La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement.
21 commentaries
RéférenÎ : LPD art. 1 ch. 21 Les prises de vue permettant d'identifier une personne sont considérées comme une collecte et un traitement de données personnelles et sont donc soumises à la protection de la LPD. La LPD vise à protéger la personnalité et les droits fondamentaux des personnes physiques concernées.
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
LPD art. 1 n. 20 Le droit d'accès comprend également les dossiers désignés en interne, dans la mesure où ceux-ci contiennent des indications à caractère personnel concernant la personne physique concernée.
“], Gesetz über die Verwaltungsrechtspflege, Praxiskommentar, Zürich/St. Gallen 2020, N 8 zu Art. 57 VRP). Wie bereits die Vorinstanz zutreffend feststellte, sind die Namen der beiden beratenden ärztlichen Fachpersonen des vom Risk Management beigezogenen unabhängigen medizinischen Dienstes versehentlich zur Kenntnis der Beschwerdeführerin gelangt. Diesbezüglich hat sich das Anliegen der Beschwerdeführerin bereits im Rekursverfahren erledigt (Vorakten M-1, M-3 und M-4). Streitgegenstand Die Verfahrensbeteiligten stimmen überein, dass ein allfälliger Anspruch der Beschwerdeführerin datenschutzrechtlicher und nicht verfahrensrechtlicher Natur ist (vgl. Art. 2 Abs. 3 des Datenschutzgesetzes; sGS 142.1, DSG). Die Vorinstanz anerkennt den Anspruch der Beschwerdeführerin auf Einsicht in ihre vom Risk Management des Kantons St. Gallen bearbeiteten Personendaten gemäss Art. 17 DSG. Sie anerkennt zudem, dass sich dieser Anspruch auch auf die als intern bezeichneten Akten erstreckt, soweit sie auf die Beschwerdeführerin bezogene Angaben enthalten (vgl. Art. 1 Abs. 1 lit. a DSG; BGE 125 II 473 E. 4b). Indem die Vorinstanz die Verweigerung der Offenlegung der noch vorhandenen Schwärzungen mit einer – vom Risk Management vorgenommenen – Interessenabwägung nach Art. 18 DSG rechtfertigte, ging sie – stillschweigend – davon aus, dass sich auch die betreffenden Passagen auf die Beschwerdeführerin beziehen und es sich damit um Personendaten im Sinn des Datenschutzgesetzes handelt. Die Beschwerdeführerin macht im Wesentlichen geltend, die Vorinstanz habe weder den Inhalt der geschwärzten Aussagen gekannt noch die Interessen selbst abgewogen. Damit habe sie den”
Citation : LPD art. 1 n. 19 La LPD a pour objet la protection de la personnalité et des droits fondamentaux des personnes faisant l'objet d'un traitement de données. Selon l'arrêt cité, la protection prévue par la LPD vise notamment les intérêts personnels individuels (p. ex. la sphère privée), et une commune n'a pu, dans le cas d'espèÎ, faire valoir une atteinte propre à de tels biens juridiques individuels. Il en découle que, par principe, les collectivités communales ou autres personnes morales ne sauraient être considérées sans autre comme titulaires de prétentions individuelles relevant du droit de la personnalité découlant de l'art. 1 LPD ; toutefois, la décision n'exclut pas que des personnes morales puissent, dans d'autres contextes juridiques, être titulaires de certains biens juridiques.
