différents Etats du globe. Ce faisant, ces règlements n'ont pas à être approuvés par le Conseil fédéral et par l'Assemblée fédérale. Vu leur grande importance maté- rielle, il importe cependant que le Conseil fédéral se prononce expressément sur leur applicabilité dans notre pays. Le cas échéant, ils seront publiés dans le recueil officiel des lois fédérales et, partant, acquerront force obligatoire. On entend également par échanges d'informations de police criminelle les échanges d'informa- tions sans rapport avec une demande d'extradition formelle. Les principes généraux de la loi sur l'entraide judiciaire seront désormais aussi applicables à ce genre de flux de données. Cependant, le préposé fédéral à la protection des données ne peut contrôler la conformité des échanges d'informations avec les 514

principes de l'EIMP et des dispositions de protection des données des règlements INTERPOL que dans la mesure où l'article 26, 2e alinéa, LPD le lui permet; autrement dit, si le Ministère public de la Confédération y a consenti. Si le préposé constate des manquements, il peut en informer le procureur général et lui faire des propositions quant aux moyens susceptibles d'y remédier. Après en avoir délibéré avec le procureur général, il lui est loisible d'en faire mention dans son rapport d'activités aux Chambres fédérales et au Conseil fédéral. En revanche, il n'est pas en droit, en cas de désaccord avec le procureur général, de porter l'affaire devant la Commission fédérale de la protection des données; en effet, les échanges d'informations de police ne souffrent en général aucun retard. Le 2e alinéa constitue la base légale nécessaire aux échanges d'informations de nature administrative. Ceux-ci sont soumis à la loi sur la protection des données, et ce contrairement aux échanges d'informations de nature de pure police criminelle. Il s'ensuit que le préposé fédéral à la protection des données peut exercer pleinement ses attributions; il lui est en particulier possible de saisir la Commission fédérale de la protection des données en cas de traitements litigieux. Le 3e alinéa régit les échanges directs d'informations avec les Bureaux centraux nationaux étrangers. Ces échanges doivent également respecter les principes généraux de l'EIMP dont il a été fait mention précédemment. En outre, ils ne sont licites que si les Etats destinataires offrent une protection juridique des données couvrant les informations obtenues directement d'un autre Bureau central natio- nal, et non par le canal de la centrale INTERPOL. La protection offerte doit être au moins équivalente à celle qui est accordée aux échanges d'informations qui transitent par la central INTERPOL. Cela signifie que l'Etat destinataire doit non seulement veiller à la constante exactitude et actualité des données obtenues, mais encore mettre la personne concernée à même de faire détruire ou corriger les données inexactes. Il se peut que le règlement d'INTERPOL concernant les échanges directs entre Bureaux centraux nationaux ait été adopté avant l'entrée en vigueur de l'article Sic. L'échange direct d'informations avec tous les Etats qui seront soumis à ce règlement sera licite. Article 81d Aides financières et indemnités Cette disposition crée une base légale expresse pour l'octroi de contributions financières à INTERPOL. 3 Conséquences financières et effets sur l'état du personnel 31 Conséquences pour la Confédération D'un côté, la mise en œuvre de la loi sur la protection des données occasionnera certains frais, de l'autre elle aura cependant des conséquences financières positives. Dans un cas comme dans l'autre, il n'est pas possible de chiffrer les effets. On ne saurait toutefois nier que, par suite de la législation sur la protection des données, les organes chargés de traiter des données devront supporter des frais supplémentaires, et ce, en raison surtout de l'obligation de contrôler les traitements de façon plus stricte, de prendre des mesures de sécurité plus sévères, d'octroyer des renseignements aux personnes enregistrées et de modifier les 515

applications informatiques qui ne sont pas conformes aux exigences légales. Dans certains cas, il faudra peut-être aussi accroître l'effectif d'un service. Cela dit, il est incontestable que la nouvelle loi aura pour effet de rendre les activités ad- ministratives plus transparentes, d'améloirer la qualité des données et de ren- forcer la confiance des administrés dans les systèmes d'informations de la Confédération; ce qui aura nécessairement des conséquences financières posi- tives. La mise sur pied d'organes de contrôle n'ira pas non plus sans conséquences financières. A cet égard, il y a lieu de mentionner les salaires qui devront être versés au préposé fédéral à la protection des données et à ses collaborateurs. Soulignons toutefois que le secrétariat du préposé ne devrait occasionner que peu de frais supplémentaires; en effet, il appartiendra à l'actuel service de la protection des données de l'Office fédéral de la justice de s'acquitter de cette nouvelle tâche, à condition qu'il soit quelque peu étoffé. Ce service, qui a été créé en vertu des directives du Conseil fédéral du 16 mars 1981 concernant la protection des données, emploie actuellement cinq collaborateurs, sans compter les secrétaires. Le service de la protection des données est occupé pour moitié principalement à des tâches législatives. Même si celles-ci viendront à diminuer sensiblement, le secrétariat du préposé devra au moins employer une dizaine de personnes; en effet, la loi prévoit l'enregistrement de certains fichiers privés, de même que des contrôles dans le secteur privé comme dans le secteur public. Le coût d'une unité administrative de dix personnes se monte à quelque 850 000 francs par année. Relevons que les membres de la Commission fédérale de la protection des données et ceux de la commission d'experts en matière de recherche médicale seront indemnisés suivant le tarif applicable aux commissions de recours, à quoi s'ajoutera les frais d'exploitation du secrétariat de chaque commission. Trois postes supplémentaires seront vraisemblablement nécessaires pour les secrétariats des commissions: deux pour le secrétariat de la Commission de la protection des données et un pour celui de la Commission du secret professionnel en matière de recherche médicale. Il est impossible de chiffrer exactement le coût annuel total du fonctionnement des deux commissions; il dépend en effet du nombre des affaires que chaque commission sera appelée à traiter. On peut tout au plus mentionner que les frais d'une procédure devant une commission de recours composée de juges occasionnels s'élève à 1500 francs au moins. Quant aux coûts d'une autorisation levant le secret professionnel à des fins de recherche médicale, ils seront certainement inférieurs à cette somme. 32 Conséquences pour les particuliers II est incontestable que, du fait de la mise en œuvre de la présente loi, les personnes qui traitent des données à titre privé devront supporter certains frais. Ceux-ci seront occasionnés en majeure partie par l'annonce des fichiers aux fins d'enregistrement, par la déclaration des communications de données à l'étranger et par l'octroi de renseignements aux personnes concernées. Reste que les entreprises bien organisées n'auront guère de difficultés à s'acquitter de ces obligations. Au demeurant, il ne faut pas surestimer le montant de ces frais, en particulier de ceux relatifs au droit d'accès. Comme l'ont démontré les expé- riences faites à l'étranger, les dépenses occasionnées par l'exercice du droit 516

