Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden.
21 commentaries
Bildaufnahmen, die eine Person identifizierbar machen, gelten als Erhebung und Verarbeitung personenbezogener Daten und unterliegen damit dem Schutz der LPD. Die LPD bezweckt den Schutz der Persönlichkeit und der Grundrechte der betroffenen natürlichen Personen.
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
Der Einsichtsanspruch umfasst auch intern bezeichnete Akten, soweit diese personenbezogene Angaben zur betroffenen natürlichen Person enthalten.
“], Gesetz über die Verwaltungsrechtspflege, Praxiskommentar, Zürich/St. Gallen 2020, N 8 zu Art. 57 VRP). Wie bereits die Vorinstanz zutreffend feststellte, sind die Namen der beiden beratenden ärztlichen Fachpersonen des vom Risk Management beigezogenen unabhängigen medizinischen Dienstes versehentlich zur Kenntnis der Beschwerdeführerin gelangt. Diesbezüglich hat sich das Anliegen der Beschwerdeführerin bereits im Rekursverfahren erledigt (Vorakten M-1, M-3 und M-4). Streitgegenstand Die Verfahrensbeteiligten stimmen überein, dass ein allfälliger Anspruch der Beschwerdeführerin datenschutzrechtlicher und nicht verfahrensrechtlicher Natur ist (vgl. Art. 2 Abs. 3 des Datenschutzgesetzes; sGS 142.1, DSG). Die Vorinstanz anerkennt den Anspruch der Beschwerdeführerin auf Einsicht in ihre vom Risk Management des Kantons St. Gallen bearbeiteten Personendaten gemäss Art. 17 DSG. Sie anerkennt zudem, dass sich dieser Anspruch auch auf die als intern bezeichneten Akten erstreckt, soweit sie auf die Beschwerdeführerin bezogene Angaben enthalten (vgl. Art. 1 Abs. 1 lit. a DSG; BGE 125 II 473 E. 4b). Indem die Vorinstanz die Verweigerung der Offenlegung der noch vorhandenen Schwärzungen mit einer – vom Risk Management vorgenommenen – Interessenabwägung nach Art. 18 DSG rechtfertigte, ging sie – stillschweigend – davon aus, dass sich auch die betreffenden Passagen auf die Beschwerdeführerin beziehen und es sich damit um Personendaten im Sinn des Datenschutzgesetzes handelt. Die Beschwerdeführerin macht im Wesentlichen geltend, die Vorinstanz habe weder den Inhalt der geschwärzten Aussagen gekannt noch die Interessen selbst abgewogen. Damit habe sie den”
Die DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte der Personen, die Gegenstand einer Datenbearbeitung sind. Nach der zitierten Rechtssache richtet sich der Schutz der DSG insbesondere auf individuelle Persönlichkeitsinteressen (z. B. Privatsphäre), und eine Gemeinde konnte im konkreten Fall keine eigene Verletzung solcher individuellen Rechtsgüter geltend machen. Daraus folgt, dass kommunale Körperschaften bzw. andere juristische Personen grundsätzlich nicht ohne Weiteres als Träger individueller persönlichkeitsrechtlicher Ansprüche aus Art. 1 DSG angesehen werden; die Entscheidung schliesst jedoch nicht aus, dass juristische Personen in anderen rechtlichen Zusammenhängen Träger bestimmter Rechtsgüter sein können.
“180 CP, soit les sentiments de paix intérieure et de sécurité, de sorte qu’elle ne peut pas être lésée par cette infraction; ainsi, même si la menace porte sur un dommage causé à la personne morale, seule la personne physique qui aura été effrayée ou alarmée par celle-ci pourra être lésée par l'infraction; à l’inverse, une personne morale peut être titulaire du bien juridique protégé par l’art. 181 CP, soit la liberté d'action, et plus particulièrement la libre formation et le libre exercice de la volonté, la loi (art. 55 al. 1 CC) reconnaissant aux personnes morales la capacité de former et d’exprimer une volonté et d’agir en conséquence (ATF 141 IV 1 consid. 3.2 ss); que la LVid vise à protéger les droits fondamentaux (vie privée, liberté de réunion, cf. Message du Conseil d’Etat du 6 juillet 2010, p. 2) des personnes soumises à une vidéosurveillance dans les lieux publics, en particulier sous l’angle de la protection des données personnelles (art. 1 al. 1 LVid); quant à la LPD, elle vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (cf. art. 1 LPD); elle ne protège donc pas les données, mais la personnalité et les droits fondamentaux des personnes, comme le droit à la vie privée ou le droit à l’autodétermination individuelle en matière d’information; qu’en l’espèce, la Commune estime qu’elle a qualité pour recourir au motif qu’elle est directement et personnellement touchée puisque la vidéosurveillance litigieuse filme le chemin d’un syndicat alpestre, dont elle est membre et qui est présidé par le syndic de la Commune (cf. recours, p. 2); ce point de vue ne convainc pas; si les citoyens de la Commune peuvent parcourir le chemin et donc être filmés, cela ne signifie pas que la Commune, même en sa qualité de membre du syndicat, est titulaire du bien juridique individuel protégé par la ou les disposition(s) pénale(s) qui aurai(en)t été enfreinte(s), comme la vie privée, tout comme elle ne subit pas une atteinte en rapport de causalité directe avec l'infraction poursuivie; les titulaires des biens juridiques protégés et donc les potentiels lésés au sens de l’art.”
