Art. 16

235.1DSGFederal Act01.09.2023Originalquelle

Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
1. einen völkerrechtlichen Vertrag;
2. Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
3. spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
4. Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
5. verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.

9 commentaries

N1.Auslandsübermittlungen bei angemessenem Schutz

Personendaten dürfen ins Ausland übermittelt werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das betreffende internationale Organ einen angemessenen Schutz gewährleistet. Der Bundesrat publiziert eine entsprechende Liste in der Anlage zur DSV.

“Mit dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, ergibt sich diesbezüglich keine wesentliche Änderung: Gemäss Art. 16 Abs. 1 DSG dürfen Personendaten ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11) (Art. 8 DSV). Die USA befinden sich aktuell nicht auf dieser Liste. Gemäss Art. 16 Abs. 2 DSG dürfen Personendaten jedoch u.a. dann ohne entsprechenden Entscheid des Bundesrats ins Ausland bekannt gegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch einen völkerrechtlichen Vertrag (Bst.”

“Gemäss dem neuen DSG dürfen Personendaten ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 DSG). Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11). Die USA befinden sich aktuell nicht auf dieser Liste. Gemäss Art. 16 Abs. 2 Bst. a DSG dürfen Personendaten jedoch u.a. dann ohne entsprechenden Entscheid des Bundesrates ins Ausland bekannt gegeben werden, wenn ein völkerrechtlicher Vertrag einen geeigneten Datenschutz gewährleistet (Urteil des BVGer A-2727/2023 vom 2. April 2024 E. 4.3.4 [auf die dagegen erhobene Beschwerde ist das BGer mit Urteil 2C_193/2024 vom 26. April 2024 nicht eingetreten]). Diese Ausnahmebestimmung ist insbesondere im Rahmen von Staatsverträgen mit Ländern ohne ausreichenden Datenschutz relevant, die für Steuerdaten mittels Doppelbesteuerungsabkommen einen angemessenen Datenschutz gewährleisten (Adrian Kunz, in: Bieri/Powell [Hrsg.], DSG, Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, 2023, N 20 zu Art. 16 DSG mit Hinweisen). Dies trifft rechtsprechungsgemäss auf das DBA CH-US zu, zumal dieses das Spezialitätsprinzip enthält und die ESTV in ihren Schlussverfügungen jeweils auf diese Verwendungsbeschränkung explizit aufmerksam macht (vgl.”

N2.Datenschutzpflichten der WEKO

Die WEKO ist als verantwortliches Organ im Sinn von Art. 16 Abs. 1 DSG anzusehen. Folglich unterliegt sie dem Datenschutzgesetz bei der Bearbeitung von Personendaten; dies umfasst auch die Bekanntgabe von Personendaten, einschliesslich grenzüberschreitender Weitergaben. Das DSG ist auf Verwaltungsverfahren der WEKO anwendbar.

“Zunächst ist allerdings zu prüfen, ob das Datenschutzgesetz überhaupt anwendbar ist: Die strittige Angelegenheit vor der WEKO ist Gegenstand eines Verwaltungsverfahrens ( BGE 145 II 259 E. 2.6.2 S. 268; BGE 142 II 268 E. 4.2.5.2 S. 274 oben). Entsprechend Art. 2 Abs. 2 lit. c DSG unterliegt es dem Datenschutzgesetz BGE 147 II 227 S. 234 (BGE 142 II 268 E. 6.2 S. 280), und beim Inhalt der Verfügung vom 16. Dezember 2011 handelt es sich um Personendaten (Art. 3 lit. a und c DSG; BGE 142 II 268 E. 6.1 S. 280). Die WEKO ist verantwortliches Organ (Art. 16 Abs. 1 DSG) und bearbeitet bzw. wollte dem Kanton Aargau personenbezogene Daten bekanntgeben (Art. 3 lit. e und f DSG). Das Datenschutzgesetz ist und dementsprechend sind auch die allgemeinen datenschutzrechtlichen Vorschriften (Art. 4, BGE 142 II 5 und 7 DSG [vgl. BGE 142 II 268 E. 6.3 S. 280]) neben denjenigen über das Bekanntgeben von Personendaten (Art. 19 DSG) anwendbar.”

