swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La liberté du consentement au traitement de données personnelles par le biais de conditions générales

Livio di Tria, le 2 décembre 2020

Damien Oppliger, avocat au sein de l’Étude Kellerhals Carrard et docteur en droit, a publié un article dans le Bulletin CEDIDAC n° 89 (exclu­si­ve­ment dispo­nible aux membres du club CEDIDAC dans un premier temps) trai­tant de la liberté du consen­te­ment au trai­te­ment de données person­nelles par le biais de condi­tions géné­rales en prenant comme exemple celui des contrats d’émis­sion de carte de crédit. L’auteur revient sur plusieurs points.

Premièrement, l’au­teur analyse les caté­go­ries de données person­nelles étant collec­tées et exploi­tées dans le cadre de l’exé­cu­tion d’un contrat d’émis­sion d’une carte de crédit. Il s’agit d’une part des infor­ma­tions sur la situa­tion finan­cière du déten­teur qui permettent à l’émet­teur de fixer une limite à l’uti­li­sa­tion de la carte de crédit, pour autant que la carte soit soumise à la Loi fédé­rale du 23 mars 2001 sur le crédit à la consom­ma­tion (LCC) confor­mé­ment à son art. 1 al. 2 let. b. D’autre part, l’émet­teur traite égale­ment des infor­ma­tions sur les biens et les services que le déten­teur a obte­nus au moyen de sa carte. Ce faisant, l’émet­teur a la possi­bi­lité d’éta­blir un profil de consom­ma­tion du déten­teur, lui permet­tant d’af­fi­ner ses objec­tifs marketing.

Deuxièmement, l’au­teur souligne l’asy­mé­trie d’in­for­ma­tion entre les parties lors­qu’un émet­teur de carte de crédit formule à l’avance les condi­tions géné­rales du contrat d’émis­sion. En effet, le déten­teur n’a pas d’autre choix que d’ac­cep­ter ces condi­tions. Ceci est d’au­tant plus problé­ma­tique dans le cadre de la protec­tion des données que le déten­teur d’une carte de crédit pour­rait ne pas vouloir être sujet d’un trai­te­ment de données person­nelles en lien avec l’ana­lyse du compor­te­ment de ses habi­tudes d’achat, qui n’est pas indis­pen­sable à l’émis­sion d’une carte de crédit.

L’imbrication de telles clauses géné­rales est ensuite analy­sée à l’aune de la régle­men­ta­tion suisse (confor­mé­ment à la LPD mais aussi selon le P‑LPD) et de la régle­men­ta­tion euro­péenne en matière de protec­tion des données. L’auteur souligne les diffé­rences exis­tantes s’agis­sant des moda­li­tés du consen­te­ment, notam­ment en ce qui concerne le carac­tère « libre » du consen­te­ment (art. 4 al. 5 LPD ; art. 5 al. 6 P‑LPD devenu entre­temps l’art. 6 al. 6 nLPD, avec quelques modi­fi­ca­tions concer­nant le profi­lage ; art. 4 ch. 11 RGPD et art. 7 RGPD).

L’auteur explique que la LPD et le P‑LPD ne précisent pas si l’exi­gence de liberté est respec­tée lorsque le consen­te­ment est donné par l’in­ter­mé­diaire de condi­tions géné­rales . Il souligne toute­fois que la doctrine est d’avis que le consen­te­ment peut vala­ble­ment être donné. A contra­rio, le RGPD, notam­ment en raison de son art. 7 par. 4, est lui plus restric­tif. De fait, il est présumé en droit euro­péen que la personne concer­née n’ex­prime pas libre­ment sa volonté. Ceci est d’au­tant plus vrai que le droit euro­péen prévoit la sépa­ra­tion claire et intel­li­gible des diffé­rentes fina­li­tés de trai­te­ment (consen­te­ment « spéci­fique » ou « granu­la­rité du consen­te­ment »). Nonobstant ce qui précède, l’au­teur est d’avis que :

« le consen­te­ment du déten­teur au trai­te­ment de données person­nelles obtenu par l’émetteur dans les condi­tions géné­rales du contrat d’émission n’est pas libre, dans la mesure où il concerne le trai­te­ment de données person­nelles qui ne sont pas abso­lu­ment néces­saires à l’émission de la carte. »

L’avis de l’au­teur tranche avec celui de la doctrine préci­tée. Son avis est notam­ment motivé en raison du fait que les auto­ri­tés helvé­tiques doivent tenir compte, dans une certaine mesure, des critères rete­nus par le RGPD dans un but d’as­su­rer une certaine euro­com­pa­ti­bi­lité du droit suisse de la protec­tion des données. Celle-ci est selon lui primor­diale d’un point de vue juri­dico-écono­mique, notam­ment en raison du fait que la Commission euro­péenne doit encore évaluer la nouvelle légis­la­tion suisse sur la protec­tion des données et rendre ensuite une déci­sion d’adé­qua­tion.  En outre, son raison­ne­ment est égale­ment motivé par le fait qu’une entre­prise suisse est suscep­tible d’être concer­née par le RGPD en raison de son champ d’ap­pli­ca­tion extra­ter­ri­to­rial (art. 3 al. 2).

Sur ce thème
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED)
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law