d'accès sont nullement disproportionnées: non seulement le droit d'accès est une institution relativement peu utilisée, mais encore l'octroi des renseignements est grandement facilité par les techniques informatiques. 4 Programme de la législature Le projet de loi sur la protection des données a été annoncé dans le programme de la législature 1987-1991 (FF 1988 I 420, en. 2.17). 5 Constitutionnalié Le fondement constitutionnel de la présente loi a fait l'objet d'un commentaire détaillé aux chiffres 12 et 222.41. Nous vous y renvoyons. 6 Délégation de compétence Les articles 5,5e alinéa, 7,4e alinéa, 8,2e alinéa, 13,2e alinéa, 21,1er alinéa, et 30, 2e à 6e alinéas, prévoient des délégations de compétence législative en faveur du Conseil fédéral, qui sortent de l'habituel pouvoir réglementaire de celui-ci. Le développement rapide de l'informatique peut en effet requérir, pour certains types de traitement, la mise en place d'autres réglementations exécutant les dispositions de la loi ou y dérogeant. La plupart des règles nouvelles seront cependant des règles techniques ou administratives. Vous trouverez des explica- tions plus détaillées à ce sujet dans le commentaire des articles correspondants. 7 Relation avec le droit européen Le présent projet prend déjà en considération, autant pour le secteur privé que pour le secteur public, les exigences posées par la Convention n° 108 du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Toutefois, pour que notre pays puisse adhérer à cette Convention, il faudrait encore que les cantons soumettent leur secteur public à une loi sur la protection des données. Aussi longtemps que tous les cantons ne rempliront pas les exigences minimales posées par la Convention, la Suisse ne pourra adhérer à celle-ci68'. 32077 35 Feuille fédérale. 140e année. Vol. II 517

Notes " Cf. jugement du Tribunal constitutionnel ouest-allemand du 15 décembre 1983 (Zenzus- Urteil), BVerfGE 65, 43. 2> Œ ATF 44 II 319 ss; cf. aussi ATF 107 la 148 ss, ATF 109 la 273 ss.

3) a. ATF 106 la 33 ss. 4> Cf. ATF 107 la 52 ss; cf. aussi ATF 108 IV 158 ss. 5> Cf. p. ex. JAAC 48/111984, numéro 21, p. 143 ss, numéro 26, p. 157 ss. « Œ BVerfGE 65, 43 (voir note 1). 7> a. ATF 97 II 97 ss. 8> Message du Conseil fédéral du 5 mai 1982 concernant la révision du code civil suisse, FF 1982 II 661 ss, 682. ') ATF 97 II 97 ss; cf. également ATF 109 II 353 ss; 62 II 101, 44 II 319. "» Cf. ATF 107 II 6, 111II 209 ss; cf. aussi ATF 84 II 573. ") ATF 106 la 280; cf. aussi ATF 109 la 279 avec les références citées. 12> O. JAAC 48/11 1984, numéro 25, p. 155 ss; ATF 98 Ib 297. 13> a. ATF 113 la 10,101 la 18,109 la 296 ss.

14) FF 19811 1314,1983 II 1212,1986 III1007.

15) Cf. p. ex. ordonnance du 20 novembre 1985 sur les enquêtes par sondage auprès de la population (microrecensement), RS 431.116; ordonnance du 8 juillet 1981 sur les relevés à titre d'esssai destinés à une statistique pénitentiaire, RS 431341; ordonnance du DFI du 1er mars 1984 sur les statistiques de l'assurance-accidents, RS 431.835; ordonnance du 18 avril 1984 sur la tenue d'un registre des entreprises et établissements, RS 431.903. 16> Cf. p. ex. Jörg Paul Müller/Stefan Müller, Grundrechte, partie spéciale, Berne 1985, p. 25; Charles-Albert Morand, Problèmes constitutionnels relatifs à la protection de la personna- lité à l'égard des banques de données électroniques, dans: Informatique et protection de la personnalité, Fribourg 1981, p. 15 ss. 17> a. toutefois ATF 110 la 83 ss; 95 I 103 ss. 18> Cf. Jürg Boll, Die Entbindung vom Arzt- und Anwaltsgeheimnis, thèse, Zurich 1983, p. 3; René Russek, Das ärztliche Berufsgeheimnis, thèse, Zurich 1954, p. 42. "' Cf. Peter Schäfer, Ärztliche Schweigepflicht und Elektronische Datenverarbeitung, thèse, Zurich 1978, p. 29. 2°) Pour ce qui suit, cf. particulièrement: Conseil de l'Europe, rapport explicatif concernant la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Strasbourg 1981; Organisation de Coopération et de Développement Economique (OCDE), Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel, exposé des motifs, Paris 1980. 21> Cf. Hans Huber, Berner Kommentar, T. I, >;'iméros 105 ss relatifs à l'article 5 CC, p. 514 ss; Raymond Didisheim, La notion du droit civil fédéral, contribution à l'étude de l'article 64 de la constitution, thèse Lausanne 1973, p. 200 ss. 22> BÖ N 1972 II p. 2127 ss. M) BÖ N 1972 II p. 2128. 24> Cf. p. ex. les lois sur la protection des données aux Etats-Unis, au Canada, en Israël, en Norvège, en République fédérale d'Allemagne et (dans une certaine mesure) en France. 251 Pour la protection de la sphère privée cf. ATF 97 II100; Jean-Nicolas Druey, Geheimss- phäre des Unternehmens, Baie et Stuttgart 1977, p. 163/164; Pierre Tercier, Le nouveau droit de la personnalité, Zurich 1984, p. 75 ss. Il faut encore rappeler la protection pénale, notamment celle de l'article 162 (violation du secret de fabrication ou du secret commer- cial) et de l'article 273 (service de renseignements économiques) CP (RS 311.0), ainsi que 518

la protection contre la concurrence déloyale par violation de secrets des articles 4, lettre c, et 6, LCD du 19 décembre 1986 (RS 241). 26> Jörg Paul Müller/Stefan Müller (cf. note 16); Ulrich Häfelin/Walter Haller, Schweize- risches Bundesstrafrecht, Zürich 1984, p. 350. 27> Cf. entre autres, Christian Dominicé, La personnalité juridique internationale du CICR, dans: Etudes en l'honneur de Jean Fielet, Genève/La Haye 1984, p. 666; Paul Reuter, La personnalité juridique internationale du Comité international de la Croix-Rouge. Ibid.,

p. 782; cf. aussi FF 1987 I 369 ss, 383. 28> Cf. art. 22 de la LF du 7 décembre 1922 concernant le droit d'auteur sur les œuvres littéraires et artistiques (RS 231.1). 29> Cf. p. ex. l'art. 42 de la LF sur la procédure de l'Assemblée fédérale ainsi que sur la forme, la publication et l'entrée en vigueur des actes législatifs (loi sur les rapports entre les conseils; RS 171.11); art. 22 ss du règlement du Conseil national (RS 171.13) et art. 17 et 20 s du règlement du Conseil des Etats (RS 171.14).

30) Cf. Simitis/Dammann/Mallmann/Reh, Kommentar zum Bundesdatenschutzgesetz, Baden- Baden 1967, numéros 14 ss, ad § 2. 31)ATF 100 Ib 114. 32> Cf. Schnyder/Murer, Berner Kommentar, T. II, sect. 3, partie systématique, n° 54. 33> Art. 7, LF sur le droit pénal administratif (RS 313.0). «) ATF 44 II 319 ss; cf. p. ex. art. 179bis ss, CP (RS 311.0). 35> ZR 43/1944, n° 217. 36> ATF 112 la 100,110 la 85,103 la 492,100 la 10. 37> De même le message (cf. note 8), p. 683. 38> Cf. art. 934 ss CO (RS 220 ) et l'ordonnance du 7 juin 1937 sur le registre du commerce (RS 221.411). 3») Tercier (note 25), n° 682.