“Das DSG gilt für das Bearbeiten von Daten juristischer Personen durch die Bundesverwaltung (Art. 2 Abs. 1 lit. b DSG), worunter auch die WEKO - als Behördenkommission (Art. 7a Abs. 1 lit. a i.V.m. Art. 8a Abs. 3 RVOV [SR 172.010.1] i.V.m. Art. 18 f. KG) - fällt; diese ist verantwortliches Organ i.S.v. Art. 16 Abs. 1 DSG. Bearbeiten umfasst das Bekanntgeben (Art. 3 lit. e DSG) und dieses wiederum das Veröffentlichen (Art. 3 lit. f DSG). Art. 48 Abs. 1 KG spricht von "Veröffentlichung" und meint dasselbe wie Art. 3 lit. f DSG. Auf das hängige erstinstanzliche Verwaltungsverfahren ist das DSG anwendbar (Art. 2 Abs. 2 lit. c i.f DSG). Abgesehen davon wäre das DSG auch nach Abschluss des Verfahrens anwendbar, insbesondere auf die Weitergabe nach Abschluss des Verfahrens (zum Ganzen BGE 142 II 268 E. 6.2; siehe auch BGE 147 II 227 E. 4.2).”

N3.DSG bei Bekanntgabe durch Behörden

Das DSG findet bei Bekanntgabe und Veröffentlichung von Personendaten durch Behörden Anwendung. Dies gilt sowohl für das hängige erstinstanzliche Verwaltungsverfahren als auch für Weitergaben nach Abschluss des Verfahrens.

“Das DSG gilt für das Bearbeiten von Daten juristischer Personen durch die Bundesverwaltung (Art. 2 Abs. 1 lit. b DSG), worunter auch die WEKO - als Behördenkommission (Art. 7a Abs. 1 lit. a i.V.m. Art. 8a Abs. 3 RVOV [SR 172.010.1] i.V.m. Art. 18 f. KG) - fällt; diese ist verantwortliches Organ i.S.v. Art. 16 Abs. 1 DSG. Bearbeiten umfasst das Bekanntgeben (Art. 3 lit. e DSG) und dieses wiederum das Veröffentlichen (Art. 3 lit. f DSG). Art. 48 Abs. 1 KG spricht von "Veröffentlichung" und meint dasselbe wie Art. 3 lit. f DSG. Auf das hängige erstinstanzliche Verwaltungsverfahren ist das DSG anwendbar (Art. 2 Abs. 2 lit. c i.f DSG). Abgesehen davon wäre das DSG auch nach Abschluss des Verfahrens anwendbar, insbesondere auf die Weitergabe nach Abschluss des Verfahrens (zum Ganzen BGE 142 II 268 E. 6.2; siehe auch BGE 147 II 227 E. 4.2).”

N4.Übermittlungen nach Belgien erlaubt

Der Bundesrat hat Belgien in der im Anhang zur DSV publizierten Liste aufgeführt; Übermittlungen von Personendaten nach Art. 16 Abs. 1 DSG in dieses Land sind damit möglich.

“Grundsätzlich findet das DSG im Bereich der internationalen Amtshilfe Anwendung (vgl. Art. 2 Abs. 2 DSG e contrario; zum alten Recht: BGE 148 II 349 E. 4.2 ff., 5.4, wonach jedoch die im aDSG vorgesehene generelle vorgängige Informationspflicht infolge spezialgesetzlicher Regelung in Art. 14 Abs. 2 StAhiG entfiel; BVGE 2015/13 E. 3.2). Gemäss Art. 1 i.V.m. Art. 16 Abs. 1 DSG dürfen Personendaten natürlicher Personen u.a. dann ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11). Belgien befindet sich auf dieser Liste.”

N5.USA nicht auf DSV-Liste

Die USA befinden sich aktuell nicht auf der vom Bundesrat im Anhang zur Verordnung über den Datenschutz (DSV) publizierten Liste.

“Mit dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, ergibt sich diesbezüglich keine wesentliche Änderung: Gemäss Art. 16 Abs. 1 DSG dürfen Personendaten ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11) (Art. 8 DSV). Die USA befinden sich aktuell nicht auf dieser Liste. Gemäss Art. 16 Abs. 2 DSG dürfen Personendaten jedoch u.a. dann ohne entsprechenden Entscheid des Bundesrats ins Ausland bekannt gegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch einen völkerrechtlichen Vertrag (Bst.”

N6.Bundesratliste als positives Kriterium

Die in Anhang 1 der OPDo vom Bundesrat publizierte Liste bildet nach dem neuen DSG ein positives, rechtliches Kriterium für Verantwortliche. Nach altem Recht diente eine entsprechende Liste des PFPDT lediglich als Hilfsmittel. Gleichwohl sind Auslandsübermittlungen auch ohne bundesrätliche Feststellung möglich, sofern die Voraussetzungen von Art. 16 Abs. 2 DSG (insbesondere völkerrechtliche Verträge oder ausreichende Garantien) erfüllt sind.