“180 CP, soit les sentiments de paix intérieure et de sécurité, de sorte qu’elle ne peut pas être lésée par cette infraction; ainsi, même si la menace porte sur un dommage causé à la personne morale, seule la personne physique qui aura été effrayée ou alarmée par celle-ci pourra être lésée par l'infraction; à l’inverse, une personne morale peut être titulaire du bien juridique protégé par l’art. 181 CP, soit la liberté d'action, et plus particulièrement la libre formation et le libre exercice de la volonté, la loi (art. 55 al. 1 CC) reconnaissant aux personnes morales la capacité de former et d’exprimer une volonté et d’agir en conséquence (ATF 141 IV 1 consid. 3.2 ss); que la LVid vise à protéger les droits fondamentaux (vie privée, liberté de réunion, cf. Message du Conseil d’Etat du 6 juillet 2010, p. 2) des personnes soumises à une vidéosurveillance dans les lieux publics, en particulier sous l’angle de la protection des données personnelles (art. 1 al. 1 LVid); quant à la LPD, elle vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (cf. art. 1 LPD); elle ne protège donc pas les données, mais la personnalité et les droits fondamentaux des personnes, comme le droit à la vie privée ou le droit à l’autodétermination individuelle en matière d’information; qu’en l’espèce, la Commune estime qu’elle a qualité pour recourir au motif qu’elle est directement et personnellement touchée puisque la vidéosurveillance litigieuse filme le chemin d’un syndicat alpestre, dont elle est membre et qui est présidé par le syndic de la Commune (cf. recours, p. 2); ce point de vue ne convainc pas; si les citoyens de la Commune peuvent parcourir le chemin et donc être filmés, cela ne signifie pas que la Commune, même en sa qualité de membre du syndicat, est titulaire du bien juridique individuel protégé par la ou les disposition(s) pénale(s) qui aurai(en)t été enfreinte(s), comme la vie privée, tout comme elle ne subit pas une atteinte en rapport de causalité directe avec l'infraction poursuivie; les titulaires des biens juridiques protégés et donc les potentiels lésés au sens de l’art.”
Citation : LPD art. 1 ch. 18 art. 1 al. 1 LPD s'applique uniquement aux données personnelles des personnes physiques ; les données des personnes morales sont exclues de la protection des données de la LPD. La sourÎ précise que cela a été expressément prévu et a notamment pour conséquenÎ que la communication de données de personnes morales à l'étranger n'est plus subordonnée à la question d'une protection adéquate dans le pays destinataire. Une protection des données des personnes morales demeure, selon les sources citées, par d'autres lois fédérales et par l'art. 13 Cst.
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
“Auf den Schutz von Daten juristischer Personen wurde mit dem neuen DSG bewusst verzichtet (Art. 1 Abs. 1 DSG e contrario; Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, 6972, 7011 [nachfolgend: Botschaft vom 15. September 2017]). In den datenschutzrechtlichen Bestimmungen der Europäischen Union des Europarates sowie der meisten ausländischen Rechtsordnungen sei kein solcher Schutz vorgesehen. Der Schutz von Daten juristischer Personen sei nur von geringer praktischer Bedeutung. Diese Lösung habe den Vorteil, dass die Bekanntgaben von Daten juristischer Personen ins Ausland nicht mehr davon abhängen, ob im Empfängerland ein angemessener Schutz gewährleistet sei. Durch diese Änderung sollte die Bekanntgabe von Daten an ausländische Staaten, deren Gesetzgebung keinen Schutz von Daten juristischer Personen vorsieht, erleichtert werden. Dies werde voraussichtlich zu einer Zunahme der Bekanntgabe ins Ausland beitragen. Für juristische Personen bleibe ein umfassender Schutz unverändert bestehen, wie er durch die Art.”
Si les indications en cause sont manifestement fictives et que tant la personne requérante que la partie adverse savent qu’elles sont fictives, l’intérêt digne de protection visé à l’art. 1 LPD peut faire défaut. Si la modification demandée n’a aucun utilité pratique et que la situation de fait ou de droit de la personne concernée n’est pas affectée, elle n’atteint ni sa personnalité ni ses droits fondamentaux et ne fonÞ donc pas un intérêt digne de protection au regard du champ d’application de la LPD.