Art. 1 Abs. 1 DSG richtet sich nur auf Personendaten natürlicher Personen; Daten juristischer Personen sind vom Datenschutz des DSG ausgeschlossen. Die Quelle stellt klar, dass dies bewusst so vorgesehen wurde und insbesondere zur Folge hat, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr von der Frage eines angemessenen Schutzes im Empfängerland abhängig ist. Ein Schutz von Daten juristischer Personen bleibt nach den genannten Quellen über andere Bundesgesetze und Art. 13 BV bestehen.
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
“Auf den Schutz von Daten juristischer Personen wurde mit dem neuen DSG bewusst verzichtet (Art. 1 Abs. 1 DSG e contrario; Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, 6972, 7011 [nachfolgend: Botschaft vom 15. September 2017]). In den datenschutzrechtlichen Bestimmungen der Europäischen Union des Europarates sowie der meisten ausländischen Rechtsordnungen sei kein solcher Schutz vorgesehen. Der Schutz von Daten juristischer Personen sei nur von geringer praktischer Bedeutung. Diese Lösung habe den Vorteil, dass die Bekanntgaben von Daten juristischer Personen ins Ausland nicht mehr davon abhängen, ob im Empfängerland ein angemessener Schutz gewährleistet sei. Durch diese Änderung sollte die Bekanntgabe von Daten an ausländische Staaten, deren Gesetzgebung keinen Schutz von Daten juristischer Personen vorsieht, erleichtert werden. Dies werde voraussichtlich zu einer Zunahme der Bekanntgabe ins Ausland beitragen. Für juristische Personen bleibe ein umfassender Schutz unverändert bestehen, wie er durch die Art.”
Sind die betreffenden Angaben offenkundig fiktiv und sowohl die antragstellende Person als auch die Gegenpartei wissen, dass sie fiktiv sind, kann es am schutzwürdigen Interesse nach Art. 1 DSG fehlen. Wenn die gewünschte Änderung keinen praktischen Nutzen hat und die tatsächliche oder rechtliche Situation der betroffenen Person nicht berührt, tangiert sie deren Persönlichkeit bzw. Grundrechte nicht und begründet daher kein schutzwürdiges Interesse für den Anwendungsbereich des DSG.
“Dem Beschwerdeführer geht es bei seinem Gesuch insbesondere auch nicht darum, sich mit Angabe eines bestimmten falschen Geburtsdatums als eine andere, bestimmte oder bestimmbare Person auszugeben: sowohl er wie auch die Beschwerdegegnerin wissen, dass es sich um fiktive Daten handelt. Er ersucht ausdrücklich darum, ein fiktives Geburtsdatum durch ein anderes - offensichtlich - fiktives Geburtsdatum zu ersetzen. Unter diesen Umständen ist es fraglich, ob die genannten Daten überhaupt Personendaten im Sinne von Art. 3 lit. a DSG darstellen, d.h. Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, und, folglich, ob das Datenschutzgesetz überhaupt anwendbar ist. Diese Frage kann jedoch offen gelassen werden, weil es dem Beschwerdeführer bereits am schutzwürdigen Interesse fehlt. In der Tat bringt ihm der gewünschte Ausgang des Verfahrens keinen grösseren praktischen Nutzen, als wenn er das Angebot der Beschwerdegegnerin angenommen hätte, den 1. Januar 1977 als Geburtsdatum einzutragen. Da alle zur Diskussion stehenden Geburtsdaten fiktiv sind und somit nicht dem effektiven Geburtsdatum des Beschwerdeführers entsprechen, tangiert die von ihm geforderte Änderung weder dessen Persönlichkeit noch dessen Grundrechte (vgl. Art. 1 DSG). Im Übrigen begründet der Beschwerdeführer in seiner Beschwerde auch nicht, inwiefern dies der Fall sein könnte. Somit kann der Ausgang des Verfahrens weder seine tatsächliche noch seine rechtliche Situation beeinflussen. Für die Anwendung des Art. 25 Abs. 1 DSG fehlt es somit bereits am schutzwürdigen Interesse.”
“Dem Beschwerdeführer geht es bei seinem Gesuch insbesondere auch nicht darum, sich mit Angabe eines bestimmten falschen Geburtsdatums als eine andere, bestimmte oder bestimmbare Person auszugeben: sowohl er wie auch die Beschwerdegegnerin wissen, dass es sich um fiktive Daten handelt. Er ersucht ausdrücklich darum, ein fiktives Geburtsdatum durch ein anderes - offensichtlich - fiktives Geburtsdatum zu ersetzen. Unter diesen Umständen ist es fraglich, ob die genannten Daten überhaupt Personendaten im Sinne von Art. 3 lit. a DSG darstellen, d.h. Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, und, folglich, ob das Datenschutzgesetz überhaupt anwendbar ist. Diese Frage kann jedoch offen gelassen werden, weil es dem Beschwerdeführer bereits am schutzwürdigen Interesse fehlt. In der Tat bringt ihm der gewünschte Ausgang des Verfahrens keinen grösseren praktischen Nutzen, als wenn er das Angebot der Beschwerdegegnerin angenommen hätte, den 1. Januar 1977 als Geburtsdatum einzutragen. Da alle zur Diskussion stehenden Geburtsdaten fiktiv sind und somit nicht dem effektiven Geburtsdatum des Beschwerdeführers entsprechen, tangiert die von ihm geforderte Änderung weder dessen Persönlichkeit noch dessen Grundrechte (vgl. Art. 1 DSG). Im Übrigen begründet der Beschwerdeführer in seiner Beschwerde auch nicht, inwiefern dies der Fall sein könnte. Somit kann der Ausgang des Verfahrens weder seine tatsächliche noch seine rechtliche Situation beeinflussen. Für die Anwendung des Art. 25 Abs. 1 DSG fehlt es somit bereits am schutzwürdigen Interesse.”
