96.081
Message concernant l'adhésion à la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel
du 13 novembre 1996
Messieurs les Présidents, Mesdames et Messieurs, .
Par le présent message, nous vous soumettons, en vous proposant de l'adopter, un projet d'arrêté fédéral portant approbation de la Convention du Conseil de l'Europe, du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE nº 108).
Nous vous prions d'agréer, Messieurs les Présidents, Mesdames et Messieurs, l'assurance de notre haute considération.
13 novembre 1996
Au nom du Conseil fédéral suisse:
Le président de la Confédération, Delamuraz Le chancelier de la Confédération, Couchepin
1996 - 636 45 Feuille fédérale. 149e année. Vol. I
701
·
.
:
1
/
Condensé
Le développement technologique actuel en matière d'information facilite le traitement et la diffusion des données personnelles non seulement sur l'ensemble du territoire national, mais également au-delà de nos frontières, notamment grâce à l'internationa- lisation des réseaux et à la multiplication des autoroutes de l'information. La protection des données doit dès lors être assurée tant au plan national qu'au plan international. L'efficacité des dispositions nationales de protection des données dépend de la coopération internationale et de l'harmonisation des systèmes nationaux de protection des données, car les flux d'informations ignorent en principe les frontières. Du fait des distorsions juridiques entre les différents Etats, ces flux peuvent intervenir aux dépens de la protection de la personnalité et des droits et libertés fondamentaux des individus et entraîner l'apparition de «paradis de données».
La Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE nº 108) est un pas important vers l'harmonisation des législations nationales et vers le développement de la coopération internationale afin d'assurer un niveau élevé de protection des données tout en garantissant la libre circulation des informations sans considération de frontières. Elle constitue un complément indispensable à la Convention européenne des droits de l'homme, ratifiée par la Suisse le 28 novembre 1974, car elle en concrétise les articles 8 et 10 dans le domaine du traitement automatisé des données à caractère personnel.
La Convention s'applique à tous les fichiers et traitements automatisés de données personnelles dans les secteurs public et privé, pour autant que ces données concernent des personnes physiques identifiées ou identifiables. Elle définit les principes de base de la protection des données que les Etats parties doivent concrétiser dans leur ordre juridique interne. Elle exclut en principe les entraves aux flux transfrontières de données entre les Etats parties. Elle règle la coopération entre Etats pour la mise en œuvre de la Convention, en particulier l'assistance qu'un Etat partie doit prêter aux personnes concernées ayant leur résidence à l'étranger. Enfin, elle met en place un Comité consultatif chargé en particulier de faciliter et d'améliorer son application. Cette Convention a été ratifiée par 17 Etats membres du Conseil de l'Europe. Quatre autres l'ont signée. A l'exception de la Suisse et de la Hongrie, tous les Etats qui n'ont pas encore ratifié la Convention ne disposent pas encore d'une législation conforme aux exigences de la Convention.
En résumé, l'adhésion à la Convention est une nécessité politique et juridique dans un monde de plus en plus interactif si l'on entend renforcer la protection juridique des individus lors du traitement de données personnelles et faciliter l'échange d'informa- tions entre la Suisse et les autres Etats parties. Le droit suisse actuel satisfait aux exigences de la Convention. Le Conseil fédéral a régulièrement fait part de son intention d'adhérer à la Convention. Il est ainsi convaincu que la Suisse, en adhérant à cet instrument, apportera une contribution importante à l'harmonisation et à la coopération internationale en matière de protection des données.
702
Message
1
Partie générale
11 Introduction
Les traitements de données personnelles et les risques d'atteintes aux droits de la personnalité et aux droits fondamentaux des personnes concernées qu'ils en- gendrent, ne sont pas limités, tant quantitativement que qualitativement, au territoire national. La société de l'information que nous connaissons depuis l'avènement de l'informatique et l'apparition de nouvelles techniques de télécom- munications (avènement du multimédia, autoroutes de l'information, Internet) revêt un caractère international toujours plus marqué. Tant dans les secteurs privé, économique, commercial, scientifique, culturel et touristique que dans le secteur public, nous assistons à des échanges et à une dissémination trans- frontières d'informations à caractère personnel toujours plus importants, qui, du point de vue de la protection des données, affaiblissent la position des personnes concernées, en particulier lorsque les données sont communiquées vers des Etats n'assurant pas une protection équivalente à celle prévue par la législation suisse. Et même lorsque les données communiquées en dehors du champ d'application territorial de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)1)*) demeurent soumises à des dispositions de protection des données adéquates, il est difficile pour la personne concernée de faire valoir ses droits à l'étranger et de déterminer quels sont la procédure à suivre et le droit applicable. Il existe également un risque de voir se créer des «paradis de données» qui anéantiraient les efforts des pays qui se sont dotés d'une législation adéquate sur la protection des données.
En adoptant la LPD, notre pays a franchi un pas important et comblé une lacune. Il dispose ainsi d'une loi qui garantit un niveau de protection adéquat lors du traitement des données personnelles par des personnes privées ou par des organes publics fédéraux. Les cantons doivent légiférer pour les traitements de données personnelles effectués dans leurs domaines de compétences. Seize cantons disposent ainsi d'une telle loi, un dispose de quelques dispositions cadres au niveau de la loi au sens formel et d'une ordonnance d'application, cinq s'apprêtent à en adopter une, les autres étant soumis à la LPD lorsqu'ils traitent des données en exécution du droit fédéral2).
Face à un flux d'informations qui ne connaît en principe pas de frontières, la protection de la personnalité et des droits fondamentaux des personnes sujettes au traitement de données personnelles est néanmoins insuffisante si elle n'est garantie que par le biais de dispositions de droit national en l'absence de normes internationales. Une coopération internationale tendant à une harmonisation des solutions nationales est nécessaire pour assurer un niveau élevé de protection des données et pour rendre efficaces les dispositions de protection des données, tout en garantissant, autant que faire se peut, la libre circulation des informations sans considération de frontières. C'est dans cette optique que le Conseil de l'Europe a
*) La note 1) ainsi que les autres notes se trouvent à la fin du message.
703
.. -
1
1
adopté la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, qui a été ouverte à la signature le 28 janvier 1981. Cette Convention, ratifiée par 17 Etats membres du Conseil de l'Europe, est entrée en vigueur le 1er octobre 1985. Elle est également ouverte à la signature de pays non membres. Elle a donné une orientation décisive au développement du droit de la protection des données en énonçant les principes qui constituent le fondement de toute loi en ce domaine, permettant ainsi l'harmonisation des droits nationaux et favorisant, dès lors, la libre circulation des données. Les principes définis dans la Convention revêtent un caractère général, et il appartient à chaque Etat de les préciser et de les aménager dans son droit national.
12 Elaboration de la Convention
Le Conseil de l'Europe s'est attaché dès la fin des années soixante aux problèmes soulevés par le recours à l'informatique, notamment eu égard au respect de la vie privée et des droits fondamentaux de la personne humaine. En 1968, l'Assemblée parlementaire du Conseil de l'Europe adressait au Comité des Ministres sa Recommandation 509, dans laquelle elle l'invitait à examiner si la Convention européenne des Droits de l'homme (CEDH) et les législations nationales des différents Etats membres étaient suffisantes pour garantir la protection du droit à la vie privée face à la science et à la technologie modernes. Dans son étude, le Comité des Ministres est parvenu à la conclusion que les législations nationales offraient une protection insuffisante à la vie privée ainsi qu'aux autres droits et intérêts des personnes physiques vis-à-vis des banques de données automatisées3). De plus, la CEDH n'offrait pas un cadre adéquat pour la protection des individus eu égard au traitement moderne des données, notamment du fait qu'elle garantis- sait les droits des individus vis-à-vis des interventions étatiques et n'avait pas d'effets dans les relations entre personnes privées4). La nécessité d'éviter de trop grandes différences entre les diverses lois nationales alors en préparation et la reconnaissance du caractère international du traitement des données ont amené le Conseil de l'Europe à adopter, dans un premier temps, deux recommandations définissant les principes fondamentaux de la protection des données (la Résolu- tion (73) 22 relative à la protection de la vie privée des personnes physiques vis-à-vis des banques de données électroniques dans le secteur privé, adoptée par le Comité des Ministres le 26 septembre 1973, et la Résolution (74) 29 relative à la protection de la vie privée des personnes physiques vis-à-vis des banques de données électroniques dans le secteur public, adoptée par le Comité des Ministres le 20 septembre 1974).