“Message du 5 juin 2015 relatif à l'approbation de la Convention du Conseil de l'Europe et de l'OCDE concernant l'assistance administrative mutuelle en matière fiscale et à sa mise en oeuvre - modification de la LAAF [ci-après Message LAAF], FF 2015 5121, 5150 ; cf. également Message du 16 juin 2017 concernant l'introduction de l'échange automatique de renseignements relatifs aux comptes financiers avec 41 États partenaires à partir de 2018/2019 [ci-après : Message EAR] qui précise que la liste ne peut être utilisée qu'à titre indicatif, FF 2017 4591, 4610). On pouvait également se référer aux examens par les pairs du Forum mondial (Message LAAF, FF 2017 5121, 5150 ; pour un cas concernant l'Inde, cf. arrêt du TAF A-3332/2020 du 11 janvier 2023 consid. 10.3.2). 3.4.4 La nouvelle LPD, entrée en vigueur le 1er septembre 2023, n'apporte pas de changement significatif à cet égard, quand bien même le niveau de protection de la législation d'un Etat étranger est désormais examiné par le Conseil fédéral (cf. art. 16 al. 1 LPD et art. 8 de l'ordonnance fédérale du 31 août 2022 sur la protection des données [OPDo, RS 235.11]), lequel publie une liste figurant à l'Annexe 1 de l' OPDo. Cette liste dite « positive » devient un critère légal pour les responsables du traitement, alors que selon l'ancien droit la liste du PFPDT était conçue uniquement comme un moyen auxiliaire (cf. Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales [Message LPD révisée], FF 6565, 6657 s.). Cela étant, la transmission à l'étranger reste possible même en l'absence de décision du Conseil fédéral, aux conditions mentionnées à l'art. 16 al. 2 LPD, singulièrement lorsqu'un traité international garantit un niveau de protection approprié (let. a) ou en vertu de garanties spécifiques élaborées par l'organe fédéral compétent et préalablement communiquées au PFPDT (let. c). Par ailleurs, l'art. 17 LPD énumère les situations où des dérogations à l'art.”

“En dépit de l'absence d'une législation assurant un niveau de protection adéquat à l'étranger, des données personnelles peuvent être communiquées à l'étranger, notamment lorsque des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat à l'étranger (cf. art. 6 al. 2 let. a aLPD). La jurisprudence développée sous l'ancienne LPD admettait que si une restriction d'utilisation à l'intention de l'autorité requérante figurait dans la décision finale accordant l'assistance, la transmission des informations ne violait en principe pas l'art. 6 al. 2 let. a LPD (cf. arrêts du TAF A-3332/2020 du 11 janvier 2023 consid. 10.2, A-3715/2017 du 2 juillet 2018 consid. 2.4.4 et les réf. citées [confirmé par arrêt du TF 2C_619/2018 du 21 décembre 2018]). La nouvelle LPD, entrée en vigueur le 1er septembre 2023, n'apporte pas de changement significatif à cet égard, quand bien même le niveau de protection de la législation d'un Etat étranger est désormais examiné par le Conseil fédéral (cf. art. 16 al. 1 LPD et art. 8 de l'ordonnance fédérale du 31 août 2022 sur la protection des données [OPDo, RS 235.11]), lequel publie une liste figurant à l'Annexe 1 de l' OPDo. Cette liste dite « positive » devient un critère légal pour les responsables du traitement, alors que selon l'ancien droit la liste du Préposé fédéral à la protection des données et à la transparence (PFPDT) était conçue uniquement comme un moyen auxiliaire (cf. Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales [Message LPD révisée], FF 6565, 6657 s.). Cela étant, la transmission à l'étranger reste possible même en l'absence de décision du Conseil fédéral, aux conditions mentionnées à l'art. 16 al. 2 LPD, singulièrement lorsqu'un traité international garantit un niveau de protection approprié (let.”

N7.Völkerrechtliche Verträge als Übermittlungsbasis

Die USA stehen derzeit nicht auf der Liste der Staaten, die der Bundesrat gemäss Art. 16 Abs. 1 DSG als angemessen eingestuft hat. Für Übermittlungen in Staaten, die nicht auf dieser Liste aufgeführt sind, kommt gemäss den Quellen insbesondere Art. 16 Abs. 2 DSG in Betracht, etwa wenn ein völkerrechtlicher Vertrag (z. B. ein Doppelbesteuerungsabkommen) einen geeigneten Datenschutz gewährleistet.