Der Begriff «Personendaten» ist weit zu verstehen und umfasst alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte der über die Daten betroffenen Personen (Art. 1 DSG).
“Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG), oder mit anderen Worten gelten die Vorschriften des DSG für die Bearbeitung von persönlichen Daten, die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können. Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare - natürliche oder juristische (Art. 3 lit. b DSG) - Person beziehen. Der Begriff "Personendaten" ist weit und umfasst jede Information, die einen auf eine Person (oder mehrere Personen) bezogenen oder beziehbaren Informationsgehalt besitzt (zum Ganzen BGE 142 II 268 E. 6.1), was im vorliegenden Fall unzweifelhaft zutrifft.”
“Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG), oder mit anderen Worten gelten die Vorschriften des DSG für die Bearbeitung von persönlichen Daten, die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können. Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare - natürliche oder juristische (Art. 3 lit. b DSG) - Person beziehen. Der Begriff "Personendaten" ist weit und umfasst jede Information, die einen auf eine Person (oder mehrere Personen) bezogenen oder beziehbaren Informationsgehalt besitzt (zum Ganzen BGE 142 II 268 E. 6.1), was im vorliegenden Fall unzweifelhaft zutrifft.”
Art. 1 Abs. 1 DSG erfasst nur die Bearbeitung von Personendaten natürlicher Personen; Personendaten juristischer Personen fallen nicht unter das DSG. Der Schutz juristischer Personen verbleibt nach den angeführten Erwägungen durch andere Bundesgesetze und Art. 13 BV.
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 3.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
Art. 1 DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte; aus dem verfassungsrechtlichen Recht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV) ergibt sich ein Anspruch auf Rechtsschutz zur Durchsetzung von Auskunfts- und Berichtigungsbegehren. Die LPD konkretisiert dieses Recht und regelt insbesondere das Auskunfts- und Berichtigungsrecht näher.
“39; Beat Rudin in: Bruno Baeriswyl/Kurt Pärli [Hrsg.], Datenschutzgesetz [DSG], Bern 2015, Art. 2 N. 36). 4.2 Anwendbar bleiben jedoch die verfassungsmässigen Rechte wie das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2 der Bundesverfassung (BV; VGr, 16. Dezember 2021, VB.2020.00648, E. 4.1). Aus dem Recht auf informationelle Selbstbestimmung leitet sich ein Anspruch jeder Person auf Schutz vor Missbrauch der persönlichen Daten ab. Jede Person hat das Recht zu bestimmen, ob und zu welchem Zweck der Staat oder Private Informationen über sie bearbeiten und speichern (BVGr, 22. Mai 2012, A-4903/2016, E. 4.2.1; vgl. auch Rainer J. Schweizer in: Bernhard Ehrenzeller/Benjamin Schindler/Rainer J. Schweizer/Klaus A. Vallender [Hrsg.], Die schweizerische Bundesverfassung, St. Galler Kommentar, 3. A., Zürich 2014, Art. 13 N. 71 ff.; Jörg Paul Müller/Markus Schefer, Grundrechte in der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. A., Bern 2008, S. 164 ff.; Maurer-Lambrou/Kunz, Art. 1 DSG N. 19 und 23 mit Hinweisen). Der verfassungsrechtliche Datenschutz ist folgenden Grundsätzen verpflichtet: rechtmässige Beschaffung, Bearbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Verhältnismässigkeit, Richtigkeit, Wahrung der Datensicherheit sowie Beschränkung der Datenweitergabe ins Ausland, wenn kein gleichwertiger Persönlichkeits- bzw. Datenschutz besteht (Giovanni Biaggini, BV Kommentar, 2. A., Zürich 2017, Art. 13 N. 13; vgl. Art. 4 DSG). Aus dem grundrechtlichen Fundament des Datenschutzes ergibt sich zudem ein Anspruch auf Rechtsschutz, insbesondere zur Durchsetzung des Auskunftsrechts sowie zur Geltendmachung von Berichtigungs-, Vernichtungs-, Unterlassungs- oder Feststellungsbegehren und Begehren um vorsorgliche Massnahmen (Schweizer, N. 89; Biaggini, Art. 13 N. 14; vgl. Art. 15 und 25 DSG; Art. 8 lit. d des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 [SR 0.235.1]; Art. 13 der Europäischen Menschenrechtskonvention vom 4.”
“3 Bien que le recourant ne s'en plaigne pas, le Tribunal relève également que le SEM n'a jamais pris position sur le grief pris d'une violation de la législation sur la protection des données. Or, si le recourant n'avait pas d'emblée précisé les bases légales sur lesquelles il fondait sa requête de consultation des pièces, il a, par la suite, invoqué dans son mémoire de recours une violation des art. 9 LPD et 27 PA. Il s'agit là également d'un vice de motivation, soit un vice de nature formelle (cf. Kneubühler/Pedretti, in : Auer/Müller/Schindler [édit.], VwVG Kommentar, 2e éd. 2019, art. 35 n. 21), qui peut également, vu les développements effectués plus haut et le fait que le Tribunal revoit librement la légalité formelle et matérielle de la décision, et surtout vu l'issue de la cause, être considéré comme guéri en l'espèce. 5. 5.1 La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (cf. art. 1 LPD ; arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3). Elle concrétise le droit à l'autodétermination informationnelle, protégé par les art. 13 al. 2 Cst et 8 CEDH, dont découle notamment un droit à l'accès et à rectification des données personnelles (cf. arrêt du TAF A-5654/2017 du 30 août 2018 consid. 6.1 ; Maya Hertig Randall/Julien Marquis, in : Jacques Dubey/Vincent Martenet [édit.], Commentaire romand - Constitution fédérale, 2021, art. 13 n. 66). La LPD régit notamment le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux (cf. art. 2 al. 1 let. b LPD). Elle ne s'applique, en revanche, pas aux procédures pendantes civiles, pénales, d'entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l'exception des procédures administratives de première instance (cf. art. 2 al. 2 let. c LPD). 5.1.1 Le droit d'accès d'une personne à ses propres données - clef de voûte de la protection des données - ainsi que la possibilité de s'informer sur l'origine desdites données, dans le cadre de l'activité administrative, est régi par les articles 8 à 10 LPD, et non par la loi fédérale sur le principe de la transparence dans l'administration (LTrans, RS 152.”
