Damien Oppliger, avocat au sein de l’Étude Kellerhals Carrard et docteur en droit, a publié un article dans le Bulletin CEDIDAC n° 89 (exclu­si­ve­ment dispo­nible aux membres du club CEDIDAC dans un premier temps) trai­tant de la liberté du consen­te­ment au trai­te­ment de données person­nelles par le biais de condi­tions géné­rales en prenant comme exemple celui des contrats d’émis­sion de carte de crédit. L’auteur revient sur plusieurs points.

Premièrement, l’au­teur analyse les caté­go­ries de données person­nelles étant collec­tées et exploi­tées dans le cadre de l’exé­cu­tion d’un contrat d’émis­sion d’une carte de crédit. Il s’agit d’une part des infor­ma­tions sur la situa­tion finan­cière du déten­teur qui permettent à l’émet­teur de fixer une limite à l’uti­li­sa­tion de la carte de crédit, pour autant que la carte soit soumise à la Loi fédé­rale du 23 mars 2001 sur le crédit à la consom­ma­tion (LCC) confor­mé­ment à son art. 1 al. 2 let. b. D’autre part, l’émet­teur traite égale­ment des infor­ma­tions sur les biens et les services que le déten­teur a obte­nus au moyen de sa carte. Ce faisant, l’émet­teur a la possi­bi­lité d’éta­blir un profil de consom­ma­tion du déten­teur, lui permet­tant d’af­fi­ner ses objec­tifs marketing.

Deuxièmement, l’au­teur souligne l’asy­mé­trie d’in­for­ma­tion entre les parties lors­qu’un émet­teur de carte de crédit formule à l’avance les condi­tions géné­rales du contrat d’émis­sion. En effet, le déten­teur n’a pas d’autre choix que d’ac­cep­ter ces condi­tions. Ceci est d’au­tant plus problé­ma­tique dans le cadre de la protec­tion des données que le déten­teur d’une carte de crédit pour­rait ne pas vouloir être sujet d’un trai­te­ment de données person­nelles en lien avec l’ana­lyse du compor­te­ment de ses habi­tudes d’achat, qui n’est pas indis­pen­sable à l’émis­sion d’une carte de crédit.

L’imbrication de telles clauses géné­rales est ensuite analy­sée à l’aune de la régle­men­ta­tion suisse (confor­mé­ment à la LPD mais aussi selon le P‑LPD) et de la régle­men­ta­tion euro­péenne en matière de protec­tion des données. L’auteur souligne les diffé­rences exis­tantes s’agis­sant des moda­li­tés du consen­te­ment, notam­ment en ce qui concerne le carac­tère « libre » du consen­te­ment (art. 4 al. 5 LPD ; art. 5 al. 6 P‑LPD devenu entre­temps l’art. 6 al. 6 nLPD, avec quelques modi­fi­ca­tions concer­nant le profi­lage ; art. 4 ch. 11 RGPD et art. 7 RGPD).

L’auteur explique que la LPD et le P‑LPD ne précisent pas si l’exi­gence de liberté est respec­tée lorsque le consen­te­ment est donné par l’in­ter­mé­diaire de condi­tions géné­rales . Il souligne toute­fois que la doctrine est d’avis que le consen­te­ment peut vala­ble­ment être donné. A contra­rio, le RGPD, notam­ment en raison de son art. 7 par. 4, est lui plus restric­tif. De fait, il est présumé en droit euro­péen que la personne concer­née n’ex­prime pas libre­ment sa volonté. Ceci est d’au­tant plus vrai que le droit euro­péen prévoit la sépa­ra­tion claire et intel­li­gible des diffé­rentes fina­li­tés de trai­te­ment (consen­te­ment « spéci­fique » ou « granu­la­rité du consen­te­ment »). Nonobstant ce qui précède, l’au­teur est d’avis que :

« le consen­te­ment du déten­teur au trai­te­ment de données person­nelles obtenu par l’émetteur dans les condi­tions géné­rales du contrat d’émission n’est pas libre, dans la mesure où il concerne le trai­te­ment de données person­nelles qui ne sont pas abso­lu­ment néces­saires à l’émission de la carte. »

L’avis de l’au­teur tranche avec celui de la doctrine préci­tée. Son avis est notam­ment motivé en raison du fait que les auto­ri­tés helvé­tiques doivent tenir compte, dans une certaine mesure, des critères rete­nus par le RGPD dans un but d’as­su­rer une certaine euro­com­pa­ti­bi­lité du droit suisse de la protec­tion des données. Celle-ci est selon lui primor­diale d’un point de vue juri­dico-écono­mique, notam­ment en raison du fait que la Commission euro­péenne doit encore évaluer la nouvelle légis­la­tion suisse sur la protec­tion des données et rendre ensuite une déci­sion d’adé­qua­tion.  En outre, son raison­ne­ment est égale­ment motivé par le fait qu’une entre­prise suisse est suscep­tible d’être concer­née par le RGPD en raison de son champ d’ap­pli­ca­tion extra­ter­ri­to­rial (art. 3 al. 2).