Donnant suite à une proposition de la 7e Conférence des ministres européens de la justice (Bâle, 1972) dans sa Résolution 3, le Comité des Ministres du Conseil de l'Europe a, en 1976, chargé le Comité d'experts sur la protection des données (CJPD), dépendant du Comité européen de coopération juridique (CDCJ), «d'élaborer une Convention pour la protection de la vie privée par rapport au traitement des données à l'étranger et au traitement transfrontière des données.»5) Le projet de Convention a été élaboré de novembre 1976 à avril 1980 par un groupe d'experts du CJPD provenant de dix Etats membres, dont la Suisse. Ce groupe
704
:
s'est réuni à plusieurs reprises; le projet de Convention a été finalisé par le CJPD lors de cinq réunions plénières. Revu par le CDCJ lors de sa 33e réunion, le texte a été adopté par le Comité des Ministres le 17 septembre 1980, lequel a décidé de l'ouvrir à la signature des Etats le 28 janvier 1981. La Convention est entrée en vigueur le 1er octobre 1985, cinq Etats membres6) l'ayant ratifiée. Actuellement, 17 Etats membres l'ont ratifiée 7). Quatre autres Etats l'ont signée 8). La Conven- tion est une convention ouverte, c'est-à-dire que les Etats non membres du Conseil de l'Europe peuvent également y devenir partie. A l'exception de la Suisse et de la Hongrie, tous les Etats membres qui ne sont pas parties à la Convention ne disposent pas encore d'une législation conforme aux exigences de la Conven- tion.
13 But et contenu essentiel de la Convention
La Convention a notamment pour objet de garantir à toute personne physique le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant, sans pour autant nuire à la liberté d'information et dresser des barrières protectionnistes aux échanges transfrontières. Les restric- tions ou conditions s'appliquant à l'exercice de la liberté d'information, liberté consacrée dans les instruments internationaux et européens sur les droits de l'homme, sont, aux termes de la Convention, justifiées uniquement par la protection d'autres droits et libertés individuelles, notamment le droit au respect de la vie privée9). La Convention tend aussi à harmoniser les différents droits nationaux en énonçant un standard minimum élevé de protection des données propre à éliminer les barrières aux flux transfrontières de données érigées pour des motifs de protection de la vie privée. -
Après avoir défini le but, formulé une série de définitions et énoncé son champ d'application (chap. I), la Convention fixe au chapitre II les principes de base pour la protection des données, principes qui en constituent le noyau dur. Ces principes garantissent aux personnes concernées, quelle que soit leur nationalité, dans tous les Etats parties à la Convention, une protection minimale lors du traitement automatisé de données personnelles par des personnes privées ou des organes publics. La Convention n'est cependant pas directement applicable. Les individus ne peuvent en effet pas en déduire de droits qu'ils peuvent faire valoir en justice. Chaque Etat partie doit ainsi prendre dans son droit interne les mesures nécessaires pour donner effet aux principes de base de la protection des données (art. 4). Le chapitre III est consacré aux flux transfrontières de données. Il vise à concilier les exigences de la libre circulation des informations sans considération de frontières avec celles de la protection des données. Les chapitres IV et V définissent les mécanismes de coopération entre les parties en réglant l'entraide entre autorités pour la mise en œuvre de la Convention, de même que l'assistance aux personnes concernées, et en instituant un Comité consultatif chargé notam- ment de faciliter ou d'améliorer l'application de la Convention. Enfin, les chapitres VI et VII contiennent la procédure d'amendement et les dispositions finales, lesquelles fixent l'entrée en vigueur, déterminent les procédures d'adhé- sion, de dénonciation et de notification, excluent les réserves et prévoient une clause territoriale.
705
14 Conditions d'adhésion
Aux termes de l'article 4 de la Convention, chaque Etat partie doit, au plus tard au moment de l'entrée en vigueur de la Convention à son égard, prendre les mesures nécessaires pour donner effet aux principes fondamentaux de la protection des données énoncés aux articles 5 à 11 (licéité et loyauté de la collecte et du traitement, finalité déterminée, principes de proportionnalité et d'exactitude, interdiction de traitement de données sensibles sans garantie appropriée, sécurité des données, droits des personnes concernées, contrôle).
Cela implique en principe l'adoption d'une loi de protection des données ou, à tout le moins, de dispositions juridiques - générales ou spécifiques - adéquates. Le texte de l'article 4 n'exige en effet pas expressément l'adoption d'une loi au sens formel, mais les dispositions doivent avoir néanmoins un caractère contrai- gnant10). Pour la Suisse, Etat fédéral, cela implique non seulement que la Confédération ait adopté une réglementation sur la protection des données, mais aussi que l'ensemble des cantons aient en principe légiféré dans leurs domaines de compétences. Actuellement, seize cantons11) ont une loi sur la protection des données. Ces lois sont dans l'ensemble conformes aux exigences de la Convention. Un canton12) a intégré quelques dispositions minimales dans son code de procédure administrative, complétées par une ordonnance gouvernementale. Quatre cantons 13) ont édicté des directives, alors que cinq cantons 14) ne disposent d'aucune réglementation spécifique sur la protection des données. Ces neuf cantons15) sont cependant soumis à la LPD lorsqu'ils effectuent des traitements de données en exécution de tâches régies par le droit fédéral (art. 37 LPD). Enfin, six cantons 16) ont une disposition de protection des données dans leur constitu- tion. Il en résulte qu'une grande partie des traitements et des fichiers de données personnelles sont régis par des dispositions de protection des données fédérales et/ou cantonales. Toutefois, certains fichiers du secteur public cantonal échappent encore en partie à un régime particulier de protection des données. En l'absence de dispositions légales spécifiques, ces fichiers sont néanmoins soumis aux principes généraux découlant de la jurisprudence du Tribunal fédéral relative, notamment, à l'article 4 de la constitution (cst.) et à la liberté personnelle, laquelle détermine un standard minimum en matière de protection des don- nées 17). Nombre de ces fichiers sont en fait indirectement soumis au droit fédéral de la protection des données puisqu'ils contiennent également des données collectées et traitées en exécution de tâches fédérales (p. ex. fichiers fiscaux). Bien qu'il demeure nécessaire que tous les cantons se dotent d'une loi générale sur la protection des données, l'ordre juridique suisse satisfait de manière suffisante aux exigences de la Convention, et la Suisse répond aux critères établis par l'article 4 de la Convention. Le Comité consultatif de la Convention a d'ailleurs formulé un avis positif en ce sens lors de sa 11e réunion (7 au 10 nov. 1995).
15 Appréciation de la Convention 18)
La Convention est un pas important vers l'adoption de règles internationales de protection des données et vers l'harmonisation des législations nationales.
706
1
En adhérant à cet instrument, la Suisse soulignera l'importance qu'elle attache aux travaux du Conseil de l'Europe dans le domaine des droits fondamentaux et de la protection des données. Elle a d'ailleurs joué un rôle actif dans l'élaboration de la Convention et continue de jouer un tel rôle dans l'élaboration des différentes recommandations sectorielles qui en découlent. L'adhésion sera dès lors la suite logique de cette participation active de notre pays.
L'adhésion à cet instrument permettra de garantir la libre circulation des informations entre Etats parties, ce qui est particulièrement important pour notre économie. Si l'exportation d'informations, du moins vers des Etats dotés d'une législation équivalente 19), ne soulève en général pas de difficultés du point de vue de l'Etat d'accueil, il n'en va pas de même lorsque des données doivent être importées d'un Etat partie à la Convention. Dans un tel cas, la Suisse pourrait être pénalisée si elle renonçait à adhérer à la Convention, notamment à l'égard de l'Union européenne (voir le ch. 5 ci-dessous).
L'adhésion permettra également de renforcer la position des personnes concer- nées lorsqu'elles souhaitent exercer leurs droits dans un autre Etat partie, grâce aux mesures d'assistance mises en place par la Convention.
Enfin, en adhérant à la Convention, nous nous mettrons en position plus favorable dans l'optique d'une adhésion ou d'une participation, sous une forme ou sous une autre, à certains accords européens, notamment en matière douanière, de police et d'immigration.
Le Conseil fédéral a régulièrement fait part de son intention d'adhérer à la Convention dès que la Suisse en remplirait les conditions 20).
16 Procédure de consultation
Selon l'article 1er, 2e alinéa, lettre b, de l'ordonnance du 17 juin 199121) sur la procédure de consultation, les actes législatifs et les traités internationaux qui sont d'une portée considérable sur le plan politique, financier ou économique ou dont l'exécution sera confiée en grande partie à des organes extérieurs à l'ad- ministration fédérale, doivent être soumis à une procédure de consultation. Ces conditions ne s'appliquent pas à la présente Convention, qui est déjà très largement transposée en droit suisse et qui n'entraînera pas de coûts supplé- mentaires. On a dès lors renoncé à une procédure de consultation.