Auch nicht veröffentlichte oder nur temporär gespeicherte Bildaufnahmen können die Persönlichkeit beeinträchtigen und fallen damit grundsätzlich in den Schutzbereich des Datenschutzes.
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
Art. 1 DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte bei der Bearbeitung personenbezogener Daten. Aus diesem Schutzzweck werden die im Recht verankerten Bearbeitungsgrundsätze abgeleitet (insbesondere Rechtmässigkeit, Treu und Glauben, Verhältnismässigkeit, Zweckbindung/Transparenz, Richtigkeit und Datensicherheit) sowie eigenständige Rechtsansprüche der betroffenen Personen (z. B. Auskunfts‑, Berichtigungs‑, Vernichtungs‑ und Unterlassungsbegehren).
“Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG), oder mit anderen Worten gelten die Vorschriften des DSG für die Bearbeitung von persönlichen Daten (Art. 3 lit. a und b DSG; BGE 147 II 227 E. 4.2; BGE 142 II 268 E. 6.1), die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können (BGE 147 II 227 E. 4.2; BGE 142 II 268 E. 6.1; BGE 138 II 346 E. 3.2; je mit weiteren Hinweisen). Das DSG sieht hierfür gewisse Bearbeitungsgrundsätze (Rechtmässigkeitsgrundsatz [Art. 4 Abs. 1 DSG], Grundsatz von Treu und Glauben sowie Verhältnismässigkeitsgrundsatz [Art. 4 Abs. 2 DSG], Zweckmässigkeits- und Erkennbarkeits- bzw. Transparenzgrundsatz [Art. 4 Abs. 3 und 4 DSG] sowie Datenrichtigkeits- und -sicherheitsgrundsatz [Art. 5 und 7 DSG]; vgl. BGE 138 II 346 E. 7) und eigenständige Rechtsansprüche vor (Art. 5 Abs. 2, Art. 8, 20 und 25 DSG).”
“39; Beat Rudin in: Bruno Baeriswyl/Kurt Pärli [Hrsg.], Datenschutzgesetz [DSG], Bern 2015, Art. 2 N. 36). 4.2 Anwendbar bleiben jedoch die verfassungsmässigen Rechte wie das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2 der Bundesverfassung (BV; VGr, 16. Dezember 2021, VB.2020.00648, E. 4.1). Aus dem Recht auf informationelle Selbstbestimmung leitet sich ein Anspruch jeder Person auf Schutz vor Missbrauch der persönlichen Daten ab. Jede Person hat das Recht zu bestimmen, ob und zu welchem Zweck der Staat oder Private Informationen über sie bearbeiten und speichern (BVGr, 22. Mai 2012, A-4903/2016, E. 4.2.1; vgl. auch Rainer J. Schweizer in: Bernhard Ehrenzeller/Benjamin Schindler/Rainer J. Schweizer/Klaus A. Vallender [Hrsg.], Die schweizerische Bundesverfassung, St. Galler Kommentar, 3. A., Zürich 2014, Art. 13 N. 71 ff.; Jörg Paul Müller/Markus Schefer, Grundrechte in der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. A., Bern 2008, S. 164 ff.; Maurer-Lambrou/Kunz, Art. 1 DSG N. 19 und 23 mit Hinweisen). Der verfassungsrechtliche Datenschutz ist folgenden Grundsätzen verpflichtet: rechtmässige Beschaffung, Bearbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Verhältnismässigkeit, Richtigkeit, Wahrung der Datensicherheit sowie Beschränkung der Datenweitergabe ins Ausland, wenn kein gleichwertiger Persönlichkeits- bzw. Datenschutz besteht (Giovanni Biaggini, BV Kommentar, 2. A., Zürich 2017, Art. 13 N. 13; vgl. Art. 4 DSG). Aus dem grundrechtlichen Fundament des Datenschutzes ergibt sich zudem ein Anspruch auf Rechtsschutz, insbesondere zur Durchsetzung des Auskunftsrechts sowie zur Geltendmachung von Berichtigungs-, Vernichtungs-, Unterlassungs- oder Feststellungsbegehren und Begehren um vorsorgliche Massnahmen (Schweizer, N. 89; Biaggini, Art. 13 N. 14; vgl. Art. 15 und 25 DSG; Art. 8 lit. d des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 [SR 0.235.1]; Art. 13 der Europäischen Menschenrechtskonvention vom 4.”
Nach der Rechtsprechung des BVGer ist der Zugang zu Daten aus administrativstrafrechtlichen Verfahren, die nicht mehr hängig sind, vorab nach der LPD zu beurteilen; für nicht mehr hängige Strafverfahren werden die Rechte der betroffenen Personen zudem durch die LPD und die DPA geregelt.
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
Art. 1 macht deutlich, dass die LPD/DSG zum Schutz der Persönlichkeit und der Grundrechte von Personen dient, deren Personendaten verarbeitet werden. Er bezeichnet diesen Schutz als den gesetzlichen Zweck der Norm.