40) Message (cf. note 8), p. 680/681; Tercier (note 25), n° 840 ss. 41> Cf. Tercier (note 25), n° 799 ss. «) ATF 103 II 294, 86 II 18 ss, 73 II 65. 43> Erich Richner, Umfang und Rechte der Freiheitsrechte der Beamten nach schweizeris- chem Recht, Argovie 1954, p. 129; Paul Reichlin, Die Schweigepflicht des Verwaltungs- beamten, Zürich 1953, p. 21.

44) Cf. aussi l'article 30 de la LF du 22 mars 1974 sur le droit pénal administratif (RS 313.0). 45> Cf. ATF 108 Ib 231, 96 IV 183, 87 IV 141, 86 IV 136. 46)Cf. p. ex. art. 50 LAVS (RS 831.10); art. 102 LAA (RS 832.20); art. 97 LF sur l'assurance-chômage (RS 837.0), ainsi que l'article 125 de l'ordonnance sur l'assurance- accidents (RS 832.202) et l'article 125 de l'ordonnance sur l'assurance-chômage (RS 837.02). 47> Cf. p. ex. l'ordonnance sur le registre central des étrangers (RS 142.215). 48> Cf. art. 90 de l'ACF du 9 décembre 1940 sur la perception d'un impôt fédéral direct, (RS 642.11); art. 32 de la LF du 27 juin 1973 sur les droits de timbre (LT; RS 641.10); art. 36 de la LF du 13 octobre 1965 sur l'impôt anticipé (RS 642.21); art. 4,2e al., let. c, et art. 7,2e al., de l'ACF du 29 juillet 1941 instituant un impôt sur le chiffre d'affaires (RS 641.20). 49> ACF du 29 avril 1958 concernant le Service de police du Ministère public fédéral (RS 172.213.52) et prescriptions du DFJP du 29 avril 1958 (FF 1958 II 720 s.). so) ATF 104 Ib 384, 101 Ib 110; Fritz Gygi, Bundesverwaltungsrechtspflege, 2e éd. révisée, Berne 1983, p. 160 s. 51> FF 1985 II 741 ss, 968 s. 52> Cf. art. 20 du code pénal (RS 311.0); ATF 107 IV 193 ss, 207 cons. 3. 519

53> Urs Ch. Nef, Aktuelle Probleme des Personaldatenschutzes im arbeitsrechtlichen Rechts- verhältnis, Zeitschrift für schweizerisches Recht, 92 (I) 1973, p. 357 ss; Bernhard Frei, Der Persönlichkeitsschutz des Arbeitnehmers nach CO art. 328, 1er al. Unter besonderer Berücksichtigung des Personaldatenschutzes, Bern 1982, p. 48 ss; JAAC 48/1984, vol. II, numéro 33, p. 198 ss. 54> Œ message du 10 novembre 1982, FF 1983 I 255 ss. «l FF 1972 I 410.

56) Cf. aussi le projet de LF sur la protection de la grossesse et le caractère punissable de son interruption; FF 1977 III 92 ss. 57> Cf. Günter Stratenwerth, Schweizerisches Strafrecht, partie spéciale I, 3e éd., remaniée, Berne 1983, p. 150; Peter Schäfer (note 19), p. 30 ss. 58> Sur le droit de porter plainte des parents, cf. ATF 87 IV 105. ») Cf. ATF 94 IV 7, cons. 1. 6°) ATF 109 la 244 ss. «) ATF 74 IV 213. 62> Cf. art. 1er de l'ordonnance concernant le Service d'identification du Ministère public de la Confédération, RS 172.213.57. 63> a. aussi ATF 109 la 156. M> Cf. art. 9 et 17 de l'ordonnance concernant le Service d'identification du Ministère public de la Confédération. 65> Markus Peter, Ermittlungen nach Bundesstrafprozess, Kriminalstatistik 1973, p. 565; Robert Hauser, Zeitschrift für Schweiz. Strafrecht 1972, p. 137 ss. 66> Œ ATF 96 IV 141; 95 IV 47. 67> a. ATF 109 IV 63. 68> Cf. art. 4 de la Convention n° 108; supra chiffre 117. 32077 520

Loi fédérale Projet sur la protection des données (LPD) du L'Assemblée fédérale de la Confédération suisse, vu les articles 31bis, 2e alinéa, 64 et 85, chiffre 1, de la constitution; vu le message du Conseil fédéral du 23 mars 1988 ^ arrête: Section 1: But, champ d'application et définitions Article premier But La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes lors de traitements de données personnelles. Art. 2 Champ d'application 1 La présente loi régit les traitements de données personnelles effectués par:

a. Des personnes privées;

b. Des organes fédéraux. 2 Elle ne s'applique pas:

a. Aux données traitées par une personne physique pour un usage exclusive- ment personnel;

b. Aux données diffusées par des médias à caractère périodique, telles que la presse, la radio et la télévision;

c. Aux affaires du ressort de l'Assemblée fédérale;

d. Aux procédures juridictionnelles devant des autorités judiciaires;

e. Aux procédures pénales;

f. Aux procédures d'entraide judiciaire internationale concernant des causes civiles ou pénales;

g. Aux procédures de recours de droit public ni aux procédures de recours administratif;

h. Aux registres publics relatifs aux rapports juridiques de droit privé. Art. 3 Définitions On entend par:

a. Données personnelles (données), toutes les informations qui se rapportent à une personne identifiée ou identifiable; D FF 1988 II 421 521

Loi sur la protection des données

b. Personne concernée, la personne physique ou morale au sujet de laquelle des données sont traitées;

c. Personne privée, la personne physique ou morale soumise au droit privé;

d. Organe fédéral, l'autorité ou le service fédéral ainsi que la personne chargée d'une tâche fédérale;

e. Données sensibles, les données personnelles sur:

1. Les opinions ou activités religieuses, philosophiques, politiques ou syndicales,

2. La santé, la sphère intime ou l'appartenance à une race,

3. Des mesures d'aide sociale,

4. Des poursuites ou sanctions pénales et administratives;

f. Profil de la personnalité, un assemblage de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique;

g. Traitement, toute opération relative à des données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruc- tion de données;

h. Communication, le fait de rendre des données accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant;

i. Fichier, tout ensemble de données dont la structure permet de rechercher les données par personne concernée;

k. Maître du fichier, la personne privée ou l'organe fédéral qui décide du but et du contenu du fichier;