2 Partie spéciale Les dispositions de la Convention et leurs rapports avec le droit suisse en vigueur
2.1 Objet et but
L'article premier définit l'objet et le but de la Convention, à savoir garantir à toute personne physique le respect de ses droits et de ses libertés fondamentales, notamment de son droit à la vie privée lors du traitement automatisé de données personnelles. Il ne s'agit pas de protéger les données, mais bien les personnes dont les données font l'objet d'un traitement. Cette disposition fixe le cadre de
707
l'interprétation et la portée des principes et règles énoncés tant dans la Conven- tion que dans les législations nationales en la matière. La Convention couvre uniquement la protection des données personnelles relatives à des personnes physiques, alors que le droit suisse, et en particulier la LPD, étend également la protection aux personnes morales. Conformément au principe général du Conseil de l'Europe et de ses Etats membres en faveur de la protection des droits individuels, les garanties énoncées dans la Convention s'appliquent à toute personne physique, indépendamment de sa nationalité ou de son lieu de ré- sidence. Il ne serait ainsi pas compatible avec la Convention d'introduire dans la législation nationale des restrictions à la protection des données relatives à des ressortissants d'un Etat étranger ou à des étrangers résidant légalement en Suisse 22).
Alors que la LPD et la grande majorité des lois cantonales couvrent l'ensemble des traitements de données personnelles, quels que soient les moyens et les procédés utilisés (approche non technologique), la Convention se limite aux seuls traitements automatisés. Toutefois, les Etats peuvent étendre le champ d'applica- tion aux traitements manuels.
2.2 Définitions
o
L'article 2 donne une définition des termes spécifiques au domaine de la protection des données qui sont utilisés dans la Convention («données à caractère personnel», «fichier automatisé», «traitement automatisé», «maître du fichier»).
Lettre a Données à caractère personnel
Par «données à caractère personnel», on entend toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (personne concer- née). Ces informations peuvent prendre la forme de mots, d'images ou de signes. Une personne est identifiée lorsqu'il ressort directement des informations déte- nues qu'il s'agit d'une personne déterminée et d'elle seule. Une personne est identifiable lorsque, par corrélation indirecte d'informations tirées des cir- constances ou du contexte, on peut l'identifier. Une possibilité théorique n'est cependant pas suffisante pour admettre la possible identification. Une personne n'est pas ou plus identifiable dès lors que l'identification nécessite des activités (p. ex. recours à des méthodes très complexes) ou des délais déraisonnables. L'article 3, lettre a, LPD, contient une définition identique de l'expression «données personnelles». On trouve également des définitions similaires dans les législations cantonales.
Lettre b Fichier automatisé
Par «fichier automatisé», la Convention entend tout ensemble d'informations faisant l'objet d'un traitement automatisé. Cette définition recouvre, d'une part, les fichiers consistant en des ensembles compacts de données personnelles et, d'autre part, les ensembles de données personnelles qui sont répartis géo- graphiquement et réunis par l'intermédiaire d'un système automatisé en vue de leur traitement. Par rapport à l'article 3, lettre g, LPD, qui définit le fichier comme «tout ensemble de données personnelles dont la structure permet de rechercher les
708
données par personne concernée», la définition de la Convention est plus limitative puisqu'elle ne vise que les fichiers automatisés. Pour le reste, l'article 3, lettre g, LPD, est similaire à la définition de la Convention et englobe l'ensemble des données organisé de manière à permettre d'obtenir des informations sur une personne déterminée sans un volume de travail déraisonnable.
Lettre c Traitement automatisé
La définition du «traitement automatisé» est également limitée aux opérations effectuées totalement ou en partie à l'aide de procédés automatisés (enregistre- ment des données, application à ces données d'opérations logiques et/ou arith- métiques, modification, effacement, extraction ou diffusion des données). Cette définition «technologique» ne recouvre pas la collecte et les autres traitements manuels. En ce sens, elle est plus limitative que la définition de l'article 3, lettre e, LPD, qui est une définition non technologique. Pour le reste, la définition se veut large et souple, à l'instar de la définition de la LPD, pour permettre une adaptation à l'évolution technologique et notamment au fait que les techniques de traitement des données peuvent rapidement changer.
Lettre d Maître du fichier
Le «maître du fichier» est l'organe ou la personne responsable du fichier, c'est-à- dire celui ou celle qui a la compétence de décider du but du fichier et de son contenu. La définition de la LPD (art. 3, let. i) est similaire.
2.3 Champ d'application
Le champ d'application de la Convention est défini à l'article 3. Il s'étend à tous les fichiers et traitements automatisés de données personnelles du secteur privé et du secteur public. La Convention permet d'exclure de son champ d'application les catégories de fichiers qui ne sont pas, ou pas encore, assujetties à une législation interne en matière de protection des données (art. 3, ch. 2, let. a). L'Etat qui fait usage de cette faculté doit déposer une liste indiquant les catégories de fichiers qui sont ainsi exclues. La LPD, tout comme la plupart des lois cantonales, exclut de son champ d'application certains traitements de données personnelles. Aux termes de son article 2, 2€ alinéa, elle ne s'applique pas:
aux données personnelles qu'une personne physique traite pour un usage exclusivement personnel et qu'elle ne communique pas à des tiers;
aux délibérations des Chambres fédérales et des commissions parlementaires;
aux procédures pendantes civiles, pénales, d'entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l'exception des procédures administratives de première instance;
aux registres publics relatifs aux rapports juridiques de droit privé;
aux données personnelles traitées par le Comité international de la Croix- Rouge.
Les lois cantonales contiennent des exceptions similaires. Certains cantons excluent cependant d'autres traitements ou fichiers du champ d'application de leur loi sur la protection des données. Il s'agit notamment des traitements de données effectués par des organes cantonaux en situation de concurrence écono-
709
!
1
mique (p. ex. banques cantonales), lesquels sont soumis aux dispositions fédérales de droit privé et par conséquent à la LPD, ainsi que des traitements ou fichiers qui sont soumis à des règles sectorielles de protection des données (archives pu- bliques, fichiers de police, fichiers des hôpitaux, fichiers de tribunaux, traitements de données personnelles des Eglises reconnues).
La plupart de ces exceptions au champ d'application des lois fédérales ou cantonales sur la protection des données n'entraînent pas une exception au champ d'application de la Convention. En effet, ces exceptions sont le plus souvent justifiées par le fait que ces traitements ou ces fichiers sont régis par des dispositions particulières de protection des données 23).
La plupart de ces exceptions ne nécessitent pas que nous fassions usage de la possibilité offerte par l'article 3, chiffre 2, lettre a, de la Convention, car les traitements ou les fichiers considérés sont soumis à des dispositions spécifiques de protection des données. Nous devrons néanmoins user de cette possibilité pour les traitements intervenant pour un usage exclusivement personnel, pour les traite- ments en relation avec les délibérations des Parlements fédéral, cantonaux ou communaux et pour les traitements effectués par le Comité international de la Croix-Rouge.
L'article 3, chiffre 2, lettres b et c, permet d'étendre le champ d'application de la Convention au traitement de données personnelles concernant les personnes morales et aux fichiers ne faisant pas l'objet de traitements automatisés. La LPD et les lois cantonales protègent également les personnes morales. Il se justifie dès lors d'étendre le champ d'application de la Convention aux personnes morales. Comme nous l'avons déjà relevé, la LPD et la plupart des lois cantonales (à l'exception de celles des cantons de Genève et de Vaud) suivent une approche non technologique et englobent par conséquent les traitements non automatisés ou manuels. Il se justifie, là également, d'étendre le champ d'application de la Convention à ces traitements. Cet élargissement correspond à la tendance actuelle en Europe puisqu'en particulier la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard des données à caractère personnel et à la libre circulation de ces données24) couvre également les traitements manuels.
2.4 Engagements des parties
L'article 4 est la première disposition du chapitre II de la Convention, intitulé «Principes de base pour la protection des données». Ce chapitre, qui comprend huit articles, constitue le noyau dur de la Convention. L'article 4 prévoit l'obligation, pour les Etats parties, d'adopter des mesures de protection des données pour donner effet aux principes de base de la protection des données (voir le ch. 14 ci-dessus, consacré aux conditions d'adhésion).
2.5 Qualité des données
L'article 5 est une disposition centrale de la Convention. Il énonce cinq principes clefs de la protection des données:
710
Les données doivent être collectées et traitées loyalement et licitement (let. a).
Elles doivent être enregistrées pour des finalités déterminées et légitimes et ne doivent pas être utilisées de manière incompatible avec ces finalités (let. b).
Elles doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées (let. c).
Elles doivent être exactes et, si nécessaire, mises à jour (let. d).
Elles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle qui est nécessaire aux finalités pour lesquelles elles ont été enregistrées (let. e).