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
“Les documents sont tous les supports d'information détenus par une institution contenant des renseignements relatifs à l'accomplissement d'une tâche publique (art. 25 al. 1 LIPAD), notamment les messages, rapports, études, procès-verbaux approuvés, statistiques, registres, correspondances, directives, prises de position, préavis ou décisions (art. 25 al. 2 LIPAD). Sont soustraits au droit d'accès les documents à la communication desquels un intérêt public ou privé prépondérant s'oppose (art. 26 al. 1 LIPAD), tel notamment lorsque l'accès aux documents est propre à entraver notablement le processus décisionnel ou la position de négociation d'une institution (art. 26 al. 2 let. c LIPAD). Les notes échangées entre les membres d'une autorité collégiale ou entre ces derniers et leurs collaborateurs sont exclues du droit d'accès (art. 26 al. 3 LIPAD). 2.1.7 La loi fédérale sur la protection des données du 25 septembre 2020 (RS 235.1, ci-après : LPD), vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement (art. 1 LPD). Elle régit le traitement de données personnelles concernant des personnes physiques effectué par des personnes privées ou des organes fédéraux (art. 2 al. 1 LPD). Elle règle le droit d'accès de toute personne aux données la concernant et les restrictions à ce droit d'accès en ses articles 25 et 26. Selon l'art. 25 al. 1 LPD, toute personne peut demander au responsable du traitement si des données personnelles la concernant son traitées. L'art. 26 al. 4 LPD dispose que le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la communication des informations. L'ancienne loi fédérale sur la protection des données du 19 juin 1992 (ci-après : aLPD), abrogée lors de l'entrée en vigueur de la LPD le 1er septembre 2023, visait également à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 aLPD). Elle régissait le traitement de données concernant des personnes physiques et morales effectuées par des personnes privées et des organes fédéraux (art.”
Für die Bestimmbarkeit einer Person genügt nicht jede theoretische Möglichkeit der Identifizierung. Liegt der zur Identifikation erforderliche Aufwand nach allgemeiner Lebenserfahrung derart hoch bzw. unverhältnismässig, dass nicht damit zu rechnen ist, dass eine interessierte Person ihn auf sich nehmen wird, ist die Person nicht bestimmbar.
“Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Gemäss Art. 3 lit. a DSG sind Personendaten (Daten) "alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen". Eine Person ist dann bestimmt, wenn sich aus den Angaben ergibt, dass sie sich auf diese Person und nur auf diese Person beziehen (z.B. bei einem Personalausweis). Bestimmbar ist die Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann (z.B. wenn aus Angaben über Liegenschaften die Eigentümerinnen und Eigentümer ausfindig gemacht werden können). Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass eine interessierte Person diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 444 f.; BGE 138 II 346 E. 6.”
“Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Gemäss Art. 3 lit. a DSG sind Personendaten (Daten) "alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen". Eine Person ist dann bestimmt, wenn sich aus den Angaben ergibt, dass sie sich auf diese Person und nur auf diese Person beziehen (z.B. bei einem Personalausweis). Bestimmbar ist die Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann (z.B. wenn aus Angaben über Liegenschaften die Eigentümerinnen und Eigentümer ausfindig gemacht werden können). Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass eine interessierte Person diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 444 f.; BGE 138 II 346 E. 6.”
Das Auskunftsrecht dient in erster Linie der Durchsetzung des in Art. 1 verankerten Schutzes der Persönlichkeit und Grundrechte. Es ermöglicht der betroffenen Person, die über sie bearbeiteten Daten zu kontrollieren und so die Einhaltung der datenschutzrechtlichen Grundsätze (z. B. rechtmässige Beschaffung, Treu und Glauben, Richtigkeit, Verhältnismässigkeit) zu prüfen. Die durch Auskunft gewonnene Kenntnis bildet die Grundlage zur Geltendmachung weiterer Rechtsbehelfe wie Richtigstellung, Unterlassung oder Beseitigung.
“Sodann ist, wiederum unter der Annahme, dass das DSG vorliegend über- haupt einschlägig respektive von einem Auskunftsersuchen nach DSG auszuge- hen ist, auf das Nachfolgende hinzuweisen: Das DSG dient dem Schutz der Per- sönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (vgl. Art. 1 DSG). In Übereinstimmung mit dieser Zwecksetzung gilt das Aus- kunftsrecht nach Art. 8 DSG primär als Institut zur Durchsetzung des Persönlich- - 16 - keitsschutzes. Das Auskunftsrecht ermöglicht es der betroffenen Person, die über sie bearbeiteten Daten zu kontrollieren mit dem Ziel, die Einhaltung der Grundsät- ze wie rechtmässige Beschaffung von Daten, Treu und Glauben bei der Bearbei- tung, Richtigkeit der Daten und Verhältnismässigkeit der Datenbearbeitung in der Rechtswirklichkeit zu überprüfen und deren Durchsetzung zu ermöglichen (G RA- MIGNA /MAURER-LAMBROU, a. a. O., N 1 zu Art. 8 DSG mit Hinweisen). Die durch die Auskunft verschaffte Kenntnis der betroffenen Person darüber, dass und welche Daten über sie bearbeitet werden, sind Voraussetzung für die Wahrnehmung ihrer weiteren Rechte und Ansprüche: des Anspruchs auf Berichtigung unrichtiger Per- sonendaten (Art. 5, Art. 15 und Art. 25 DSG), des Anspruchs auf Unterlassung widerrechtlicher Datenbearbeitung, auf Beseitigung der Folgen eines widerrechtli- chen Bearbeitens bzw.”