“Dem Beschwerdeführer geht es bei seinem Gesuch insbesondere auch nicht darum, sich mit Angabe eines bestimmten falschen Geburtsdatums als eine andere, bestimmte oder bestimmbare Person auszugeben: sowohl er wie auch die Beschwerdegegnerin wissen, dass es sich um fiktive Daten handelt. Er ersucht ausdrücklich darum, ein fiktives Geburtsdatum durch ein anderes - offensichtlich - fiktives Geburtsdatum zu ersetzen. Unter diesen Umständen ist es fraglich, ob die genannten Daten überhaupt Personendaten im Sinne von Art. 3 lit. a DSG darstellen, d.h. Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, und, folglich, ob das Datenschutzgesetz überhaupt anwendbar ist. Diese Frage kann jedoch offen gelassen werden, weil es dem Beschwerdeführer bereits am schutzwürdigen Interesse fehlt. In der Tat bringt ihm der gewünschte Ausgang des Verfahrens keinen grösseren praktischen Nutzen, als wenn er das Angebot der Beschwerdegegnerin angenommen hätte, den 1. Januar 1977 als Geburtsdatum einzutragen. Da alle zur Diskussion stehenden Geburtsdaten fiktiv sind und somit nicht dem effektiven Geburtsdatum des Beschwerdeführers entsprechen, tangiert die von ihm geforderte Änderung weder dessen Persönlichkeit noch dessen Grundrechte (vgl. Art. 1 DSG). Im Übrigen begründet der Beschwerdeführer in seiner Beschwerde auch nicht, inwiefern dies der Fall sein könnte. Somit kann der Ausgang des Verfahrens weder seine tatsächliche noch seine rechtliche Situation beeinflussen. Für die Anwendung des Art. 25 Abs. 1 DSG fehlt es somit bereits am schutzwürdigen Interesse.”
“Dem Beschwerdeführer geht es bei seinem Gesuch insbesondere auch nicht darum, sich mit Angabe eines bestimmten falschen Geburtsdatums als eine andere, bestimmte oder bestimmbare Person auszugeben: sowohl er wie auch die Beschwerdegegnerin wissen, dass es sich um fiktive Daten handelt. Er ersucht ausdrücklich darum, ein fiktives Geburtsdatum durch ein anderes - offensichtlich - fiktives Geburtsdatum zu ersetzen. Unter diesen Umständen ist es fraglich, ob die genannten Daten überhaupt Personendaten im Sinne von Art. 3 lit. a DSG darstellen, d.h. Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, und, folglich, ob das Datenschutzgesetz überhaupt anwendbar ist. Diese Frage kann jedoch offen gelassen werden, weil es dem Beschwerdeführer bereits am schutzwürdigen Interesse fehlt. In der Tat bringt ihm der gewünschte Ausgang des Verfahrens keinen grösseren praktischen Nutzen, als wenn er das Angebot der Beschwerdegegnerin angenommen hätte, den 1. Januar 1977 als Geburtsdatum einzutragen. Da alle zur Diskussion stehenden Geburtsdaten fiktiv sind und somit nicht dem effektiven Geburtsdatum des Beschwerdeführers entsprechen, tangiert die von ihm geforderte Änderung weder dessen Persönlichkeit noch dessen Grundrechte (vgl. Art. 1 DSG). Im Übrigen begründet der Beschwerdeführer in seiner Beschwerde auch nicht, inwiefern dies der Fall sein könnte. Somit kann der Ausgang des Verfahrens weder seine tatsächliche noch seine rechtliche Situation beeinflussen. Für die Anwendung des Art. 25 Abs. 1 DSG fehlt es somit bereits am schutzwürdigen Interesse.”
Le terme «données personnelles» doit être entendu au sens large et comprend toute indication se rapportant à une personne déterminée ou déterminable. La LPD a pour objet la protection de la personnalité et des droits fondamentaux des personnes concernées par le traitement des données (art. 1 LPD).
“Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG), oder mit anderen Worten gelten die Vorschriften des DSG für die Bearbeitung von persönlichen Daten, die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können. Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare - natürliche oder juristische (Art. 3 lit. b DSG) - Person beziehen. Der Begriff "Personendaten" ist weit und umfasst jede Information, die einen auf eine Person (oder mehrere Personen) bezogenen oder beziehbaren Informationsgehalt besitzt (zum Ganzen BGE 142 II 268 E. 6.1), was im vorliegenden Fall unzweifelhaft zutrifft.”
“Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG), oder mit anderen Worten gelten die Vorschriften des DSG für die Bearbeitung von persönlichen Daten, die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können. Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare - natürliche oder juristische (Art. 3 lit. b DSG) - Person beziehen. Der Begriff "Personendaten" ist weit und umfasst jede Information, die einen auf eine Person (oder mehrere Personen) bezogenen oder beziehbaren Informationsgehalt besitzt (zum Ganzen BGE 142 II 268 E. 6.1), was im vorliegenden Fall unzweifelhaft zutrifft.”
art. 1 al. 1 LPD ne couvre que le traitement des données personnelles de personnes physiques; les données personnelles de personnes morales ne relèvent pas de la LPD. La protection des personnes morales demeure, selon les considérations exposées, assurée par d'autres lois fédérales et l'art. 13 Cst.