Ces principes déterminent à quelles conditions, dans quelle mesure et dans quel cadre des données personnelles peuvent être collectées et traitées. L'objectif est d'éviter des traitements illimités et disproportionnés que la technologie actuelle permet de réaliser sans problème et qui aboutiraient à rendre illusoire le respect de la personnalité et des droits fondamentaux des individus. Ces principes de base se retrouvent dans l'ensemble des législations européennes en matière de protec- tion des données. Ils constituent également le noyau dur des lignes directrices de l'OCDE, du 23 septembre 1980, régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel, acceptées par la Suisse. Ils sont également repris dans la directive 95/46/CE. Ces principes ont été repris plus ou moins tels quels dans la LPD, aux articles 4 et 5. On les retrouve également dans l'ensemble des législations cantonales, sauf dans la loi cantonale vaudoise, qui ne contient pas expressément les principes de licéité et de finalité.
2.6 Catégories particulières de données
L'article 6 définit des catégories particulières de données personnelles dont le traitement automatisé est interdit sauf si le droit interne prévoit des garanties appropriées. Il s'agit des données sensibles, c'est-à-dire des données personnelles révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, des données à caractère personnel relatives à la santé ou à la vie sexuelle, ainsi que des données concernant les condamnations pénales. Ce catalogue n'a pas un caractère exhaustif, et chaque Etat partie peut soumettre à un régime plus strict d'autres catégories de données (art. 11). L'article 3, lettre c, LPD, définit également les données sensibles. Par rapport au catalogue de la Convention, la définition de la LPD est légèrement plus large puisqu'elle fait également figurer au rang des données sensibles l'ensemble des données touchant la sphère intime 25), les mesures d'aide sociale et les données relatives aux poursuites et sanctions administratives. En ce qui concerne les lois cantonales, elles ne possèdent pas toutes un tel catalogue. L'absence de catalogue n'est pas détermi- nante. Certains Etats, dont l'Allemagne et l'Autriche, qui ont ratifié la Conven- tion, ne connaissent pas un tel catalogue. Par contre, la directive 95/46/CE a adopté une approche similaire 26). Il est toutefois nécessaire que le droit interne ménage des garanties appropriées pour le traitement de ces données. La notion de droit interne doit être prise dans un sens large. Elle inclut non seulement des mesures à caractère législatif, mais aussi des actes réglementaires ou administra- tifs 27). La Convention ne donne pas d'indication sur ce qui doit être considéré
.
711
.
1
:
comme une garantie appropriée. Elle s'en remet ici au législateur national. Elle n'exige pas non plus que le traitement de telles données soit interdit, sauf si aucune garantie n'est prévue.
En ce qui concerne les garanties appropriées, la LPD prévoit, dans le secteur public (art. 17, 2e al.), qu'un organe fédéral peut traiter des données sensibles si cela est expressément prévu dans une loi au sens formel ou si, exceptionnellement:
a. l'accomplissement d'une tâche clairement définie dans une loi au sens formel l'exige absolument,
b. le Conseil fédéral l'a autorisé, considérant que les droits des personnes concer- nées ne sont pas menacés, ou
c. la personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun.
Pour que ces données puissent être communiquées au moyen d'une procédure d'appel (principe du self-service), une loi au sens formel doit également le prévoir expressément (art. 19, 3e al.). La collecte de telles données doit être effectuée de façon reconnaissable pour la personne concernée. Dans le secteur privé, la LPD prévoit l'obligation d'annoncer les fichiers lorsque des données sensibles sont traitées sans que le maître du fichier y soit tenu en vertu d'une obligation légale ou sans que la personne concernée en ait connaissance. En outre, leur com- munication à des tiers constitue en soi une atteinte à la personnalité. Elle ne peut intervenir que sur la base d'un motif justificatif (loi, consentement de la personne concernée, intérêt public ou privé prépondérant) (art. 12 et 13). D'autres garanties appropriées sont prévues dans l'ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD)28), notamment sous l'angle des mesures techniques et organisationnelles. On retrouve également de telles garan- ties dans la législation ou dans la pratique des cantons ayant adopté une loi sur la protection des données.
2.7 Sécurité des données
A l'instar de l'article 7 LPD, l'article 7 de la Convention élève au rang de principes fondamentaux de la protection des données la nécessité de prendre les mesures techniques et organisationnelles appropriées afin de protéger les données per- sonnelles «contre la destruction accidentelle ou non autorisée, ou la perte ac- cidentelle, ainsi que contre l'accès, la modification ou la diffusion non autorisés» (sécurité des données). Sans mesure de sécurité adéquate, la protection des données ne peut être efficace. Ces mesures visent à protéger l'information par des moyens techniques et organisationnels appropriés et adaptés au risque encouru afin d'assurer la confidentialité, la disponibilité et l'exactitude des données. Elles doivent en particulier empêcher que des traitements non autorisés puissent avoir lieu. Cette exigence de sécurité des données se retrouve dans l'ensemble des cantons dotés d'une législation sur la protection des données.
2.8 Garanties complémentaires pour la personne concernée
Alors que les articles 5 à 7 de la Convention énoncent les garanties matérielles devant encadrer le traitement de données personnelles, l'article 8 règle les
712
garanties formelles permettant aux personnes concernées de faire valoir leurs droits vis-à-vis de ceux qui traitent des données à leur sujet. Ces garanties découlent du respect de la personnalité et des droits fondamentaux, notamment de la liberté personnelle («droit à l'autodétermination en matière d'information»). C'est ainsi que l'article 8 reconnaît à toute personne le droit:
de connaître l'existence d'un fichier, ses finalités et l'identité du maître du fichier;
d'avoir connaissance des données la concernant enregistrées dans un fichier;
d'obtenir la rectification ou l'effacement des données inexactes, inappropriées ou illicites;
de disposer d'un droit de recours si l'un des éléments précédents n'est pas respecté.
Ces garanties, et en particulier le droit d'accès de la personne concernée, constituent une institution clef de la protection des données29). Elles ne sont pas formulées en termes de droits directement invocables, car la Convention n'est pas d'application directe (self-executing). Ces garanties se retrouvent dans la LPD (art. 8, 15 et 25) et dans les législations cantonales sur la protection des données, en termes de droits subjectifs strictement personnels. En outre, le Tribunal fédéral a également admis ces droits dans sa jurisprudence relative à l'article 4 cst. et à la liberté personnelle 30).
2.9 Exceptions et restrictions
L'article 9 de la Convention prévoit que certains principes fondamentaux de la protection des données (art. 5, 6 et 8), notamment les droits des personnes concernées, peuvent être limités lorsque cela est nécessaire «à la protection des valeurs fondamentales dans une société démocratique»31). Ces dérogations doivent cependant être prévues dans une loi. Selon la jurisprudence de la Cour euro- péenne des droits de l'homme, la notion de loi couvre non seulement le droit écrit, mais également les règles dégagées par la jurisprudence dans la mesure où cette dernière respecte les critères de prévisibilité et d'accessibilité développés par la Cour32). Pour le Tribunal fédéral, «les restrictions portées à un droit fondamental doivent avoir une base légale, être justifiées par un intérêt public prépondérant, respecter le principe de la proportionnalité et ne porter atteinte d'aucune manière à la substance même (ou au noyau intangible) de ce droit.»33) Ces dérogations au titre de l'article 9 doivent également constituer «une mesure nécessaire dans une société démocratique à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts monétaires de l'Etat ou à la répression des infractions pénales», ainsi qu'«à la protection de la personne concernée et des droits et libertés d'autrui» (art. 9, ch. 2). Des restrictions peuvent également s'appliquer aux droits des personnes concer- nées lors de traitements à des fins statistiques ou de recherches scientifiques, dans la mesure où «il n'existe manifestement pas de risques d'atteinte à la vie privée des personnes concernées» (art. 9, ch. 3), notamment lorsque les données sont rendues anonymes et que des mesures adéquates sont prises pour éviter leur utilisation à des fins se référant aux personnes concernées.
La LPD contient une série d'exceptions ou de dérogations au sens de l'article 9 de la Convention. Tout d'abord, dans le secteur privé, celui qui traite des données personnelles peut déroger à certains principes fondamentaux du traitement définis à l'article 5 de la Convention s'il possède un motif justificatif suffisant au
713
sens de l'article 13 LPD34). En outre, le droit d'accès des personnes concernées peut être restreint si une loi le prévoit ou si un intérêt public prépondérant (notamment sûreté intérieure ou extérieure de la Confédération, compromission d'une instruction pénale ou d'une autre procédure d'instruction) ou un intérêt privé prépondérant l'exigent. Enfin, dans le secteur public, la LPD permet des exceptions pour le traitement de données personnelles dans des domaines particuliers de la lutte contre la criminalité et dans le domaine de la sécurité militaire. D'autres exceptions ont été apportées dans des lois sectorielles 35).
En ce qui concerne les cantons, on retrouve également certaines dérogations conformes à l'article 9 de la Convention, lesquelles ont en particulier trait à l'exercice du droit d'accès. Il appartiendra par contre aux tribunaux compétents de se prononcer, le cas échéant, sur la compatibilité avec la Convention des exceptions au droit d'accès liées à une charge administrative disproportionnée qui sont prévues dans certaines législations cantonales.