“2) que ces faits sont sans incidence sur l'issue du litige. Pour le surplus, même à admettre une violation de son droit d’être entendu, celle-ci peut être réparée devant la Cour de céans, qui dispose d’un plein pouvoir d’examen en fait en droit et devant laquelle l’appelante a pu s’exprimer, de sorte qu’elle est sans conséquence. Ce grief sera dès lors écarté. 4. L’appelante fait grief au Tribunal d’avoir rejeté la demande d’accès, en considérant que celle-ci avait été formulée à une autre fin que de faire valoir les droits que lui conférait la LPD, ce qui était constitutif d’un abus de droit. Elle soutient exercer son droit d’accès aux données qui la concernent elle et les membres décédés de sa famille afin de contrôler que leur traitement a été effectué en conformité avec la loi. 4.1 La loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1; ci-après LPD) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). En conformité de ce but, le droit d’accès selon l’art. 8 LPD sert en premier lieu à la protection de la personnalité. Il permet à la personne concernée de contrôler les données traitées figurant dans le fichier d’un tiers, afin de concrétiser dans la réalité le respect des principes du droit de la protection des données, comme la collecte des données par des procédés licites et conformes à la bonne foi, l’exactitude des données et leur traitement conforme au principe de la proportionnalité (ATF 138 III 425 consid. 5.3 in SJ 2013 I p. 81ss). 4.1.1 En vertu de l'art. 8 LPD, toute personne peut demander au maître d'un fichier si des données la concernant sont traitées (al. 1). Le maître du fichier doit lui communiquer: toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données (al. 2 let. a); le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données (al.”
“Sa requête n’était pas abusive puisqu’elle visait à déterminer quelles données la concernant étaient en possession de l’intimée, respectivement avaient été traitées par celle-ci. Le Tribunal aurait dû l'amener à compléter ses allégations à ce sujet et à clarifier ses objectifs. Elle était en droit d'obtenir l’accès à des données concernant le Trust AM______ puisqu’elle en avait été la bénéficiaire. Quant à l’éventuelle possession des documents dont elle réclamait l’accès, celle-ci n’était pas pertinente pour statuer sur le caractère abusif de sa demande, de même que l’éventuel statut d’intermédiaire de l’intimée. Il incombait à sa partie adverse de prouver qu'elle lui avait remis toutes les informations. Elle avait apporté suffisamment d'éléments permettant de retenir que tel n'était pas le cas. Il résultait des pièces du dossier que de nombreux documents ne lui avaient pas été communiqués. 4.1 La loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1; ci-après : LPD) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). En conformité de ce but, le droit d’accès selon l’art. 8 LPD sert en premier lieu à la protection de la personnalité. Il permet à la personne concernée de contrôler les données traitées figurant dans le fichier d’un tiers, afin de concrétiser dans la réalité le respect des principes du droit de la protection des données, comme la collecte des données par des procédés licites et conformes à la bonne foi, l’exactitude des données et leur traitement conforme au principe de la proportionnalité (ATF 138 III 425 consid. 5.3 in SJ 2013 I p. 81ss). Le 1er septembre 2023, la loi fédérale sur la protection des données du 25 septembre 2020 est entrée en vigueur. A teneur de son article 70, la nouvelle loi ne s'applique pas aux recours pendants contre les décisions de première instance rendues avant son entrée en vigueur. Dans ces affaires, c'est l'ancien droit qui s'applique. C'est donc à la loi fédérale du 19 juin 1992 qu'il sera fait référence ci-dessous. 4.1.1 En vertu de l'art. 8 LPD, toute personne peut demander au maître d'un fichier si des données la concernant sont traitées (al.”
“3 Bien que le recourant ne s'en plaigne pas, le Tribunal relève également que le SEM n'a jamais pris position sur le grief pris d'une violation de la législation sur la protection des données. Or, si le recourant n'avait pas d'emblée précisé les bases légales sur lesquelles il fondait sa requête de consultation des pièces, il a, par la suite, invoqué dans son mémoire de recours une violation des art. 9 LPD et 27 PA. Il s'agit là également d'un vice de motivation, soit un vice de nature formelle (cf. Kneubühler/Pedretti, in : Auer/Müller/Schindler [édit.], VwVG Kommentar, 2e éd. 2019, art. 35 n. 21), qui peut également, vu les développements effectués plus haut et le fait que le Tribunal revoit librement la légalité formelle et matérielle de la décision, et surtout vu l'issue de la cause, être considéré comme guéri en l'espèce. 5. 5.1 La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (cf. art. 1 LPD ; arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3). Elle concrétise le droit à l'autodétermination informationnelle, protégé par les art. 13 al. 2 Cst et 8 CEDH, dont découle notamment un droit à l'accès et à rectification des données personnelles (cf. arrêt du TAF A-5654/2017 du 30 août 2018 consid. 6.1 ; Maya Hertig Randall/Julien Marquis, in : Jacques Dubey/Vincent Martenet [édit.], Commentaire romand - Constitution fédérale, 2021, art. 13 n. 66). La LPD régit notamment le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux (cf. art. 2 al. 1 let. b LPD). Elle ne s'applique, en revanche, pas aux procédures pendantes civiles, pénales, d'entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l'exception des procédures administratives de première instance (cf. art. 2 al. 2 let. c LPD). 5.1.1 Le droit d'accès d'une personne à ses propres données - clef de voûte de la protection des données - ainsi que la possibilité de s'informer sur l'origine desdites données, dans le cadre de l'activité administrative, est régi par les articles 8 à 10 LPD, et non par la loi fédérale sur le principe de la transparence dans l'administration (LTrans, RS 152.”