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 3.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”
art. 1 LPD a pour but la protection de la personnalité et des droits fondamentaux ; du droit constitutionnel à l'autodétermination informationnelle (art. 13 al. 2 Cst.) découle un droit à la protection juridique pour faire valoir des demandes d'accès et de rectification. La LPD précise ce droit et règle notamment de façon plus détaillée le droit d'accès et de rectification.
“39; Beat Rudin in: Bruno Baeriswyl/Kurt Pärli [Hrsg.], Datenschutzgesetz [DSG], Bern 2015, Art. 2 N. 36). 4.2 Anwendbar bleiben jedoch die verfassungsmässigen Rechte wie das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2 der Bundesverfassung (BV; VGr, 16. Dezember 2021, VB.2020.00648, E. 4.1). Aus dem Recht auf informationelle Selbstbestimmung leitet sich ein Anspruch jeder Person auf Schutz vor Missbrauch der persönlichen Daten ab. Jede Person hat das Recht zu bestimmen, ob und zu welchem Zweck der Staat oder Private Informationen über sie bearbeiten und speichern (BVGr, 22. Mai 2012, A-4903/2016, E. 4.2.1; vgl. auch Rainer J. Schweizer in: Bernhard Ehrenzeller/Benjamin Schindler/Rainer J. Schweizer/Klaus A. Vallender [Hrsg.], Die schweizerische Bundesverfassung, St. Galler Kommentar, 3. A., Zürich 2014, Art. 13 N. 71 ff.; Jörg Paul Müller/Markus Schefer, Grundrechte in der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. A., Bern 2008, S. 164 ff.; Maurer-Lambrou/Kunz, Art. 1 DSG N. 19 und 23 mit Hinweisen). Der verfassungsrechtliche Datenschutz ist folgenden Grundsätzen verpflichtet: rechtmässige Beschaffung, Bearbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Verhältnismässigkeit, Richtigkeit, Wahrung der Datensicherheit sowie Beschränkung der Datenweitergabe ins Ausland, wenn kein gleichwertiger Persönlichkeits- bzw. Datenschutz besteht (Giovanni Biaggini, BV Kommentar, 2. A., Zürich 2017, Art. 13 N. 13; vgl. Art. 4 DSG). Aus dem grundrechtlichen Fundament des Datenschutzes ergibt sich zudem ein Anspruch auf Rechtsschutz, insbesondere zur Durchsetzung des Auskunftsrechts sowie zur Geltendmachung von Berichtigungs-, Vernichtungs-, Unterlassungs- oder Feststellungsbegehren und Begehren um vorsorgliche Massnahmen (Schweizer, N. 89; Biaggini, Art. 13 N. 14; vgl. Art. 15 und 25 DSG; Art. 8 lit. d des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 [SR 0.235.1]; Art. 13 der Europäischen Menschenrechtskonvention vom 4.”
“3 Bien que le recourant ne s'en plaigne pas, le Tribunal relève également que le SEM n'a jamais pris position sur le grief pris d'une violation de la législation sur la protection des données. Or, si le recourant n'avait pas d'emblée précisé les bases légales sur lesquelles il fondait sa requête de consultation des pièces, il a, par la suite, invoqué dans son mémoire de recours une violation des art. 9 LPD et 27 PA. Il s'agit là également d'un vice de motivation, soit un vice de nature formelle (cf. Kneubühler/Pedretti, in : Auer/Müller/Schindler [édit.], VwVG Kommentar, 2e éd. 2019, art. 35 n. 21), qui peut également, vu les développements effectués plus haut et le fait que le Tribunal revoit librement la légalité formelle et matérielle de la décision, et surtout vu l'issue de la cause, être considéré comme guéri en l'espèce. 5. 5.1 La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (cf. art. 1 LPD ; arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3). Elle concrétise le droit à l'autodétermination informationnelle, protégé par les art. 13 al. 2 Cst et 8 CEDH, dont découle notamment un droit à l'accès et à rectification des données personnelles (cf. arrêt du TAF A-5654/2017 du 30 août 2018 consid. 6.1 ; Maya Hertig Randall/Julien Marquis, in : Jacques Dubey/Vincent Martenet [édit.], Commentaire romand - Constitution fédérale, 2021, art. 13 n. 66). La LPD régit notamment le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux (cf. art. 2 al. 1 let. b LPD). Elle ne s'applique, en revanche, pas aux procédures pendantes civiles, pénales, d'entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l'exception des procédures administratives de première instance (cf. art. 2 al. 2 let. c LPD). 5.1.1 Le droit d'accès d'une personne à ses propres données - clef de voûte de la protection des données - ainsi que la possibilité de s'informer sur l'origine desdites données, dans le cadre de l'activité administrative, est régi par les articles 8 à 10 LPD, et non par la loi fédérale sur le principe de la transparence dans l'administration (LTrans, RS 152.”