Notons encore que, dans les cantons qui n'ont pas encore adopté une loi sur la protection des données, des exceptions au titre de l'article 9 de la Convention ne sont licites que si elles sont prévues dans une loi au sens susmentionné.
2.10 Sanction et recours
L'article 10 de la Convention prévoit l'obligation pour les Etats parties d'«établir des sanctions et recours appropriés visant les violations aux dispositions du droit . interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre.» Afin de garantir une protection des données efficace, il est nécessaire de prévoir la possibilité de sanctionner les abus. La LPD prévoit des sanctions civiles (art. 15), administratives (art. 25) et pénales (art. 34 et 35; voir également les art. 143 ss, 179 novies et 321bis CP). En outre, elle charge le préposé fédéral à la protection des données de veiller au respect des dispositions fédérales de protection des données et, le cas échéant, d'émettre des recommandations. Le droit cantonal prévoit également des sanctions administratives, voire pénales. Les cantons ayant une loi générale sur la protection des données disposent pour la plupart d'un organe de surveillance (commission ou préposé). En outre, les autres cantons sont également tenus d'avoir un tel organe en vertu de l'article 37, 2e alinéa.
2.11 Protection plus étendue
Aux termes de l'article 11 de la Convention, les Etats parties peuvent prévoir des droits ou des mesures de protection des données plus étendus et aller au-delà des exigences de la Convention. Celle-ci constitue le standard minimum que chaque Etat partie doit atteindre. L'article 11 a été inspiré de l'article 60 CEDH.
2.12 Flux transfrontières de données
L'une des finalités de la Convention est d'assurer l'harmonisation des législations nationales sur la protection des données et de garantir un niveau équivalent de
714
L
protection des données dans l'ensemble des Etats parties. Cela doit, tout en assurant une protection des données suffisante, permettre de garantir la libre circulation des données sans considération de frontières, dès lors que diminuent les risques inhérents à l'internationalisation du traitement des données per- sonnelles, et notamment le risque de soustraction des données aux principes fondamentaux de la protection des données. Ainsi, aux termes de l'article 12 de la Convention, les Etats parties ne peuvent pas dresser des entraves (interdictions, autorisations) aux flux transfrontières de données dans le seul but d'assurer la protection de la vie privée. Cette disposition peut prêter à confusion. Toutefois, selon le rapport explicatif, «l'expression «aux seules fins de la protection de la vie privée» apporte une clarification importante dans ce sens qu'un Etat contractant ne peut pas invoquer la Convention pour justifier une restriction à des flux transfrontières de données pour des raisons qui n'ont rien à voir avec la protection de la vie privée (par exemple des barrières déguisées au commerce).»36) «La raison fondamentale de cette règle est que, tous les Etats contractants ayant souscrit au «noyau dur» des dispositions en matière de protection des données énoncées au chapitre II, ils offrent un certain niveau minimal de protection.»37) Les entraves visées concernent uniquement l'exportation de données, et non l'importation qui est soumise au régime de protection de l'Etat importateur38). Cette disposition ne s'oppose cependant pas à l'introduction d'une obligation de déclaration aux fins d'informa- tions sur les flux transfrontières ou à l'indication, lors d'une procédure d'enre- gistrement des fichiers, des destinataires réguliers de données personnelles. Elle ne s'oppose pas non plus à l'introduction de règles matérielles régissant l'échange de données (p. ex. respect du principe de spécialité)39). L'article 12, chiffre 3, permet également aux Etats parties de soumettre à des conditions restrictives la communication transfrontière de données personnelles lorsque la législation nationale prévoit une réglementation spécifique pour certaines catégories de données à caractère personnel ou de fichiers automatisés de données à caractère personnel, en raison de la nature de ces données ou de ces fichiers. Toutefois, une telle restriction ne peut se justifier que du fait de l'absence de protection équivalente dans la réglementation de l'autre Etat partie. Il s'agit en particulier des fichiers contenant des données sensibles au sens de l'article 6 ou des fichiers soumis à une protection plus étendue en conformité avec l'article 11. Cela vise également les traitements et les fichiers manuels ou ceux concernant les per- sonnes morales, dans la mesure où un Etat partie a étendu le champ d'application à ce type de traitement ou de fichier. Cela concerne enfin les catégories de fichiers qui ne sont pas soumises à la protection des données dans l'Etat destinataire. Une dérogation au principe de libre circulation est également possible pour éviter que des données transitent par un Etat partie à destination d'un Etat non partie et entraînent un contournement de la loi.
La LPD n'introduit pas d'autorisation de transfert. Elle interdit en soi la communication transfrontière de données qui menacerait gravement la personna- lité des personnes concernées, notamment du fait de l'absence d'une protection équivalente à celle qui est garantie en Suisse (art. 6, 1er al.). Il est ainsi admis que les Etats parties à la Convention disposent en principe d'une législation équi- valente. La LPD prévoit en outre une obligation de déclaration des transferts de fichier lorsque la communication ne découle pas d'une obligation légale ou lorsqu'elle a lieu à l'insu de la personne concernée (art. 6, 2e al.). L'article 7,
715
2ª alinéa, OLPD, dispense de la déclaration les transferts à destination d'Etats ayant une législation équivalente pour autant que le transfert ne porte pas sur des données sensibles ou des profils de la personnalité ou que les données ne soient pas destinées à être réexportées vers un Etat sans législation équivalente. L'approche suivie par le législateur suisse est conforme à la Convention. Dans les cantons, à l'exception de la loi jurassienne, qui soumet le transfert transfrontière à une exigence d'équivalence, aucune loi ne régit spécifiquement les flux trans- frontières de données.
2.13 Entraide
Le chapitre IV de la Convention (art. 13 à 17) régit l'entraide entre les Etats parties. Le respect et l'efficacité des principes fondamentaux de la Convention dépendent non seulement de l'adoption d'une loi nationale, mais également de la mise en place d'instruments permettant d'assurer la coopération entre Etats. Les Etats parties sont tenus de se prêter mutuellement assistance et de désigner à cet effet une ou plusieurs autorités chargées de cette tâche (art. 13). Pour la Suisse et conformément à l'article 31 LPD, cette tâche sera assumée par le préposé fédéral à la protection des données. Pour des raisons d'efficacité et de simplification des procédures, il n'est pas besoin de désigner d'autres organes, notamment les autorités cantonales de protection des données, pour remplir cette tâche. Lors- qu'une demande d'assistance aura trait à un traitement de données effectué par un organe cantonal, le préposé fédéral à la protection des données jouera le rôle d'intermédiaire entre le canton concerné et l'autorité étrangère d'où émane la demande. Il transmettra en particulier la demande à l'autorité cantonale com- pétente. L'assistance prévue est de nature générale (informations sur la législation et la pratique nationales) et particulière (informations sur un traitement détermi- né, sans communication de données personnelles).
Aux termes de l'article 14 de la Convention, une assistance doit également être fournie aux personnes concernées qui résident sur le territoire d'un Etat partie et qui souhaitent faire valoir leurs droits sur le territoire d'un autre Etat partie. L'assistance est liée au respect de garanties particulières (principe de finalité, confidentialité et non-intervention d'une autorité au nom d'une personne concer- née sans son consentement exprès) (art. 15). L'assistance doit être assurée. Toutefois, elle peut, dans certains cas, être refusée (incompatibilité avec les compétences de l'autorité habilitée à répondre, non-conformité aux dispositions de la Convention ou traitement de la demande incompatible avec la souveraineté, la sécurité ou l'ordre public, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de l'Etat requis) (art. 16). Les frais inhérents à l'assistance sont limités aux éventuels frais d'interprète ou d'experts et sont à la charge de l'Etat d'où émane la demande. La personne concernée ayant requis l'assistance ne supporte des frais que dans une mesure identique à ceux exigibles des personnes résidant dans l'Etat requis. La Convention ne prévoit aucune exigence quant à la forme, à la procédure et à la langue. Ces aspects sont réglés directement entre les parties concernées (art. 17).
716
2.14 . Comité consultatif
La Convention n'a pas mis en place d'instance de contrôle supranationale. Elle prévoit néanmoins un Comité consultatif constitué d'un représentant de chaque Etat partie (art. 18) et chargé de faire des propositions pour faciliter ou améliorer l'application de la Convention. Ce Comité peut également donner des avis sur toute question relative à la Convention (art. 19, let. a et d). Il peut aussi proposer des amendements à la Convention et doit donner son avis sur tout amendement émanant d'un Etat partie ou du Comité des Ministres (art. 19, let. b et c). Ce Comité joue un rôle important en particulier dans l'interprétation de la Conven- tion.