“Mit dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, ergibt sich diesbezüglich keine wesentliche Änderung: Gemäss Art. 16 Abs. 1 DSG dürfen Personendaten ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11) (Art. 8 DSV). Die USA befinden sich aktuell nicht auf dieser Liste. Gemäss Art. 16 Abs. 2 DSG dürfen Personendaten jedoch u.a. dann ohne entsprechenden Entscheid des Bundesrats ins Ausland bekannt gegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch einen völkerrechtlichen Vertrag (Bst.”

“Gemäss dem neuen DSG dürfen Personendaten ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 DSG). Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11). Die USA befinden sich aktuell nicht auf dieser Liste. Gemäss Art. 16 Abs. 2 Bst. a DSG dürfen Personendaten jedoch u.a. dann ohne entsprechenden Entscheid des Bundesrates ins Ausland bekannt gegeben werden, wenn ein völkerrechtlicher Vertrag einen geeigneten Datenschutz gewährleistet (Urteil des BVGer A-2727/2023 vom 2. April 2024 E. 4.3.4 [auf die dagegen erhobene Beschwerde ist das BGer mit Urteil 2C_193/2024 vom 26. April 2024 nicht eingetreten]). Diese Ausnahmebestimmung ist insbesondere im Rahmen von Staatsverträgen mit Ländern ohne ausreichenden Datenschutz relevant, die für Steuerdaten mittels Doppelbesteuerungsabkommen einen angemessenen Datenschutz gewährleisten (Adrian Kunz, in: Bieri/Powell [Hrsg.], DSG, Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, 2023, N 20 zu Art. 16 DSG mit Hinweisen). Dies trifft rechtsprechungsgemäss auf das DBA CH-US zu, zumal dieses das Spezialitätsprinzip enthält und die ESTV in ihren Schlussverfügungen jeweils auf diese Verwendungsbeschränkung explizit aufmerksam macht (vgl.”

N8.Völkerrechtliche Verträge als eigenständige Rechtsgrundlage

Nach Art. 16 Abs. 2 DSG ist eine Übermittlung ins Ausland auch dann möglich, wenn der erforderliche Schutz durch einen völkerrechtlichen Vertrag gewährleistet ist; solche Verträge können somit eine eigenständige Rechtsgrundlage für Bekanntgaben bilden.

“arrêt du TAF A-3332/2020 du 11 janvier 2023 consid. 10.3.2). 3.4.4 La nouvelle LPD, entrée en vigueur le 1er septembre 2023, n'apporte pas de changement significatif à cet égard, quand bien même le niveau de protection de la législation d'un Etat étranger est désormais examiné par le Conseil fédéral (cf. art. 16 al. 1 LPD et art. 8 de l'ordonnance fédérale du 31 août 2022 sur la protection des données [OPDo, RS 235.11]), lequel publie une liste figurant à l'Annexe 1 de l' OPDo. Cette liste dite « positive » devient un critère légal pour les responsables du traitement, alors que selon l'ancien droit la liste du PFPDT était conçue uniquement comme un moyen auxiliaire (cf. Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales [Message LPD révisée], FF 6565, 6657 s.). Cela étant, la transmission à l'étranger reste possible même en l'absence de décision du Conseil fédéral, aux conditions mentionnées à l'art. 16 al. 2 LPD, singulièrement lorsqu'un traité international garantit un niveau de protection approprié (let. a) ou en vertu de garanties spécifiques élaborées par l'organe fédéral compétent et préalablement communiquées au PFPDT (let. c). Par ailleurs, l'art. 17 LPD énumère les situations où des dérogations à l'art. 16 al. 1 et al. 2 sont admises. Il sied encore pour être complet de relever que la nouvelle LPD vise exclusivement à protéger la personnalité des personnes physiques qui font l'objet d'un traitement de données et ne concerne dorénavant plus les données des personnes morales (cf. art. 1 al. 1 et 5 let. b LPD à comparer avec les art. 1 et 3 let. b aLPD). Toutefois, aux termes des dispositions transitoires, pour les organes fédéraux, les dispositions d'autres actes de droit fédéral qui font référence à des données personnelles continuent de s'appliquer au traitement des données concernant des personnes morales pendant les cinq ans suivant l'entrée en vigueur de la présente loi (cf. art. 71 LPD).”