Même des enregistrements d'images non publiés ou conservés uniquement de manière temporaire peuvent porter atteinte à la personnalité et relèvent ainsi en principe du champ de protection de la LPD (art. 1 n. 13).
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
art. 1 LPD a pour objet la protection de la personnalité et des droits fondamentaux lors du traitement de données à caractère personnel. De cette finalité de protection découlent les principes du traitement consacrés par la loi (notamment la licéité, la bonne foi, la proportionnalité, la limitation des finalités et la transparenÎ, l'exactituÞ et la sécurité des données) ainsi que des droits propres des personnes concernées (p. ex. demandes d'accès, de rectification, de suppression et de cessation).
“Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG), oder mit anderen Worten gelten die Vorschriften des DSG für die Bearbeitung von persönlichen Daten (Art. 3 lit. a und b DSG; BGE 147 II 227 E. 4.2; BGE 142 II 268 E. 6.1), die den grundrechtlichen Anspruch auf Schutz der Privatsphäre (Art. 13 BV) verletzen können (BGE 147 II 227 E. 4.2; BGE 142 II 268 E. 6.1; BGE 138 II 346 E. 3.2; je mit weiteren Hinweisen). Das DSG sieht hierfür gewisse Bearbeitungsgrundsätze (Rechtmässigkeitsgrundsatz [Art. 4 Abs. 1 DSG], Grundsatz von Treu und Glauben sowie Verhältnismässigkeitsgrundsatz [Art. 4 Abs. 2 DSG], Zweckmässigkeits- und Erkennbarkeits- bzw. Transparenzgrundsatz [Art. 4 Abs. 3 und 4 DSG] sowie Datenrichtigkeits- und -sicherheitsgrundsatz [Art. 5 und 7 DSG]; vgl. BGE 138 II 346 E. 7) und eigenständige Rechtsansprüche vor (Art. 5 Abs. 2, Art. 8, 20 und 25 DSG).”
“39; Beat Rudin in: Bruno Baeriswyl/Kurt Pärli [Hrsg.], Datenschutzgesetz [DSG], Bern 2015, Art. 2 N. 36). 4.2 Anwendbar bleiben jedoch die verfassungsmässigen Rechte wie das Recht auf informationelle Selbstbestimmung nach Art. 13 Abs. 2 der Bundesverfassung (BV; VGr, 16. Dezember 2021, VB.2020.00648, E. 4.1). Aus dem Recht auf informationelle Selbstbestimmung leitet sich ein Anspruch jeder Person auf Schutz vor Missbrauch der persönlichen Daten ab. Jede Person hat das Recht zu bestimmen, ob und zu welchem Zweck der Staat oder Private Informationen über sie bearbeiten und speichern (BVGr, 22. Mai 2012, A-4903/2016, E. 4.2.1; vgl. auch Rainer J. Schweizer in: Bernhard Ehrenzeller/Benjamin Schindler/Rainer J. Schweizer/Klaus A. Vallender [Hrsg.], Die schweizerische Bundesverfassung, St. Galler Kommentar, 3. A., Zürich 2014, Art. 13 N. 71 ff.; Jörg Paul Müller/Markus Schefer, Grundrechte in der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. A., Bern 2008, S. 164 ff.; Maurer-Lambrou/Kunz, Art. 1 DSG N. 19 und 23 mit Hinweisen). Der verfassungsrechtliche Datenschutz ist folgenden Grundsätzen verpflichtet: rechtmässige Beschaffung, Bearbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Verhältnismässigkeit, Richtigkeit, Wahrung der Datensicherheit sowie Beschränkung der Datenweitergabe ins Ausland, wenn kein gleichwertiger Persönlichkeits- bzw. Datenschutz besteht (Giovanni Biaggini, BV Kommentar, 2. A., Zürich 2017, Art. 13 N. 13; vgl. Art. 4 DSG). Aus dem grundrechtlichen Fundament des Datenschutzes ergibt sich zudem ein Anspruch auf Rechtsschutz, insbesondere zur Durchsetzung des Auskunftsrechts sowie zur Geltendmachung von Berichtigungs-, Vernichtungs-, Unterlassungs- oder Feststellungsbegehren und Begehren um vorsorgliche Massnahmen (Schweizer, N. 89; Biaggini, Art. 13 N. 14; vgl. Art. 15 und 25 DSG; Art. 8 lit. d des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 [SR 0.235.1]; Art. 13 der Europäischen Menschenrechtskonvention vom 4.”