2.15 Dispositions finales
Les dispositions finales de la Convention (art. 22 à 27) correspondent, à quelques particularités près, à celles des autres conventions du Conseil de l'Europe. On peut en particulier relever ce qui suit:
La Convention est ouverte non seulement aux Etats membres du Conseil de l'Europe, mais aussi aux Etats non membres, sur invitation du Comité des Ministres (art. 23). Cela est en particulier dû au fait que la Convention a été élaborée en collaboration étroite avec l'OCDE et les Etats membres non euro- péens de cette organisation (notamment le Canada, l'Australie et les Etats-Unis). A l'heure actuelle, aucun Etat non membre du Conseil de l'Europe n'a adhéré à cette Convention, mais le Canada y serait favorable.
La Convention contient une clause territoriale (art. 24) qui permet d'exclure du champ d'application certains territoires. Cette clause est conçue pour les terri- toires lointains placés sous la juridiction d'un des Etats parties 40). Un Etat fédéral, telle la Suisse, ne pourrait l'invoquer pour exclure l'un ou l'autre canton du champ d'application.
Enfin, la Convention exclut toute possibilité d'émettre des réserves (art. 25). En effet, «les règles contenues dans cette Convention constituent les éléments les plus fondamentaux et essentiels pour une protection efficace des données.» 41).
3 Conséquences financières et effets sur l'état du personnel
L'adhésion à la Convention n'aura aucune incidence financière et n'entraînera aucun effet sur l'effectif du personnel du préposé fédéral à la protection des données. Il en ira de même dans les cantons.
4 Programme de la législature
L'adhésion à la Convention fait partie du programme de la législature 1995- 1999 42).
46 Feuille fédérale. 149º année. Vol. I
717
.
I
5 Relation avec le droit européen
L'adhésion constituera un signal positif à l'égard des autres pays membres du Conseil de l'Europe, démontrant que notre ordre juridique est parfaitement conforme aux exigences élevées de la Convention et rappelant l'importance que nous attachons à l'harmonisation des législations nationales. L'adhésion sera particulièrement importante à l'égard de nos partenaires de l'Union européenne qui, à l'exception de l'Italie, sont tous parties à la Convention du Conseil de l'Europe. La directive 95/46, adoptée le 24 octobre 1995,43) vise également à créer un niveau de protection des personnes équivalent dans toute l'Union européenne en posant un cadre de règles susceptibles d'une très large application à tous les secteurs de la vie économique. Cette directive poursuit les mêmes objectifs que la Convention, tout en en précisant et en en amplifiant les principes. Elle garantit ainsi le libre flux à l'intérieur de l'Union européenne, tout en interdisant un tel flux vers des Etats tiers qui ne disposeraient pas d'une législation sur la protection des données jugée adéquate 44). En adhérant à la Convention, la Suisse poursuit globalement les mêmes objectifs que les Etats membres de l'Union européenne. En outre, nous garantirons l'existence d'une législation adéquate, ce qui devrait en principe nous mettre à l'abri de restrictions à notre égard.
6 Constitutionnalité
La compétence de la Confédération d'adhérer à la Convention découle de l'article 8 cst. La compétence de l'Assemblée fédérale repose sur l'article 85, chiffre 5, cst. La Convention peut être dénoncée à tout moment et ne prévoit pas l'adhésion à une organisation internationale. Elle n'entraîne pas non plus une unification multilatérale du droit au sens de l'article 89, 3ª alinéa, lettre c, cst. Certes, les Etats s'engagent à adapter leur droit aux normes minimales de la Convention et à prendre, avant de devenir partie, les mesures nécessaires pour donner effet aux principes de base pour la protection des données (art. 4, ch. 1). Les dispositions très importantes de la Convention ne renferment toutefois aucune norme qui se substituerait au droit national ou le compléterait et qui serait d'application directe pour les autorités des Etats ou pour les citoyens. Dans ces conditions, l'arrêté fédéral n'est pas sujet au référendum facultatif.
N38962
718
Notes
Voir à ce sujet le message du 23 mars 1988 concernant la loi fédérale sur la protection des données; FF 1988 II 421.
Voir l'article 37 LPD, RS 235.1, en vigueur depuis le 1er juillet 1993.
Rapport explicatif concernant la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (ci-après «Rapport explicatif»; ce rapport peut être obtenu auprès du préposé fédéral à la protection des données), § 4.
Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, p. 461.
Rapport explicatif, § 13.
France, Allemagne, Norvège, Espagne et Suède.
Autriche, Belgique, Danemark, Finlande, France, Allemagne, Grèce, Irlande, Islande, Luxembourg, Pays-Bas, Norvège, Portugal, Slovénie, Espagne, Suède, Royaume-Uni.
Chypre, Hongrie, Italie et Turquie.
Rapport explicatif, § 19.
Avis du Comité consultatif de la Convention rendu lors de sa 11e réunion, à Strasbourg, du 7 au 10 nov. 1995; voir aussi, Henke, Die Datenschutzkonvention des Europarates, p. 61 s.
Zurich, Berne, Lucerne, Uri, Schwyz, Fribourg, Bâle-Ville, Bâle-Campagne, Schaffhouse, Thurgovie, Tessin, Vaud, Valais, Neuchâtel, Genève et Jura.
Saint-Gall.
Soleure, Appenzell Rhodes-Extérieures, Grisons, Argovie.
Unterwald-le-Haut, Unterwald-le-Bas, Glaris, Zoug, Appenzell Rhodes-Intérieures.
Unterwald-le-Bas, Glaris, Zoug, Soleure, Grisons ont une loi en préparation.
Berne, Glaris, Soleure, Bâle-Campagne, Argovie, Jura.
ATF 107 Ia 52 ss; 113 Ia 3 et 263 s .; 118 Ib 281; 120 Ia 147.
Voir aussi le chiffre 5, Relation avec le droit européen.
Voir article 6 LPD.
Voir notamment FF 1984 I 811, 1988 II 292, 1992 II 662
RS 172.062
Rapport explicatif, § 26.
Voir FF 1988 II 439 s.
JOCE nº L 281 du 23 novembre 1995, p. 31.
FF 1988 II 453 s.
Article 8 de la directive 95/46/CE.
Rapport explicatif, § 45.
RS 235.11
FF 1988 II 460.
Voir notamment, à propos du droit d'accès, ATF 113 Ia 1; 257.
Rapport explicatif, § 55.
Voir notamment Arrêt du 26 mars 1987 dans la cause Leander contre Suède, CEDH Série A nº 116; Arrêt du 24 avril 1990 dans la cause Kruslin contre France, CEDH Série A nº 176/A, paragraphes 26 et suivants.
J. P. Müller, Introduction aux droits fondamentaux, dans Commentaire de la Constitution fédérale de la Confédération suisse du 29 mai 1874, Bâle/Zurich/Berne, vol. I, p. 33.
Steinauer, La licéité du traitement des données personnelles en droit privé suisse au regard des normes européennes, dans Gauch (Hrsg.), Aspects de droit européen - Beiträge zum europäischen Recht, Fribourg 1993, p. 126 ss.
Notamment la loi fédérale du 7 octobre 1994 sur les offices centraux de police criminelle de la Confédération (RS 172.213.71).
Rapport explicatif, § 67.
Rapport explicatif, § 67.
Rapport explicatif, § 66.
Schweizer/Walter, La Convention du Conseil de l'Europe sur la protection des données personnelles et la réglementation des flux transfrontières de données, dans Droit de l'Informatique, 4 1986, p. 193 (Corrigendum dans 2 1987, p. 122).
Rapport explicatif, § 91.
Rapport explicatif, § 92.
FF 1996 II 289 ss, 354.
JOCE nº L 281 du 23 novembre 1995, p. 31.
Notion définie à l'article 25 § 2 de la directive 95/46/CE.
N38962
719
Arrêté fédéral
Projet
portant approbation de la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel
du
L'Assemblée fédérale de la Confédération suisse,
vu l'article 8 de la constitution; vu le message du Conseil fédéral du 13 novembre 19961), arrête:
6
Article premier
La Convention du Conseil de l'Europe, du 28 janvier 1981, pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel est approuvée.
Art. 2
La Suisse, conformément à l'article 3 de la Convention, formule la déclaration suivante:
a. La Convention s'applique également aux données personnelles concernant des personnes morales et aux fichiers de données personnelles ne faisant pas l'objet d'un traitement automatisé;
b. La Convention ne s'applique pas:
aux fichiers constitués et utilisés par les Parlements fédéral et canto- naux dans le cadre de leurs délibérations,
aux fichiers du Comité international de la Croix-Rouge,
aux fichiers de données personnelles qu'une personne physique traite pour un usage exclusivement personnel et qu'elle ne communique pas à des tiers;
c. Le préposé fédéral à la protection des données est l'autorité compétente pour accorder l'assistance pour la mise en œuvre de la Convention.