1. Participant, la personne privée ou l'organe fédéral qui est en droit d'intro- duire les données dans le fichier ou d'y procéder à des mutations. Section 2: Dispositions générales de protection des données Art. 4 Principes 1 Des données personnelles ne peuvent être collectées que par des procédés licites et conformes à la bonne foi. 2 Les données doivent être exactes. 3 Tout traitement de données doit être conforme au principe de la proportionnali- té. 4 Les données ne doivent être traitées que dans le but indiqué lors de leur collecte, prévu par une loi ou ressortant des circonstances. 5 Aucune donnée ne peut être communiquée à l'étranger si la personnalité des personnes concernées s'en trouvait gravement menacée, notamment du fait de l'absence d'une protection des données comparable à celle qu'a instituée la Suisse. 522

Loi sur la protection des données •9 6 Les données doivent être protégées contre tout traitement non autorisé, par des mesures d'organisation et des mesures techniques appropriées. Art. 5 Droit d'accès 1 Toute personne peut demander au maître d'un fichier si des données la concernant sont traitées. 2 Le maître du fichier doit lui communiquer:

a. Toutes les données la concernant qui sont contenues dans le fichier; et

b. Le but et éventuellement la base juridique du traitement, les catégories de données traitées, de participants au fichier et de destinataires des données. 3 Le maître du fichier peut confier à un médecin le soin de communiquer à la personne concernée des données sur sa santé. 4 Le maître du fichier qui fait traiter des données par un tiers demeure tenu de fournir les renseignements demandés. Cette obligation incombe toutefois au tiers, si celui-ci ne communique pas l'identité du maître du fichier ou si ce dernier n'a pas de domicile en Suisse. 5 Les renseignements sont, en règle générale, fournis par écrit et gratuitement. Le Conseil fédéral règle les exceptions. Il peut notamment prévoir un émolument lorsque l'octroi des renseignements occasionne un volume de travail excessif. 6 Nul ne peut renoncer par avance au droit d'accès. Art. 6 Restrictions du droit d'accès 1 Le maître du fichier peut refuser ou restreindre les renseignements demandés, voire en différer l'octroi, dans la mesure où:

a. Une loi au sens formel le prévoit;

b. Un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de la Confédération, l'exige;

c. L'octroi des renseignements risque de compromettre une instruction pénale ou une autre procédure d'instruction;

d. Un intérêt prépondérant du maître du fichier l'exige et celui-ci ne commu- nique pas les données à des tiers; ou

e. Un intérêt prépondérant d'un tiers l'exige. 2 Le maître du fichier doit indiquer pour quel motif il refuse de fournir les renseignements. Art. 7 Registre des fichiers 1 Le préposé fédéral à la protection des données tient un registre des fichiers. Toute personne peut consulter le registre. 2 Les organes fédéraux sont tenus de déclarer tous leurs fichiers aux fins d'enregistrement auprès du préposé. Les personnes privées n'y sont tenues que si, régulièrement, elles: 523

Loi sur la protection des données

a. Traitent des données sensibles ou des profils de la personnalité, sans y être obligées légalement et à l'insu des personnes concernées; ou

b. Communiquent des données à des tiers, sans y être obligées légalement et à l'insu des personnes concernées. 3 Les fichiers doivent être déclarés avant d'être opérationnels. 4 Le Conseil fédéral règle les modalités de déclaration des fichiers, de même que la tenue et la publication du registre. Il peut prévoir, pour certains types de fichiers, des exceptions à l'obligation de déclarer ou d'enregistrer lorsque, le traitement ne menace pas la personnalité des personnes concernées. Art. 8 Communication à l'étranger 1 Celui qui entend communiquer, régulièrement ou en grand nombre, des données personnelles à l'étranger, doit le déclarer préalablement au préposé fédéral à la protection des données si:

a. La communication ne découle pas d'une obligation légale; ou

b. Elle a lieu à l'insu des personnes concernées. 2 Le Conseil fédéral règle les modalités de la déclaration. Il peut prévoir des déclarations simplifiées ou des exceptions à l'obligation de déclarer lorsque, le traitement ne menace pas la personnalité des personnes concernées. Section 3: Traitement de données personnelles par des personnes privées Art. 9 Atteintes à la personnalité 1 Celui qui traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées. 2 II n'est notamment pas en droit, sans motif justificatif, de:

a. Traiter des données en violation des principes définis à l'article 4;

b. Traiter des données au mépris de la volonté expresse de la personne concernée;

c. Communiquer à des tiers des données sensibles ou des profils de la personnalité. Art. 10 Motifs justificatifs 1 Une atteinte à la personnalité est illicite, à moins qu'elle ne soit justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi. 2 Celui qui traite des données personnelles peut notamment se voir reconnaître un intérêt prépondérant, si:

a. Le traitement est en relation directe avec la conclusion ou l'exécution d'un contrat et les données traitées concernent le cocontractant; 524

Loi sur la protection des données

b. Le traitement s'inscrit dans un rapport de concurrence économique, actuel ou futur, avec une personne dont la raison est inscrite au registre du commerce, à condition toutefois qu'aucune donnée traitée ne soit communi- quée à des tiers;

c. Les données sont traitées dans le but d'évaluer le crédit d'une personne dont la raison est inscrite au Registre du commerce, à condition toutefois qu'elles ne soient pas sensibles et qu'elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée;

d. Les données sont traitées en vue d'une publication dans un média à caractère périodique;

e. Les données sont traitées à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition toutefois que les résultats soient publiés sous une forme ne permettant pas d'identifier les personnes concernées;

f. Les données traitées ont été rendues accessibles à tout un chacun par la personne concernée. Art. 11 Traitement de données par un tiers 1 Le traitement de données personnelles peut être confié à un tiers, si: , a. Le mandant veille à ce que ne soient pas effectués des traitements autres que ceux qu'il est lui-même en droit d'effectuer; et

b. Aucune obligation légale ou contractuelle de garder le secret ne l'interdit. 2 Le tiers peut faire valoir les mêmes motifs justificatifs que le mandant. Art. 12 Actions et procédure 1 Les articles 28 à 28/ du code civil ^ régissent les actions et les mesures provisionnelles concernant la protection de la personnalité. Le demandeur peut en particulier requérir la rectification ou la destruction des données personnelles. 2 Si ni l'exactitude, ni l'inexactitude des données ne peut être prouvée, la personne concernée peut demander que l'on ajoute aux données la mention de leur caractère litigieux. 3 Les actions en exécution du droit d'accès peuvent être ouvertes au domicile du demandeur ou à celui du défendeur. Le juge statue selon une procédure simple et rapide. » RS 210 525