Selon la jurisprudenÎ du Tribunal administratif fédéral (TAF), l'accès aux données provenant de procédures pénales administratives qui ne sont plus pendantes doit être préalablement apprécié au regard de la LPD; pour les procédures pénales qui ne sont plus pendantes, les droits des personnes concernées sont en outre régis par la LPD et par le Préposé fédéral à la protection des données et à la transparenÎ (PFPDT).
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
art. 1 précise clairement que la LPD vise à protéger la personnalité et les droits fondamentaux des personnes dont les données personnelles sont traitées. Il qualifie cette protection de finalité légale de la norme.
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
“Les documents sont tous les supports d'information détenus par une institution contenant des renseignements relatifs à l'accomplissement d'une tâche publique (art. 25 al. 1 LIPAD), notamment les messages, rapports, études, procès-verbaux approuvés, statistiques, registres, correspondances, directives, prises de position, préavis ou décisions (art. 25 al. 2 LIPAD). Sont soustraits au droit d'accès les documents à la communication desquels un intérêt public ou privé prépondérant s'oppose (art. 26 al. 1 LIPAD), tel notamment lorsque l'accès aux documents est propre à entraver notablement le processus décisionnel ou la position de négociation d'une institution (art. 26 al. 2 let. c LIPAD). Les notes échangées entre les membres d'une autorité collégiale ou entre ces derniers et leurs collaborateurs sont exclues du droit d'accès (art. 26 al. 3 LIPAD). 2.1.7 La loi fédérale sur la protection des données du 25 septembre 2020 (RS 235.1, ci-après : LPD), vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l'objet d'un traitement (art. 1 LPD). Elle régit le traitement de données personnelles concernant des personnes physiques effectué par des personnes privées ou des organes fédéraux (art. 2 al. 1 LPD). Elle règle le droit d'accès de toute personne aux données la concernant et les restrictions à ce droit d'accès en ses articles 25 et 26. Selon l'art. 25 al. 1 LPD, toute personne peut demander au responsable du traitement si des données personnelles la concernant son traitées. L'art. 26 al. 4 LPD dispose que le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la communication des informations. L'ancienne loi fédérale sur la protection des données du 19 juin 1992 (ci-après : aLPD), abrogée lors de l'entrée en vigueur de la LPD le 1er septembre 2023, visait également à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 aLPD). Elle régissait le traitement de données concernant des personnes physiques et morales effectuées par des personnes privées et des organes fédéraux (art.”
Citation : LPD art. 1 ch. 9 Pour que la possibilité d'identification d'une personne soit établie, il ne suffit pas qu'il existe une simple possibilité théorique d'identification. Si, selon l'expérienÎ de la vie courante, les efforts requis pour procéder à l'identification sont si élevés ou disproportionnés qu'il n'est pas raisonnable d'attendre qu'une personne intéressée les entreprenne, la personne n'est pas identifiable.
“Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Gemäss Art. 3 lit. a DSG sind Personendaten (Daten) "alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen". Eine Person ist dann bestimmt, wenn sich aus den Angaben ergibt, dass sie sich auf diese Person und nur auf diese Person beziehen (z.B. bei einem Personalausweis). Bestimmbar ist die Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann (z.B. wenn aus Angaben über Liegenschaften die Eigentümerinnen und Eigentümer ausfindig gemacht werden können). Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass eine interessierte Person diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 444 f.; BGE 138 II 346 E. 6.”
“Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Gemäss Art. 3 lit. a DSG sind Personendaten (Daten) "alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen". Eine Person ist dann bestimmt, wenn sich aus den Angaben ergibt, dass sie sich auf diese Person und nur auf diese Person beziehen (z.B. bei einem Personalausweis). Bestimmbar ist die Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann (z.B. wenn aus Angaben über Liegenschaften die Eigentümerinnen und Eigentümer ausfindig gemacht werden können). Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass eine interessierte Person diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (Botschaft vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 444 f.; BGE 138 II 346 E. 6.”
Le droit d'accès sert principalement à assurer l'application de la protection de la personnalité et des droits fondamentaux consacrée à l'art. 1 LPD. Il permet à la personne concernée de contrôler les données la concernant qui sont traitées et ainsi de vérifier le respect des principes de la protection des données (p. ex. collecte licite, bonne foi, exactituÞ, proportionnalité). Les informations obtenues par l'exerciÎ du droit d'accès constituent la base permettant d'exercer d'autres recours, tels que la rectification, l'interdiction ou la suppression.
“Sodann ist, wiederum unter der Annahme, dass das DSG vorliegend über- haupt einschlägig respektive von einem Auskunftsersuchen nach DSG auszuge- hen ist, auf das Nachfolgende hinzuweisen: Das DSG dient dem Schutz der Per- sönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (vgl. Art. 1 DSG). In Übereinstimmung mit dieser Zwecksetzung gilt das Aus- kunftsrecht nach Art. 8 DSG primär als Institut zur Durchsetzung des Persönlich- - 16 - keitsschutzes. Das Auskunftsrecht ermöglicht es der betroffenen Person, die über sie bearbeiteten Daten zu kontrollieren mit dem Ziel, die Einhaltung der Grundsät- ze wie rechtmässige Beschaffung von Daten, Treu und Glauben bei der Bearbei- tung, Richtigkeit der Daten und Verhältnismässigkeit der Datenbearbeitung in der Rechtswirklichkeit zu überprüfen und deren Durchsetzung zu ermöglichen (G RA- MIGNA /MAURER-LAMBROU, a. a. O., N 1 zu Art. 8 DSG mit Hinweisen). Die durch die Auskunft verschaffte Kenntnis der betroffenen Person darüber, dass und welche Daten über sie bearbeitet werden, sind Voraussetzung für die Wahrnehmung ihrer weiteren Rechte und Ansprüche: des Anspruchs auf Berichtigung unrichtiger Per- sonendaten (Art. 5, Art. 15 und Art. 25 DSG), des Anspruchs auf Unterlassung widerrechtlicher Datenbearbeitung, auf Beseitigung der Folgen eines widerrechtli- chen Bearbeitens bzw.”
“2) que ces faits sont sans incidence sur l'issue du litige. Pour le surplus, même à admettre une violation de son droit d’être entendu, celle-ci peut être réparée devant la Cour de céans, qui dispose d’un plein pouvoir d’examen en fait en droit et devant laquelle l’appelante a pu s’exprimer, de sorte qu’elle est sans conséquence. Ce grief sera dès lors écarté. 4. L’appelante fait grief au Tribunal d’avoir rejeté la demande d’accès, en considérant que celle-ci avait été formulée à une autre fin que de faire valoir les droits que lui conférait la LPD, ce qui était constitutif d’un abus de droit. Elle soutient exercer son droit d’accès aux données qui la concernent elle et les membres décédés de sa famille afin de contrôler que leur traitement a été effectué en conformité avec la loi. 4.1 La loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1; ci-après LPD) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). En conformité de ce but, le droit d’accès selon l’art. 8 LPD sert en premier lieu à la protection de la personnalité. Il permet à la personne concernée de contrôler les données traitées figurant dans le fichier d’un tiers, afin de concrétiser dans la réalité le respect des principes du droit de la protection des données, comme la collecte des données par des procédés licites et conformes à la bonne foi, l’exactitude des données et leur traitement conforme au principe de la proportionnalité (ATF 138 III 425 consid. 5.3 in SJ 2013 I p. 81ss). 4.1.1 En vertu de l'art. 8 LPD, toute personne peut demander au maître d'un fichier si des données la concernant sont traitées (al. 1). Le maître du fichier doit lui communiquer: toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l'origine des données (al. 2 let. a); le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données (al.”