Art. 3
Le Conseil fédéral est autorisé à adhérer à la Convention en formulant la déclaration exposée ci-dessus.
720
1
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Art. 4
Le présent arrêté n'est pas sujet au référendum facultatif en matière de traités internationaux.
N38962
721
Texte original
Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Préambule
Les Etats membres du Conseil de l'Europe, signataires de la présente Convention, Considérant que le but du Conseil de l'Europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l'homme et des libertés fondamentales;
Considérant qu'il est souhaitable d'étendre la protection des droits et des libertés fondamentales de chacun, notamment le droit au respect de la vie privée, eu égard à l'intensification de la circulation à travers les frontières des données à caractère personnel faisant l'objet de traitements automatisés;
Réaffirmant en même temps leur engagement en faveur de la liberté d'informa- tion sans considération de frontières;
Reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l'information entre les peuples,
Sont convenus de ce qui suit:
Chapitre I Dispositions générales
Article 1 Objet et but
Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»).
Article 2 Définitions
Aux fins de la présente Convention:
a. «données à caractère personnel» signifie: toute information concernant une personne physique identifiée ou identifiable («personne concernée»);
b. «fichier automatisé» signifie: tout ensemble d'informations faisant l'objet d'un traitement automatisé;
c. «traitement automatisé» s'entend des opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés: enregistrement des données, application à ces données d'opérations logiques et/ou arithmé- tiques, leur modification, effacement, extraction ou diffusion;
722
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
d. «maître du fichier» signifie: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées ..
Article 3 Champ d'application
Les Parties s'engagent à appliquer la présente Convention aux fichiers et aux traitements automatisés de données à caractère personnel dans les secteurs public et privé.
Tout Etat peut, lors de la signature ou du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou à tout moment ultérieur, faire connaître par déclaration adressée au Secrétaire Général du Conseil de l'Europe:
a. qu'il n'appliquera pas la présente Convention à certaines catégories de fichiers automatisés de données à caractère personnel dont une liste sera déposée. Il ne devra toutefois pas inclure dans cette liste des catégories de fichiers automatisés assujetties selon son droit interne à des dispositions de protection des données. En conséquence, il devra amender cette liste par une nouvelle déclaration lorsque des catégories supplémentaires de fichiers automatisés de données à caractère personnel seront assujetties à son régime de protection des données;
b. qu'il appliquera la présente Convention également à des informations afférentes à des groupements, associations, fondations, sociétés, corpora- tions ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique; c. qu'il appliquera la présente Convention également aux fichiers de données à caractère personnel ne faisant pas l'objet de traitements automatisés.
Tout Etat qui a étendu le champ d'application de la présente Convention par l'une des déclarations visées aux alinéas 2.b ou c ci-dessus peut, dans ladite déclaration, indiquer que les extensions ne s'appliqueront qu'à certaines catégo- ries de fichiers à caractère personnel dont la liste sera déposée.
Toute Partie qui a exclu certaines catégories de fichiers automatisés de données à caractère personnel par la déclaration prévue à l'alinéa 2.a ci-dessus ne peut pas prétendre à l'application de la présente Convention à de telles catégories par une Partie qui ne les a pas exclues.
De même, une Partie qui n'a pas procédé à l'une ou à l'autre des extensions prévues aux paragraphes 2.b et c du présent article ne peut se prévaloir de l'application de la présente Convention sur ces points à l'égard d'une Partie qui a procédé à de telles extensions.
Les déclarations prévues au paragraphe 2 du présent article prendront effet au moment de l'entrée en vigueur de la Convention à l'égard de l'Etat qui les a formulées, si cet Etat les a faites lors de la signature ou du dépôt de son
723
1
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
instrument de ratification, d'acceptation, d'approbation ou d'adhésion, ou trois mois après leur réception par le Secrétaire Général du Conseil de l'Europe si elles ont été formulées à un moment ultérieur. Ces déclarations pourront être retirées en tout ou en partie par notification adressée au Secrétaire Général du Conseil de l'Europe. Le retrait prendra effet trois mois après la date de réception d'une telle notification.
Chapitre II Principes de base pour la protection des données
Article 4 Engagements des Parties
Chaque Partie prend, dans son droit interne, les mesures nécessaires pour donner effet aux principes de base pour la protection des données énoncés dans le présent chapitre.
Ces mesures doivent être prises au plus tard au moment de l'entrée en vigueur de la présente Convention à son égard.
Article 5 Qualité des données
Les données à caractère personnel faisant l'objet d'un traitement automatisé sont:
a. obtenues et traitées loyalement et licitement;
b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités;
c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées;
d. exactes et si nécessaire mises à jour;
e. conservées sous une forme permettant l'identification des personnes concer- nées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
Article 6 Catégories particulières de données
Les données à caractère personnel révélant l'origine raciale, les opinions poli- tiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales.
Article 7 Sécurité des données
Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruc- tion accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l'accès, la modification ou la diffusion non autorisés.
724
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Article 8 Garanties complémentaires pour la personne concernée
Toute personne doit pouvoir:
a. connaître l'existence d'un fichier automatisé de données à caractère person- nel, ses finalités principales, ainsi que l'identité et la résidence habituelle ou le principal établissement du maître du fichier;
b. obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l'existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible;
c. obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu'elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention;
d: disposer d'un recours s'il n'est pas donné suite à une demande de confirma- tion ou, le cas échéant, de communication, de rectification ou d'effacement, visée aux paragraphes b et c du présent article.
Article 9 Exceptions et restrictions
Aucune exception aux dispositions des articles 5, 6 et 8 de la présente Convention n'est admise, sauf dans les limites définies au présent article.
Il est possible de déroger aux dispositions des articles 5, 6 et 8 de la présente Convention lorsqu'une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique:
a. à la protection de la sécurité de l'Etat, à la sûreté publique, aux intérêts monétaires de l'Etat ou à la répression des infractions pénales;
b. à la protection de la personne concernée et des droits et libertés d'autrui.
Article 10 Sanctions et recours
Chaque Partie s'engage à établir des sanctions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre.
Article 11 Protection plus étendue
Aucune des dispositions du présent chapitre ne sera interprétée comme limitant ou portant atteinte à la faculté pour chaque partie. d'accorder aux personnes concernées une protection plus étendue que celle prévue par la présente Conven- tion.
725
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Chapitre III Flux transfrontières de données
Article 12 Flux transfrontières de données à caractère personnel et droit interne 1. Les dispositions suivantes s'appliquent aux transferts à travers les frontières nationales, quel que soit le support utilisé, de données à caractère personnel faisant l'objet d'un traitement automatisé ou rassemblées dans le but de les soumettre à un tel traitement.
Une Partie ne peut pas, aux seules fins de la protection de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d'une autre Partie.
Toutefois, toute Partie a la faculté de déroger aux dispositions du paragraphe 2:
a. dans la mesure où sa législation prévoit une réglementation spécifique pour certaines catégories de données à caractère personnel ou de fichiers auto- matisés de données à caractère personnel, en raison de la nature de ces données ou de ces fichiers, sauf si la réglementation de l'autre Partie apporte une protection équivalente;
b. lorsque le transfert est effectué à partir de son territoire vers le territoire d'un Etat non contractant par l'intermédiaire du territoire d'une autre Partie, afin d'éviter que de tels transferts n'aboutissent à contourner la législation de la Partie visée au début du présent paragraphe.
Chapitre IV Entraide
Article 13 Coopération entre les Parties
Les Parties s'engagent à s'accorder mutuellement assistance pour la mise en œuvre de la présente Convention.
A cette fin,
a. chaque Partie désigne une ou plusieurs autorités dont elle communique la dénomination et l'adresse au Secrétaire Général du Conseil de l'Europe;
b. chaque Partie qui a désigné plusieurs autorités indique dans la com- munication visée à l'alinéa précédent la compétence de chacune de ces autorités.
a. fournira des informations sur son droit et sur sa pratique administrative en matière de protection des données;
b. prendra, conformément à son droit interne et aux seules fins de la protection de la vie privée, toutes mesures appropriées pour fournir des informations de fait concernant un traitement automatisé déterminé effectué sur son terri- toire à l'exception toutefois des données à caractère personnel faisant l'objet de ce traitement.
726
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Article 14 Assistance aux personnes concernées ayant leur résidence à l'étranger
Chaque Partie prête assistance à toute personne ayant sa résidence à l'étranger pour l'exercice des droits prévus par son droit interne donnant effet aux principes énoncés à l'article 8 de la présente Convention.
Si une telle personne réside sur le territoire d'une autre Partie, elle doit avoir la faculté de présenter sa demande par l'intermédiaire de l'autorité désignée par cette Partie.