“Mit dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist, ergibt sich diesbezüglich keine wesentliche Änderung: Gemäss Art. 16 Abs. 1 DSG dürfen Personendaten ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Der Bundesrat publiziert eine entsprechende Liste im Anhang zur Verordnung vom 31. August 2022 über den Datenschutz (DSV, SR 235.11) (Art. 8 DSV). Die USA befinden sich aktuell nicht auf dieser Liste. Gemäss Art. 16 Abs. 2 DSG dürfen Personendaten jedoch u.a. dann ohne entsprechenden Entscheid des Bundesrats ins Ausland bekannt gegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch einen völkerrechtlichen Vertrag (Bst.”

N9.OPDo Anhang 1 als verbindlicher Massstab

Die vom Bundesrat publizierte «positive» Liste in Anhang 1 OPDo bildet nach der revidierten LPD ein verbindliches Kriterium für die Beurteilung des Schutzniveaus bei grenzüberschreitenden Datenübermittlungen; die frühere Liste des PFPDT hatte dagegen nur eine hilfsweise Funktion. Gleichwohl bleiben Übermittlungen auch ohne eine solche Bundesratsentscheidung möglich, wenn die in Art. 16 Abs. 2 LPD genannten Voraussetzungen erfüllt sind (insbesondere ein völkerrechtlicher Vertrag mit angemessenem Schutz oder spezifische, zuvor kommunizierte Garantien).

“arrêt du TAF A-3332/2020 du 11 janvier 2023 consid. 10.3.2). 3.4.4 La nouvelle LPD, entrée en vigueur le 1er septembre 2023, n'apporte pas de changement significatif à cet égard, quand bien même le niveau de protection de la législation d'un Etat étranger est désormais examiné par le Conseil fédéral (cf. art. 16 al. 1 LPD et art. 8 de l'ordonnance fédérale du 31 août 2022 sur la protection des données [OPDo, RS 235.11]), lequel publie une liste figurant à l'Annexe 1 de l' OPDo. Cette liste dite « positive » devient un critère légal pour les responsables du traitement, alors que selon l'ancien droit la liste du PFPDT était conçue uniquement comme un moyen auxiliaire (cf. Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales [Message LPD révisée], FF 6565, 6657 s.). Cela étant, la transmission à l'étranger reste possible même en l'absence de décision du Conseil fédéral, aux conditions mentionnées à l'art. 16 al. 2 LPD, singulièrement lorsqu'un traité international garantit un niveau de protection approprié (let. a) ou en vertu de garanties spécifiques élaborées par l'organe fédéral compétent et préalablement communiquées au PFPDT (let. c). Par ailleurs, l'art. 17 LPD énumère les situations où des dérogations à l'art. 16 al. 1 et al. 2 sont admises. Il sied encore pour être complet de relever que la nouvelle LPD vise exclusivement à protéger la personnalité des personnes physiques qui font l'objet d'un traitement de données et ne concerne dorénavant plus les données des personnes morales (cf. art. 1 al. 1 et 5 let. b LPD à comparer avec les art. 1 et 3 let. b aLPD). Toutefois, aux termes des dispositions transitoires, pour les organes fédéraux, les dispositions d'autres actes de droit fédéral qui font référence à des données personnelles continuent de s'appliquer au traitement des données concernant des personnes morales pendant les cinq ans suivant l'entrée en vigueur de la présente loi (cf. art. 71 LPD).”

“La nouvelle LPD, entrée en vigueur le 1er septembre 2023, n'apporte pas de changement significatif à cet égard, quand bien même le niveau de protection de la législation d'un Etat étranger est désormais examiné par le Conseil fédéral (cf. art. 16 al. 1 LPD et art. 8 de l'ordonnance fédérale du 31 août 2022 sur la protection des données [OPDo, RS 235.11]), lequel publie une liste figurant à l'Annexe 1 de l' OPDo. Cette liste dite « positive » devient un critère légal pour les responsables du traitement, alors que selon l'ancien droit la liste du Préposé fédéral à la protection des données et à la transparence (PFPDT) était conçue uniquement comme un moyen auxiliaire (cf. Message du 15 septembre 2017 concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d'autres lois fédérales [Message LPD révisée], FF 6565, 6657 s.). Cela étant, la transmission à l'étranger reste possible même en l'absence de décision du Conseil fédéral, aux conditions mentionnées à l'art. 16 al. 2 LPD, singulièrement lorsqu'un traité international garantit un niveau de protection approprié (let.”