Zum Schutzzweck von Art. 1 dient auch das Auskunftsrecht gegenüber Dritten: Eine betroffene Person kann Auskunft über bei Dritten verarbeitete Daten verlangen; dies schliesst nach der zitierten Rechtsprechung Trust‑bezogene Daten ein, sofern die Person Begünstigte des Trusts ist. Ob die angeforderten Unterlagen tatsächlich im Besitz des Dritten sind, ist für das Bestehen des Auskunftsanspruchs nicht zwingend entscheidend.
“Sa requête n’était pas abusive puisqu’elle visait à déterminer quelles données la concernant étaient en possession de l’intimée, respectivement avaient été traitées par celle-ci. Le Tribunal aurait dû l'amener à compléter ses allégations à ce sujet et à clarifier ses objectifs. Elle était en droit d'obtenir l’accès à des données concernant le Trust AM______ puisqu’elle en avait été la bénéficiaire. Quant à l’éventuelle possession des documents dont elle réclamait l’accès, celle-ci n’était pas pertinente pour statuer sur le caractère abusif de sa demande, de même que l’éventuel statut d’intermédiaire de l’intimée. Il incombait à sa partie adverse de prouver qu'elle lui avait remis toutes les informations. Elle avait apporté suffisamment d'éléments permettant de retenir que tel n'était pas le cas. Il résultait des pièces du dossier que de nombreux documents ne lui avaient pas été communiqués. 4.1 La loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1; ci-après : LPD) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). En conformité de ce but, le droit d’accès selon l’art. 8 LPD sert en premier lieu à la protection de la personnalité. Il permet à la personne concernée de contrôler les données traitées figurant dans le fichier d’un tiers, afin de concrétiser dans la réalité le respect des principes du droit de la protection des données, comme la collecte des données par des procédés licites et conformes à la bonne foi, l’exactitude des données et leur traitement conforme au principe de la proportionnalité (ATF 138 III 425 consid. 5.3 in SJ 2013 I p. 81ss). Le 1er septembre 2023, la loi fédérale sur la protection des données du 25 septembre 2020 est entrée en vigueur. A teneur de son article 70, la nouvelle loi ne s'applique pas aux recours pendants contre les décisions de première instance rendues avant son entrée en vigueur. Dans ces affaires, c'est l'ancien droit qui s'applique. C'est donc à la loi fédérale du 19 juin 1992 qu'il sera fait référence ci-dessous. 4.1.1 En vertu de l'art. 8 LPD, toute personne peut demander au maître d'un fichier si des données la concernant sont traitées (al.”
Videoaufnahmen in Salons stellen eine Datenbearbeitung dar, die dem Datenschutzrecht unterliegt; Bildaufnahmen, die zur Identifizierung von Personen dienen, können die Persönlichkeit beeinträchtigen. Salonverantwortliche müssen die datenschutzrechtlichen Vorgaben beachten und erfüllen zudem die nach Art. 12 LProst bestehenden Aufsichts‑ und Schutzpflichten gegenüber den dort tätigen Personen.
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
Bei administrativstrafrechtlichen Verfahren, die nicht mehr hängig sind, ist der Zugang zu den Verfahrensdaten in erster Linie nach dem DSG zu beurteilen. Die DPA enthält für die Zeit nach Abschluss der Verfahren keine spezifische Zugangsregelung. Diese Einordnung steht im Zusammenhang mit dem in Art. 1 DSG verfolgten Zweck des Schutzes der Persönlichkeit und der Grundrechte.
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
Bild- und Videoaufnahmen, die Personen identifizierbar machen, sind personenbezogene Daten; deren Erhebung und Verarbeitung fällt nach Rechtsprechung und Lehre unter die Bundes‑datenschutzgesetzgebung (LPD) und ist als Eingriff in die Persönlichkeit zu betrachten.
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
Die LPD/DSG zielt auf den Schutz der Persönlichkeit und gilt grundsätzlich auch für administrative Amtshilfeverfahren. Gemäss Art. 2 Abs. 2 lit. c LPD findet sie jedoch keine Anwendung auf Verfahren der internationalen (justiziellen) Rechtshilfe, wobei Ausnahmen für verwaltungsrechtliche Verfahren erster Instanz bestehen können.
“4 ; arrêts du TAF A-6314/2017 du 17 avril 2019 consid. 3.1.2 ; A-6918/2017 du 26 septembre 2018 consid. 1.5.1 ; Charlotte Schoder, Praxiskommentar StAhiG, 2014, n°159 ad art. 14 LAAF). 5.3 Par ailleurs, le droit d'être entendu, tel que garanti par l'art. 29 al. 2 Cst., impose en particulier à l'autorité de motiver sa décision (cf. art. 35 al. 1 PA), c'est-à-dire de manière à ce que l'administré puisse se rendre compte de la portée de celle-ci et l'attaquer en connaissance de cause (ATF 134 I 83 consid. 4.1 et les références citées). La motivation doit permettre de suivre le raisonnement adopté, même si l'autorité n'est pas tenue d'exprimer l'importance qu'elle accorde à chacun des éléments qu'elle cite. L'autorité ne doit ainsi pas nécessairement se prononcer sur tous les moyens soulevés par les parties ; elle peut se limiter aux questions décisives (ATF 137 II 266 consid. 3.2 et les références citées). 5.4 La LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss ). Selon son art. 2 al. 1 let. b, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux, notamment l'AFC. 5.5 En principe, la LPD trouve application en matière d'assistance administrative (cf. ATF 148 II 349 consid. 4 et 5 ; 143 II 506 consid. 3.1 ; ATAF 2015/13 consid. 3.2.1 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). L'art. 2 al. 2 let. c LPD précise qu'elle ne s'applique pas aux procédures d'entraide judiciaire internationale, à l'exception des procédures administratives de première instance (ATAF 2015/13 consid. 3.2 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). Cette exclusion se justifie par le fait que la protection de la personnalité est alors réputée suffisamment garantie et réglée par les dispositions spéciales des procédures considérées (ATF 126 II 126 consid.”