Loi sur la protection des données Section 4: Traitement de données personnelles par des organes fédéraux Art. 13 Organe responsable 1 II incombe à l'organe fédéral de pourvoir à la protection des données qu'il traite ou fait traiter dans l'accomplissement de ses tâches. 2 Lorsqu'un organe fédéral traite des données conjointement avec d'autres organes fédéraux, avec des organes cantonaux ou avec des personnes privées, le Conseil fédéral peut régler de manière spécifique les responsabilités en matière de protection des données. Art. 14 Bases juridiques 1 Les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale à cet effet. 2 Des données sensibles ou des profils de la personnalité ne peuvent être traités que si:

a. Une loi au sens formel le prévoit expressément;

b. L'accomplissement d'une tâche clairement définie dans une loi au sens formel l'exige absolument;

c. Le Conseil fédéral l'a autorisé, considérant que les droits des personnes concernées ne sont pas menacés; ou

d. La personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun. Art. 15 Collecte de données personnelles 1 La collecte de données personnelles doit être effectuée de façon reconnaissable pour les personnes concernées. 2 L'organe fédéral qui collecte systématiquement des données, notamment au moyen de questionnaires, est tenu de préciser le but et la base juridique du traitement, les catégories de participants au fichier et de destinataires des données. 3 II n'est pas nécessaire de se conformer à ces exigences si:

a. La personne concernée a rendu ses données accessibles à tout un chacun;

b. L'accomplissement de la tâche de l'organe fédéral est compromis; ou

c. Il en résulte un volume excessif de travail. Art. 16 Communication de données personnelles 1 Les organes fédéraux ne sont en droit de communiquer des données per- sonnelles que s'il existe une base juridique au sens de l'article 14 ou si:

a. Le destinataire a, en l'espèce, absolument besoin de ces données pour accomplir sa tâche légale; 526

Loi sur la protection des données •yi

b. La personne concernée y a, en l'espèce, consenti ou les circonstances permettent de présumer un tel consentement;

c. La personne concernée a rendu ses données accessibles à tout un chacun; ou si

d. Le destinataire rend vraisemblable que la personne concernée ne refuse son accord ou ne s'oppose à la communication que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes; dans la mesure du possible, la personne concernée sera auparavant invitée à se prononcer. 2 Dans tous les cas, les organes fédéraux sont en droit de communiquer, sur demande, le nom, le prénom, l'adresse et la date de naissance d'une personne. 3 L'organe fédéral refuse la communication, la restreint ou l'assortit de charges, si:

a. Un important intérêt public ou un intérêt légitime manifeste de la personne concernée l'exige; ou si

b. Une obligation légale de garder le secret ou une disposition particulière de protection des données l'exige. Art. 17 Blocage des données 1 La personne concernée qui rend vraisemblable un intérêt légitime peut s'oppo- ser à ce que l'organe fédéral responsable communique des données personnelles déterminées. 2 L'organe fédéral lève l'opposition si:

a. Il est juridiquement tenu de communiquer les données; ou si

b. Le défaut de communication compromettait l'accomplissement de ses tâches. Art. 18 Obligation de rendre les données personnelles anonymes ou de les détruire Les organes fédéraux sont tenus de rendre anonymes ou de détruire les données personnelles dont ils n'ont plus besoin, à moins qu'elles:

a. Ne doivent être conservées à titre de preuve ou par mesure de sûreté; ou qu'elles

b. Ne doivent être déposées aux Archives fédérales. Art. 19 Traitements aux fins de recherche, de planification et de statistique 1 Les organes fédéraux sont en droit de traiter des données personnelles et de les communiquer à des tiers, à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si:

a. Les données sont rendues anonymes dès que le but du traitement le permet;

b. Le destinataire ne communique les données qu'avec le consentement de l'organe fédéral; et 527

Loi sur la protection des données

c. Les résultats du traitement sont publiés sous une forme ne permettant pas d'identifier les personnes concernées. 2 II n'est pas nécessaire de se conformer aux dispositions suivantes:

a. L'article 4, 4e alinéa, relatif au but du traitement;

b. L'article 14, 2e alinéa, relatif à la base juridique pour le traitement de données sensibles et de profils de la personnalité; et

c. L'article 16, 1er alinéa, relatif à la communication de données. Art. 20 Activités de droit privé des organes fédéraux 1 Lorsqu'un organe fédéral agit selon le droit privé, le traitement des données est régi par les dispositions applicables aux personnes privées. 2 Toutefois, la surveillance s'exerce conformément aux règles applicables aux organes fédéraux. Art. 21 Protection de l'Etat et sécurité militaire 1 Lorsque des données personnelles sont traitées par des organes chargés de la protection de l'Etat ou de la sécurité militaire, le Conseil fédéral peut:

a. Prévoir des exceptions aux dispositions relatives au but du traitement (art. 4, 4e al.) et à la communication à l'étranger (art. 4, 5e al.);

b. Autoriser le traitement de données sensibles ou de profils de la personnalité, même si les conditions posées à l'article 14, 2e alinéa, et à l'article 16, 1er alinéa, ne sont pas remplies;

c. Lever les obligations de déclarer et d'enregistrer (art. 7 et 8);

d. Régler la coopération avec le préposé à la protection des données en dérogation à l'article 24, 3e alinéa. 2 Le secret de vote, le secret de pétition et le secret des statistiques demeurent garanties. 3 Le département dont relève l'organe concerné tranche les différends en lieu et place de la Commission fédérale de la protection des données (art. 27, 2e al.) ou de son président (art. 25, 2e al., et 27, 3e al.). Il prend l'avis du préposé à la protection des données. En lieu et place du Tribunal fédéral les recours sont portés devant le Conseil fédéral. Art. 22 Prétentions et procédure 1 Celui qui a un intérêt légitime peut exiger de l'organe fédéral responsable qu'il:

a. S'abstienne de procéder à un traitement illicite;

b. Supprime les effets d'un traitement illicite;

c. Constate le caractère illicite du traitement. 2 II peut en particulier demander que l'organe fédéral:

a. Rectifie ou détruise les données;

b. Publie ou communique à des tiers la décision ou la rectification. 528

Loi sur la protection des données 3 Si ni l'exactitude, ni l'inexactitude d'une donnée ne peut être prouvée, l'organe fédéral doit ajouter à la donnée la mention de son caractère litigieux. 4 La procédure est régie par la loi fédérale sur la procédure administrative1'. Toutefois, les exceptions prévues par les articles 2 et 3 de cette loi ne sont pas applicables. 5 Les décisions des organes fédéraux peuvent être portées devant la Commission fédérale de la protection des données. Section 5: Préposé fédéral à la protection des données Art. 23 Nomination et statut 1 Le préposé fédéral à la protection des données est nommé par le Conseil fédéral. 2 II s'acquitte de ses tâches de manière autonome et il est rattaché administrative- ment au Département fédéral de justice et police. 3 II dispose d'un secrétariat permanent. Art. 24 Surveillance 1 Le préposé surveille l'application de la présente loi et des autres dispositions relatives à la protection des données. Aucune surveillance ne peut être exercée sur le Conseil fédéral. 2 II peut élucider les faits, d'office ou à la demande de tiers, lorsque:

a. Une personne privée recourt à une méthode de traitement susceptible de porter atteinte à la personnalité d'un nombre important de personnes;

b. Des fichiers doivent être enregistrés (art. 7);

c. Des communications à l'étranger doivent être déclarées (art. 8);

d. Des données sont traitées par des organes fédéraux. 3 Aux fins d'élucider les faits, il peut exiger la production de pièces, demander des renseignements et se faire présenter des traitements. Les personnes impliquées sont tenues de collaborer à l'établissement des faits. Le droit de refuser le témoignage au sens de l'article 16 de la loi fédérale sur la procédure ad- ministrative1' s'applique par analogie. 4 S'il apparaît que des prescriptions sur la protection des données ont été violées, le préposé recommande de modifier ou de cesser le traitement. 5 Si une recommandation du préposé est rejetée ou n'est pas suivie, le préposé peut:

a. Porter l'affaire devant la Commission fédérale de la protection des données qui décide; ou

b. Informer la personne concernée qui s'est adressée à lui du résultat et lui indiquer les voies de droit (art. 12 et 22). » RS 172.021 529