La demande d'assistance doit contenir toutes les indications nécessaires concernant notamment:
a. le nom, l'adresse et tous autres éléments pertinents d'identification concer- nant le requérant;
b. le fichier automatisé de données à caractère personnel auquel la demande se réfère ou le maître de ce fichier;
c. le but de la demande.
Article 15 Garanties concernant l'assistance fournie par les autorités désignées 1. Une autorité désignée par une Partie qui a reçu des informations d'une autorité désignée par une autre Partie, soit à l'appui d'une demande d'assistance, soit en réponse à une demande d'assistance qu'elle a formulée elle-même, ne pourra faire usage de ces informations à des fins autres que celles spécifiées dans la demande d'assistance.
Chaque Partie veillera à ce que les personnes appartenant ou agissant au nom de l'autorité désignée soient liées par des obligations appropriées de secret ou de confidentialité à l'égard de ces informations.
En aucun cas, une autorité désignée ne sera autorisée à faire, aux termes de l'article 14, paragraphe 2, une demande d'assistance au nom d'une personne concernée résidant à l'étranger, de sa propre initiative et sans le consentement exprès de cette personne.
Article 16 Refus des demandes d'assistance
Une autorité désignée, saisie d'une demande d'assistance aux termes des articles 13 ou 14 de la présente Convention, ne peut refuser d'y donner suite que si:
a. la demande est incompatible avec les compétences, dans le domaine de la protection des données, des autorités habilitées à répondre;
b. la demande n'est pas conforme aux dispositions de la présente Convention;
c. l'exécution de la demande serait incompatible avec la souveraineté, la sécurité ou l'ordre public de la Partie qui l'a désignée, ou avec les droits et libertés fondamentales des personnes relevant de la juridiction de cette . Partie.
727
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Article 17 Frais et procédures de l'assistance
L'entraide que les Parties s'accordent aux termes de l'article 13, ainsi que l'assistance qu'elles prêtent aux personnes concernées résidant à l'étranger aux termes de l'article 14, ne donnera pas lieu au paiement des frais et droits autres que ceux afférents aux experts et aux interprètes. Ces frais et droits seront à la charge de la Partie qui a désigné l'autorité qui a fait la demande d'assistance.
La personne concernée ne peut être tenue de payer, en liaison avec les démarches entreprises pour son compte sur le territoire d'une autre Partie, des frais et droits autres que ceux exigibles des personnes résidant sur le territoire de cette Partie.
Les autres modalités relatives à l'assistance concernant notamment les formes et procédures ainsi que les langues à utiliser seront établies directement entre les Parties concernées.
Chapitre V Comité consultatif
Article 18 Composition du Comité
1
Toute Partie désigne un représentant et un suppléant à ce Comité. Tout Etat membre du Conseil de l'Europe qui n'est pas Partie à la Convention a le droit de se faire représenter au Comité par un observateur.
Le Comité consultatif peut, par une décision prise à l'unanimité, inviter tout Etat non membre du Conseil de l'Europe qui n'est pas Partie à la Convention à se faire représenter par un observateur à l'une de ses réunions.
Article 19 Fonctions du Comité
Le Comité consultatif:
a. peut faire des propositions en vue de faciliter ou d'améliorer l'application de la Convention;
b. peut faire des propositions d'amendement à la présente Convention confor- mément à l'article 21;
c. formule un avis sur toute proposition d'amendement à la présente Conven- tion qui lui est soumis conformément à l'article 21, paragraphe 3;
d. peut, à la demande d'une Partie, exprimer un avis sur toute question relative à l'application de la présente Convention.
Article 20 Procédure
728
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
vigueur de la présente Convention. Il se réunit par la suite au moins une fois tous les deux ans et, en tout cas, chaque fois qu'un tiers des représentants des Parties demande sa convocation.
La majorité des représentants des Parties constitue le quorum nécessaire pour tenir une réunion du Comité consultatif.
A l'issue de chacune de ses réunions, le Comité consultatif soumet au Comité des Ministres du Conseil de l'Europe un rapport sur ses travaux et sur le fonctionnement de la Convention.
Sous réserve des dispositions de la présente Convention, le Comité consultatif établit son règlement intérieur.
Chapitre VI Amendements
Article 21 Amendements
Des amendements à la présente Convention peuvent être proposés par une Partie, par le Comité des Ministres du Conseil de l'Europe ou par le Comité consultatif.
Toute proposition d'amendement est communiquée par le Secrétaire Général du Conseil de l'Europe aux Etats membres du Conseil de l'Europe et à chaque Etat non membre qui a adhéré ou a été invité à adhérer à la présente Convention conformément aux dispositions de l'article 23.
En outre, tout amendement proposé par une Partie ou par le Comité des Ministres est communiqué au Comité consultatif qui soumet au Comité des Ministres son avis sur l'amendement proposé.
Le Comité des Ministres examine l'amendement proposé et tout avis soumis par le Comité consultatif et peut approuver l'amendement.
Le texte de tout amendement approuvé par le Comité des Ministres conformé- ment au paragraphe 4 du présent article est transmis aux Parties pour acceptation.
Tout amendement approuvé conformément au paragraphe 4 du présent article entrera en vigueur le trentième jour après que toutes les Partie auront informé le Secrétaire Général qu'elles l'ont accepté.
.
Chapitre VII Clauses finales
Article 22 Entrée en vigueur
729
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
La présente Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date à laquelle cinq Etats membres du Conseil de l'Europe auront exprimé leur consentement à être liés par la Convention conformément aux dispositions du paragraphe précédent.
Pour tout Etat membre qui exprimera ultérieurement son consentement à être lié par la Convention, celle-ci entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument de ratification, d'acceptation ou d'approbation.
Article 23 Adhésion d'Etats non membres
Après l'entrée en vigueur de la présente Convention, le Comité des Ministres du Conseil de l'Europe pourra inviter tout Etat non membre du Conseil de l'Europe à adhérer à la présente Convention par une décision prise à la majorité prévue à l'article 20.d du Statut du Conseil de l'Europe et à l'unanimité des représentants des Etats contractants ayant le droit de siéger au Comité.
Pour tout Etat adhérant, la Convention entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de l'instrument d'adhésion près le Secrétaire Général du Conseil de l'Europe.
Article 24 Clause territoriale
Tout Etat peut, au moment de la signature ou au moment du dépôt de son instrument de ratification, d'acceptation, d'approbation ou d'adhésion, désigner le ou les territoires auxquels s'appliquera la présente Convention.
Tout Etat peut, à tout autre moment par la suite, par une déclaration adressée au Secrétaire Général du Conseil de l'Europe, étendre l'application de la présente Convention à tout autre territoire désigné dans la déclaration. La Convention entrera en vigueur à l'égard de ce territoire le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de réception de la déclaration par le Secrétaire Général.
Toute déclaration faite en vertu des deux paragraphes précédents pourra être retirée, en ce qui concerne tout territoire désigné dans cette déclaration, par notification adressée au Secrétaire Général. Le retrait prendra effet le premier jour du mois qui suit l'expiration d'une période de six mois après la date de réception de la notification par le Secrétaire Général.
Article 25 Réserves
Aucune réserve n'est admise aux dispositions de la présente Convention.
Article 26 Dénonciation
730
Protection des personnes à l'égard du traitement automatisé des données à caractère personnel
Article 27 Notifications
Le Secrétaire Général du Conseil de l'Europe notifiera aux Etats membres du Conseil et à tout Etat ayant adhéré à la présente Convention:
a. toute signature;
b. le dépôt de tout instrument de ratification, d'acceptation, d'approbation ou d'adhésion;
c. toute date d'entrée en vigueur de la présente Convention conformément à ses articles 22, 23 et 24;
d. tout autre acte, notification ou communication ayant trait à la présente Convention.
En foi de quoi, les soussignés, dûment autorisés à cet effet, ont signé la présente Convention.
Fait à Strasbourg, le 28 janvier 1981, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l'Europe. Le Secrétaire Général du Conseil de l'Europe en com- muniquera copie certifiée conforme à chacun des Etats membres du Conseil de l'Europe et à tout Etat invité à adhérer à la présente Convention.
Suivent les signatures
N38962
731
:
Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali
Message concernant l'adhésion à la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 13 novembre 1996
In
Bundesblatt
Dans
Feuille fédérale
In
Foglio federale
Jahr
1997
Année
Anno
Band
1 1
Volume
Volume
Heft
03
Cahier
Numero
Geschäftsnummer 96.081
Numéro d'affaire
Numero dell'oggetto
Datum
28.01.1997
Date
Data
Seite
701-731
Page
Pagina
Ref. No
10 108 886
Das Dokument wurde durch das Schweizerische Bundesarchiv digitalisiert. Le document a été digitalisé par les. Archives Fédérales Suisses. Il documento è stato digitalizzato dell'Archivio federale svizzero.