La communication de données personnelles aux autorités compétentes des États liés par un des accords d’association à Dublin est assimilée à une communication entre organes fédéraux.
1 commentary
Selon art. 102b LAsi, la communication de données personnelles à des autorités d’un État lié par un accord d’association relatif au régime de Dublin équivaut à une communication entre organes fédéraux. Dans la jurisprudence citée (TAF F‑1812/2020), il est relevé que la transmission était licite parce que l’État destinataire (le Portugal) est partie au RD III et soumis au RGPD, et rien n’indiquait qu’il ne respecterait pas ses obligations en matière de protection des données. La décision étaye ainsi l’examen visant à déterminer si l’État destinataire est soumis au RD III/RGPD ou garantit un niveau de protection comparable ; en l’absence d’indice d’une protection des données insuffisante, rien ne s’oppose à la transmission.
“1), dans la mesure où le SEM avait transmis des informations la concernant aux autorités portugaises sans son consentement. Aux termes de l'art. 102b LAsi (communication de données personnelles à un État lié par un des accords d'association à Dublin), la communication de données personnelles aux autorités compétentes des États liés par un des accords d'association à Dublin est assimilée à une communication entre organes fédéraux. Selon l'art. 38 par. 1 RD III (sécurité et protection des données), les États membres prennent toutes les mesures appropriées en vue de garantir la sécurité des données à caractère personnel transmises, et notamment pour éviter l'accès ou la diffusion illicites ou non autorisés, l'altération ou la perte des données personnelles faisant l'objet d'un traitement. En l'espèce, les autorités suisses étaient en droit de communiquer les données personnelles de la recourante aux autorités portugaises nécessaires au traitement de la demande d'asile de celle-ci en vertu des art. 102b LAsi et 38 RD III. Le Portugal est en effet partie contractante au RD III et se doit de garantir une protection équivalente à la Suisse lors de la transmission de données en vertu de ce règlement. En outre, rien n'indique que ce pays, dont les autorités sont soumises au règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4 mai 2016, ci-après : RGPD), ne respecterait pas ses engagements, ce d'autant plus qu'il figure sur la liste des Etats ayant une législation assurant un niveau de protection adéquat (art. 6 al. 1 LPD) établie par le Préposé fédéral à la protection des données (état au 12 janvier 2017, consultée en décembre 2020). L'intéressée n'a pas non plus démontré qu'elle se trouverait, à l'instar de sa mère et de son fils, en danger dans ce pays, ne faisant l'objet d'aucune demande d'extradition vers la Russie (cf.”
“1), dans la mesure où le SEM avait transmis des informations la concernant aux autorités portugaises sans son consentement. Aux termes de l'art. 102b LAsi (communication de données personnelles à un État lié par un des accords d'association à Dublin), la communication de données personnelles aux autorités compétentes des États liés par un des accords d'association à Dublin est assimilée à une communication entre organes fédéraux. Selon l'art. 38 par. 1 RD III (sécurité et protection des données), les États membres prennent toutes les mesures appropriées en vue de garantir la sécurité des données à caractère personnel transmises, et notamment pour éviter l'accès ou la diffusion illicites ou non autorisés, l'altération ou la perte des données personnelles faisant l'objet d'un traitement. En l'espèce, les autorités suisses étaient en droit de communiquer les données personnelles de la recourante aux autorités portugaises nécessaires au traitement de la demande d'asile de celle-ci en vertu des art. 102b LAsi et 38 RD III. Le Portugal est en effet partie contractante au RD III et se doit de garantir une protection équivalente à la Suisse lors de la transmission de données en vertu de ce règlement. En outre, rien n'indique que ce pays, dont les autorités sont soumises au règlement (UE) no 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4 mai 2016, ci-après : RGPD), ne respecterait pas ses engagements, ce d'autant plus qu'il figure sur la liste des Etats ayant une législation assurant un niveau de protection adéquat (art. 6 al. 1 LPD) établie par le Préposé fédéral à la protection des données (état au 12 janvier 2017, consultée en décembre 2020). L'intéressée n'a pas non plus démontré qu'elle se trouverait, à l'instar de sa mère et de son fils, en danger dans ce pays, ne faisant l'objet d'aucune demande d'extradition vers la Russie (cf.”