Loi sur la protection des données Art. 25 Information 1 Le préposé fait rapport au Conseil fédéral à intervalles réguliers et selon les besoins. Les rapports périodiques sont publiés. 2 S'il y va de l'intérêt général, il peut informer le public de ses constatations et de ses recommandations. Il ne peut porter à la connaissance du public des données soumises au secret de fonction qu'avec le consentement de l'autorité compétente. Si celle-ci ne donne pas son consentement, le président de la Commission fédérale de la protection des données tranche; sa décision est définitive. Art. 26 Autres attributions 1 Le préposé a notamment les autres attributions suivantes:

a. Assister les personnes privées ainsi que les organes fédéraux et cantonaux en les informant, en les conseillant et en leur servant d'intermédiaire;

b. Se prononcer sur les projets d'actes législatifs fédéraux et de mesures fédérales qui ont de l'importance pour la protection des données;

c. Collaborer avec les autorités chargées de la protection des données en Suisse et à l'étranger;

d. Apprécier dans quelle mesure la protection des données assurée à l'étranger est comparable à celle que connaît la Suisse. 2 Le préposé peut donner aux organes de l'administration fédérale des conseils en matière de protection des données, même si la présente loi n'est pas applicable en vertu de l'article 2,2e alinéa, lettres e à h. Les organes peuvent lui accorder l'accès à leurs dossiers. 3 Le préposé conseille la Commission d'experts du secret professionnel en matière de recherche médicale (art. 321bis CP1'). Si cette commission a autorisé la levée du secret professionnel, il surveille le respect des charges qui grèvent l'autorisa- tion. A cet effet il peut élucider les faits au sens de l'article 24, 3e alinéa. Il peut porter les décisions de la commission d'experts devant la Commission fédérale de la protection des données. Section 6: Commission fédérale de la protection des données Art. 27 1 La Commission fédérale de la protection des données est une commission d'arbitrage et de recours au sens des articles lia à Ile, lettres a à c, de la loi fédérale sur la procédure administrative2). 2 Elle statue sur:

a. Les recommandations du préposé (art. 24, 5e al.) qui lui ont été soumises;

b. Les recours contre les décisions des organes fédéraux en matière de protection des données à l'exception de celles du Conseil fédéral; ') RS 311.0 2> RS 172.021 530

Loi sur la protection des données

c. Les recours contre les décisions de la Commission du secret professionnel en matière de recherche médicale (art. 321bis CP0);

d. Les recours contre les décisions cantonales de dernière instance prises en application de dispositions de droit public fédéral relatives à la protection des données. 3 Le préposé peut requérir des mesures provisionnelles du président de la commission, s'il constate, à l'issue de l'enquête qu'il a menée en application de l'article 24, 2e alinéa, que la personne concernée risque de subir un préjudice difficilement réparable. Les articles 79 à 84 de la loi fédérale sur la procédure civile fédérale2' s'appliquent par analogie à la procédure. Section 7: Dispositions pénales Art. 28 Violation des obligations de renseigner, de déclarer et de collaborer 1 Les personnes privées qui, intentionnellement, auront donné de manière inexacte ou incomplète un renseignement qu'elles sont tenues de fournir selon les articles 5 et 6 seront, sur plainte, punies des arrêts ou de l'amende. 2 Seront punies des arrêts ou de l'amende, les personnes privées qui, inten- tionnellement:

a. N'auront pas déclaré un fichier conformément à l'article 7 ou une communi- cation à l'étranger conformément à l'article 8, ou auront donné des indica- tions inexactes lors de la déclaration;

b. Auront fourni au préposé à la protection des données, lors de l'élucidation des faits (art. 24, 3e al.), des renseignements inexacts ou auront refusé leur collaboration. Art. 29 Violation du devoir de discrétion 1 Celui qui, intentionnellement, aura révélé d'une manière illicite des données personnelles secrètes et sensibles dont il a eu connaissance dans l'exercice d'une profession qui requiert la connaissance de telles données, sera, sur plainte, puni des arrêts ou de l'amende. 2 Est passible de la même peine celui qui, intentionnellement, aura révélé d'une manière illicite des données personnelles secrètes et sensibles, dont il a eu connaissance dans le cadre des activités qu'il exerce pour le compte de la personne soumise à l'obligation de garder le secret ou lors de sa formation chez elle. 3 La révélation illicite de données personnelles secrètes et sensibles demeure punissable alors même que les rapports de travail ou de formation ont pris fin. "RS 311.0 2> RS 273 531

Loi sur la protection des données Section 8: Dispositions finales Art. 30 Exécution 1 Le Conseil fédéral édicté les dispositions d'exécution. 2 II règle le traitement des données qui sont déposées aux Archives fédérales. A cet effet, il peut prévoir des dérogations aux articles 5 et 6 régissant le droit d'accès ainsi qu'aux articles 14,2e alinéa, et 16,1er alinéa, relatifs au traitement de données sensibles. 3 II peut prévoir des dérogations aux articles 5 et 6 en ce qui concerne l'octroi de renseignements par les représentations diplomatiques et consulaires suisses à l'étranger. 4 II peut en outre déterminer:

a. Les fichiers dont le traitement doit faire l'objet d'un règlement;

b. Les conditions auxquelles un organe fédéral peut faire traiter des données personnelles par un tiers ou les traiter pour le compte d'un tiers;

c. Le mode selon lequel les moyens d'identification de personnes peuvent être utilisés. 5 II peut conclure des traités internationaux en matière de protection des données, dans la mesure où ils sont conformes aux principes établis par la présente loi. 6 II règle la manière de mettre en sûreté les fichiers dont les données, en cas de guerre ou de crise, sont de nature à mettre en danger la vie ou l'intégrité corporelle des personnes concernées. Art. 31 Dispositions transitoires 1 Au plus tard une année après l'entrée en vigueur de la présente loi, les maîtres de fichier doivent déclarer les fichiers existants en vue de l'enregistrement prévu à l'article 7. 2 Dans le délai d'une année à compter de l'entrée en vigueur de la présente loi, ils doivent prendre les mesures nécessaires à assurer l'exercice du droit d'accès au sens de l'article 5. 3 Les organes fédéraux peuvent continuer à utiliser pendant cinq ans, à compter de l'entrée en vigueur de la présente loi, les fichiers existants qui contiennent des données sensibles ou des profils de la personnalité, quand bien même les conditions de traitement posées à l'article 14, 2e alinéa, ne sont pas réunies. Art. 32 Référendum et entrée en vigueur 1 La présente loi est sujette au référendum facultatif. 2 Le Conseil fédéral fixe la date de l'entrée en vigueur. 32077 532