“4 ; arrêts du TAF A-6314/2017 du 17 avril 2019 consid. 3.1.2 ; A-6918/2017 du 26 septembre 2018 consid. 1.5.1 ; Charlotte Schoder, Praxiskommentar StAhiG, 2014, n°159 ad art. 14 LAAF). 5.3 Par ailleurs, le droit d'être entendu, tel que garanti par l'art. 29 al. 2 Cst., impose en particulier à l'autorité de motiver sa décision (cf. art. 35 al. 1 PA), c'est-à-dire de manière à ce que l'administré puisse se rendre compte de la portée de celle-ci et l'attaquer en connaissance de cause (ATF 134 I 83 consid. 4.1 et les références citées). La motivation doit permettre de suivre le raisonnement adopté, même si l'autorité n'est pas tenue d'exprimer l'importance qu'elle accorde à chacun des éléments qu'elle cite. L'autorité ne doit ainsi pas nécessairement se prononcer sur tous les moyens soulevés par les parties ; elle peut se limiter aux questions décisives (ATF 137 II 266 consid. 3.2 et les références citées). 5.4 La LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss ). Selon son art. 2 al. 1 let. b, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux, notamment l'AFC. 5.5 En principe, la LPD trouve application en matière d'assistance administrative (cf. ATF 148 II 349 consid. 4 et 5 ; 143 II 506 consid. 3.1 ; ATAF 2015/13 consid. 3.2.1 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). L'art. 2 al. 2 let. c LPD précise qu'elle ne s'applique pas aux procédures d'entraide judiciaire internationale, à l'exception des procédures administratives de première instance (ATAF 2015/13 consid. 3.2 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). Cette exclusion se justifie par le fait que la protection de la personnalité est alors réputée suffisamment garantie et réglée par les dispositions spéciales des procédures considérées (ATF 126 II 126 consid.”
Die DSG ist von Gerichten sowie von Aufsichts- und Rekursinstanzen in deren Rechtsprechung und Praxis zu beachten; diese Behörden tragen damit zur Wahrung der durch das Gesetz geschützten Grundrechte bei. Aus der Rechtsprechung ergibt sich nicht, dass die Durchsetzung und Kontrolle des DSG einer einzigen spezialisierten Instanz vorbehalten wäre.
“Cette obligation s'adresse non seulement à l'autorité fédérale de première instance, mais également aux instances de surveillance et de recours qui, dans certaines circonstances, ne doivent pas simplement annuler les décisions contraires à la Constitution fédérale, mais doivent participer à la protection des droits fondamentaux dans leur jurisprudence et leur pratique (cf. ATF 135 I 265 consid. 4.2). Quoi qu'en pensent les recourants, le Tribunal administratif fédéral n'a ainsi aucune vocation à être un Tribunal constitutionnel qui serait le seul compétent pour se prononcer sur les griefs tirés de l'art. 29 al. 2 Cst. Une telle institution, que l'on retrouve dans certains ordres juridiques (p. ex. : en France, le Conseil constitutionnel ; en Allemagne, das Bundesverfassungsgericht), est étrangère au droit suisse ; la « justice constitutionnelle » s'exerce conjointement par l'ensemble des autorités administratives et judiciaires de la Confédération et des cantons. La Cour des plaintes du Tribunal pénal fédéral ne conteste d'ailleurs pas devoir se saisir du moyen tiré de l'art. 29 al. 2 Cst. 4.4 Il n'en va - en réalité - pas autrement de la LPD. Cette loi - qui vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; arrêts du TAF A-8297/2015 du 25 août 2016 consid. 3.3.1 et A-6242/2010 du 11 juillet 2011 consid. 10.3) - régit notamment le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux (art. 2 al. 1 let. b LDP), soit par toutes les autorités ou services fédéraux ainsi que les personnes en tant qu'elles sont chargées d'une tâche de la Confédération (art. 3 let. h LPD). Dans ces circonstances, l'accomplissement de tâches étatiques est soumis, sous réserve des exceptions de l'art. 2 al. 2 LPD (cf. not. cf. ég. ATAF 2015/13 consid. 3.2 ; arrêt du TAF A-1648/2016 du 27 juin 2017 consid. 6.2), au respect des dispositions en matière de protection des données. Quoi qu'en pensent les recourants et les autorités consultées, il ne ressort aucunement de la loi sur la protection des données que le législateur ait voulu confier au seul Tribunal administratif fédéral la compétence de faire respecter et de contrôler l'application de cette loi. Bien au contraire, le Tribunal administratif fédéral n'est pas une autorité spécialisée en matière de protection des données et ne dispose pas d'une compétence universelle pour traiter des recours en la matière.”
Validiert von Eluisa Helbig · Omnilex
Das seit dem 1. September 2023 geltende DSG erfasst nur Personendaten natürlicher Personen; juristische Personen werden nunmehr vom Anwendungsbereich ausgenommen. Unter dem alten DSG war eine Bekanntgabe ins Ausland nur zulässig, wenn im Empfängerland ein gleichwertiges Datenschutzniveau bestand – eine Hürde für Daten juristischer Personen, da die meisten ausländischen Rechtsordnungen, einschliesslich jener der Europäischen Union, keinen solchen Schutz vorsehen. Unter dem neuen DSG entfällt diese Voraussetzung für die Bekanntgabe von Daten juristischer Personen ins Ausland, da diese nicht mehr vom Schutzbereich erfasst werden. Sie bleiben jedoch durch andere Bundesgesetze sowie Art. 13 BV geschützt.
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”