Loi sur la protection des données * Annexe Modification de lois fédérales

1. Le code des obligations1' est modifié comme il suit: Art. 328b (nouveau)

3. Lors du 1 L'employeur ne peut traiter des données concernant le travailleur données1" de 1ue ^ans 'a mesure où ces données portent sur les aptitudes du personnelles travailleur à remplir son emploi ou sont nécessaires à l'exécution du contrat de travail. 2 II ne peut donner à des tiers des renseignements sur le travailleur que si une disposition légale l'y autorise ou si le travailleur y a consenti. 3 Dans la mesure où les articles 5 et 6 de la loi fédérale du.. ,2' sur la protection des données lui confèrent un droit d'accès, le travailleur qui le demande doit être autorisé par l'employeur à consulter les données le concernant. Art. 362 Article 328fc (Protection de la personnalité lors du traitement de données personnelles)

2. La loi fédérale du 18 décembre 19873> sur le droit international privé (LDIP) est modifée comme il suit: Art. 130, 3e al. (nouveau) 3 Les actions en exécution du droit d'accès dirigées contre le maître du fichier peuvent être intentées devant les tribunaux mentionnés à l'article 129 ou devant les tribunaux suisses du lieu où le fichier est géré ou utilisé. Art. 139, 3e al. (nouveau) 3 Le 1er alinéa s'applique également aux atteintes à la personnalité résultant du traitement de données personnelles ainsi qu'aux en- traves mises à l'exercice du droit d'accès aux données personnelles. ') RS 220 2> RO . . . 3> FF 1988 I 5; RO . . . 36 Feuille fédérale. 140e année. Vol. II 533

Loi sur la protection des données

3. Le code pénal suisse1) est modifié comme il suit: Art. 179"°™* (nouveau) Soustraction de Celui qui aura soustrait d'un fichier des données personnelles personnelles sensibles qui ne sont pas librement accessibles, sera, sur plainte, puni de l'emprisonnement ou de l'amende. Secret professionnel en matière de recherche médicale Art. 321bis (nouveau) 1 Un secret professionnel peut être levé à des fins de recherche dans les domaines de la médecine ou de la santé publique si une commission d'experts en donne l'autorisation et si l'intéressé n'a pas expressément refusé son consentement. 2 La commission octroie l'autorisation, si:

a. La recherche ne peut être effectuée avec des données ano- nymes;

b. Il est impossible ou particulièrement difficile d'obtenir le consentement de l'intéressé; et si

c. Les intérêts de la recherche priment l'intérêt au maintien du secret. 3 La commission grève l'autorisation de charges afin de garantir la protection des données. Elle publie l'autorisation. 4 La commission peut octroyer des autorisations générales ou pré- voir d'autres simplifications si aucun intérêt légitime des intéressés n'est compromis et si les données personnelles sont rendues ano- nymes dès le début des recherches. Le Conseil fédéral règle les modalités. 5 Le Conseil fédéral nomme la commission. Il en règle l'organisation et la procédure. La commission agit sans instructions. 6 Celui qui aura révélé un secret dont il avait eu connaissance à raison de ses activités de recherche menées dans les domaines de la médecine et de la santé publique, sera puni en conformité de l'article 321.

4. La loi fédérale sur la procédure pénale2' est modifiée comme il suit: IV. Entraide judiciaire (nouveau) Art. 26b" 1 Les autorités de la Confédération, des cantons et des communes assistent dans l'accomplissement de leur tâche les autorités chargées de poursuivre et de juger » RS 311.0 2> RS 312.0 534

Loi sur la protection des données les affaires de droit pénal fédéral; elles doivent en particulier leur donner les renseignements dont elles ont besoin et leur permettre de consulter les pièces officielles qui peuvent avoir de l'importance pour la poursuite pénale. 2 L'entraide judiciaire peut être refusée, restreinte ou assortie de charges, si

a. Des intérêts publics importants ou des intérêts manifestement légitimes . d'une personne concernée l'exigent; ou

b. Le secret professionnel (art. 77) s'y oppose. 3 Les organisations chargées de tâches de droit public sont, dans les limites de ces tâches, tenues de prêter assistance de la même manière que les autorités. 4 Les contestations entre autorités administratives fédérales sont tranchées par le Département dont relèvent les autorités concernées ou par le Conseil fédéral, les contestations entre Confédération et cantons le sont par la Chambre d'accusation du Tribunal fédéral. 5 Au surplus, sont applicables en matière d'entraide judiciaire les articles 352 ss du code pénal suisse1', de même que l'article 18 de la loi fédérale d'organisation judiciaire2'. Art. 52, 2e alinéa, deuxième phrase Abrogée IX. Du traitement de données personnelles, du séquestre, de la perquisi- tion, de la confiscation et de la surveillance (nouveau) Art. 64bts (nouveau) 1 Toute donnée personnelle doit également être collectée de façon reconnaissable auprès de la personne concernée, à moins que l'instruction n'en soit compromise ou qu'il n'en résulte un volume excessif de travail. 2 Si une donnée personnelle est rectifiée ou détruite, ou si son exactitude n'a pu être prouvée (art. 102bls, 3e et 4e al.), les organes compétents en avertissent sans délai toute autorité ou organe à qui la donnée a été communiquée. 3 Les données personnelles qui ne sont plus nécessaires à la conduite de l'instruc- tion doivent être détruites au plus tard à sa clôture. Toutefois, elles peuvent être utilisées dans le cadre d'une autre procédure dans la mesure où celle-ci l'exige. Titre précédant l'article 65 Abrogé Art. 72*" (nouveau) La police peut photographier ou filmer les participants à une manifestation se déroulant dans la légalité s'il ressort des circonstances concrètes que certaines de ') RS 311.0 2> RS 173.110 535

Loi sur la protection des données ces personnes envisagent de commettre un crime ou un délit dont la gravité ou la particularité justifie cette mesure. IXbls. De la fouille, de l'examen médical et des mesures d'identification (nouveau) Art. 75*" (nouveau) 1 La police judiciaire peut fouiller une personne si:

a. Les conditions permettant de l'appréhender sont réunies;

b. Celle-ci est soupçonnée de détenir des objets qui doivent être mis en sûreté;

c. Celle-ci ne peut être identifiée autrement; ou

d. Celle-ci se trouve manifestement dans un état l'empêchant de se déterminer librement et si la fouille est indispensable à sa protection. 2 La police judiciaire peut fouiller une personne afin de rechercher des armes, des outils dangereux ou des explosifs si, au vu des circonstances, la sécurité des agents de police ou de tiers l'exige. 3 Sauf cas d'urgence, seule une personne du même sexe ou un médecin peut procéder à la fouille. Art. 73ter (nouveau) 1 Si nécessaire, le juge peut ordonner l'examen physique ou psychique de l'inculpé afin:

a. D'établir les faits; ou

b. De déterminer sa capacité de discernement, son aptitude à participer aux débats ou à supporter une détention, ou encore la nécessité d'ordonner une mesure à son encontre. 2 Tant que l'instruction préparatoire n'a pas été ouverte, il appartient au pro- cureur général d'ordonner l'examen physique ou psychique. 3 Une personne non inculpée ne peut être examinée sans son consentement que s'il s'agit d'élucider un fait qui ne peut l'être par un autre moyen. Aucune personne en droit de refuser de témoigner ne peut être contrainte à subir un examen physique ou psychique. 4 L'examen doit être confié à un médecin ou à une autre personne qualifiée. Une atteinte à l'intégrité corporelle n'est licite que si tout risque de préjudice est écarté. 5 En cas de forts soupçons, la police judiciaire peut ordonner une prise de sang. Art. 73iua'er (nouveau) La police judiciaire peut soumettre à des mesures d'identification:

a. Un inculpé, si l'administration des preuves l'exige;

b. D'autres personnes aux fins de déterminer l'origine de traces. 536

Loi sur la protection des données Art. 101b" (nouveau) La police judiciaire peut requérir des informations orales ou écrites ou entendre des personnes à titre de renseignement; celui qui est en droit de refuser son témoignage doit être préalablement avisé qu'il n'est pas obligé de répondre. Art. 102b" (nouveau) 1 Toute personne peut demander au Ministère public de la Confédération, quelles données la concernant sont traitées par la police judiciaire. 2 Le procureur général peut refuser de donner les renseignements demandés si:

a. Leur octroi compromettait les recherches;

b. Des intérêts publics prépondérants, en particulier la sûreté intérieur ou extérieure de la Confédération, l'exigent; ou

c. Des intérêts prépondérants de tiers l'exigent. 3 Celui qui a un intérêt légitime peut exiger de la police judiciaire qu'elle rectifie des données inexactes ou qu'elle les détruise. 4 La preuve de l'exactitude d'une donnée doit être apportée par la police judiciaire. Si ni l'exactitude, ni l'inexactitude ne peut être prouvée, mention en est faite au dossier. Art. 102ter (nouveau) 1 Si le procureur général ne fait pas droit à une demande de renseignements, de rectification ou de destruction, le requérant peut demander au préposé fédéral à la protection des données de contrôler le bien-fondé de la décision négative. 2 Le préposé adresse au procureur général une recommandation, déclarant dans quelle mesure il convient de communiquer au requérant les renseignement demandés ou s'il convient de donner suite à la demande de rectification ou de destruction. 3 Si le procureur général et le préposé ne parviennent pas à se mettre d'accord, ils peuvent porter l'affaire devant la Chambre d'accusation du Tribunal fédéral. Art. 102V""er (nouveau) 1 Tant que l'instruction préparatoire n'a pas été ouverte, les données afférentes aux recherches de la police judiciaire ne peuvent être communiquées qu'aux seuls organes suivants:

a. Au Conseil fédéral;

b. Aux organes de police judiciaire et aux autorités judiciaires fédérales et cantonales, s'ils en ont besoin dans le cadre d'une procédure;

c. Aux organes chargés de la protection de l'Etat et de la sécurité militaire;

d. Aux organes de police judiciaire d'Etats étrangers ou à d'autres organes administratifs étrangers chargés de tâches de police, dans les limites de l'article 16 de la loi fédérale du ...]) sur la protection des données; D RO ... 537

Loi sur la protection des données

e. Au préposé fédéral à la protection des données;

f. A l'Office fédéral de la police, dans la mesure où celui-ci a besoin des données pour accomplir les tâches que lui attribuent les lois fédérales sur l'entraide judiciaire internationale en matière pénale ou dans la mesure où les données doivent être enregistrées dans le système de recherches informa- tisées RIPOL;

g. Au Département fédéral de justice et police, lorsqu'il doit donner l'autorisa- tion d'ouvrir une poursuite pénale contre un fonctionnaire, ainsi qu'à l'autorité dont relève le fonctionnaire afin qu'elle puisse se déterminer sur l'autorisation. 2 Les autres dispositions en matière d'entraide judiciaire sont réservées. Art. 705** (nouveau) 1 Les mesures de contrainte ordonnées ou confirmées par le procureur général sont sujettes à recours devant la Chambre d'accusation du Tribunal fédéral dans les dix jours. 2 Les articles 215 à 219 régissent, par analogie, les recours contre les ordres de détention. Art. 107bis (nouveau) 1 Au terme de la procédure fédérale ou cantonale, le Ministère public de la Confédération détruit les pièces ou les archive. Sont réservées celles qui doivent être versées aux Archives fédérales. 2 Les pièces archivées au Ministère public ou aux Archives fédérales peuvent être utilisées dans le cadre d'une autre procédure et pour des traitements ne se rapportant pas à des personnes. 3 Le Conseil fédéral règle les modalités.

5. La loi fédérale du 20 mars 19811} sur l'entraide internationale en matière pénale (loi sur l'entraide pénale internationale [EIMP]) est modifiée comme il suit: Section 2bis: Collaboration avec INTERPOL (nouveau) Art. 81a Compétence 1 Le Ministère public de la Confédération fonctionne comme Bureau central national au sens des statuts de l'Organisation internationale de police criminelle (INTERPOL). 2 II lui appartient de procéder à des échanges d'informations entre les autorités fédérales et cantonales de poursuite pénale, d'une.part, et les bureaux centraux nationaux d'autres Etats et le Secrétariat général d'INTERPOL d'autre part. ') RS 351.1 538

Loi sur la protection des données Art. 81b Attributions 1 Le Ministère public de la Confédération transmet des informations de police criminelle aux fins de poursuivre des infractions ou d'assurer l'exécution de peines et de mesures. 2 II peut transmettre des informations de police criminelle aux fins de prévenir des infractions si, au vu des circonstances réelles, la commission d'un crime ou d'un délit est très probable. 3 II peut transmettre des informations destinées à rechercher des personnes disparues ou à identifier des inconnus. 4 En vue de prévenir ou d'élucider des infractions, le Ministère public de la Confédération peut recevoir des informations provenant de particuliers ou donner des informations à des particuliers, si cela est dans l'intérêt des personnes concernées et si celles-ci ont donné leur accord ou si les circonstances permettent de le présumer. Art. Sic Protection des données 1 Les échanges d'informations de police criminelle s'effectuent conformément aux principes de la présente loi ainsi qu'aux statuts et aux règlements d'INTERPOL que le Conseil fédéral aura déclarés applicables. 2 La loi fédérale du ... '' sur la protection des données régit les échanges d'informations opérés en vue de rechercher des personnes disparues et d'identi- fier des inconnus, ainsi qu'à des fins administratives. 3 Le Ministère public de la Confédération peut transmettre des informations directement aux bureaux centraux nationaux d'autres pays, si l'Etat destinataire est soumis aux prescriptions d'INTERPOL en matière de protection des données. Art. 81d Aides financières et indemnités La Confédération peut octroyer à INTERPOL des aides financières et des indemnités. 32077 »RO. . . 539

Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali Message concernant la loi fédérale sur la protection des données (LPD) du 23 mars 1988 In Bundesblatt Dans Feuille fédérale In Foglio federale Jahr 1988 Année Anno Band 2 Volume Volume Heft 18 Cahier Numero Geschäftsnummer 88.032 Numéro d'affaire Numero dell'oggetto Datum 10.05.1988 Date Data Seite 421-539 Page Pagina Ref. No 10 105 439 Das Dokument wurde durch das Schweizerische Bundesarchiv digitalisiert. Le document a été digitalisé par les. Archives Fédérales Suisses. Il documento è stato digitalizzato dell'Archivio federale svizzero.