“Sa requête n’était pas abusive puisqu’elle visait à déterminer quelles données la concernant étaient en possession de l’intimée, respectivement avaient été traitées par celle-ci. Le Tribunal aurait dû l'amener à compléter ses allégations à ce sujet et à clarifier ses objectifs. Elle était en droit d'obtenir l’accès à des données concernant le Trust AM______ puisqu’elle en avait été la bénéficiaire. Quant à l’éventuelle possession des documents dont elle réclamait l’accès, celle-ci n’était pas pertinente pour statuer sur le caractère abusif de sa demande, de même que l’éventuel statut d’intermédiaire de l’intimée. Il incombait à sa partie adverse de prouver qu'elle lui avait remis toutes les informations. Elle avait apporté suffisamment d'éléments permettant de retenir que tel n'était pas le cas. Il résultait des pièces du dossier que de nombreux documents ne lui avaient pas été communiqués. 4.1 La loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1; ci-après : LPD) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). En conformité de ce but, le droit d’accès selon l’art. 8 LPD sert en premier lieu à la protection de la personnalité. Il permet à la personne concernée de contrôler les données traitées figurant dans le fichier d’un tiers, afin de concrétiser dans la réalité le respect des principes du droit de la protection des données, comme la collecte des données par des procédés licites et conformes à la bonne foi, l’exactitude des données et leur traitement conforme au principe de la proportionnalité (ATF 138 III 425 consid. 5.3 in SJ 2013 I p. 81ss). Le 1er septembre 2023, la loi fédérale sur la protection des données du 25 septembre 2020 est entrée en vigueur. A teneur de son article 70, la nouvelle loi ne s'applique pas aux recours pendants contre les décisions de première instance rendues avant son entrée en vigueur. Dans ces affaires, c'est l'ancien droit qui s'applique. C'est donc à la loi fédérale du 19 juin 1992 qu'il sera fait référence ci-dessous. 4.1.1 En vertu de l'art. 8 LPD, toute personne peut demander au maître d'un fichier si des données la concernant sont traitées (al.”
“3 Bien que le recourant ne s'en plaigne pas, le Tribunal relève également que le SEM n'a jamais pris position sur le grief pris d'une violation de la législation sur la protection des données. Or, si le recourant n'avait pas d'emblée précisé les bases légales sur lesquelles il fondait sa requête de consultation des pièces, il a, par la suite, invoqué dans son mémoire de recours une violation des art. 9 LPD et 27 PA. Il s'agit là également d'un vice de motivation, soit un vice de nature formelle (cf. Kneubühler/Pedretti, in : Auer/Müller/Schindler [édit.], VwVG Kommentar, 2e éd. 2019, art. 35 n. 21), qui peut également, vu les développements effectués plus haut et le fait que le Tribunal revoit librement la légalité formelle et matérielle de la décision, et surtout vu l'issue de la cause, être considéré comme guéri en l'espèce. 5. 5.1 La loi fédérale sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (cf. art. 1 LPD ; arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3). Elle concrétise le droit à l'autodétermination informationnelle, protégé par les art. 13 al. 2 Cst et 8 CEDH, dont découle notamment un droit à l'accès et à rectification des données personnelles (cf. arrêt du TAF A-5654/2017 du 30 août 2018 consid. 6.1 ; Maya Hertig Randall/Julien Marquis, in : Jacques Dubey/Vincent Martenet [édit.], Commentaire romand - Constitution fédérale, 2021, art. 13 n. 66). La LPD régit notamment le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux (cf. art. 2 al. 1 let. b LPD). Elle ne s'applique, en revanche, pas aux procédures pendantes civiles, pénales, d'entraide judiciaire internationale ainsi que de droit public et de droit administratif, à l'exception des procédures administratives de première instance (cf. art. 2 al. 2 let. c LPD). 5.1.1 Le droit d'accès d'une personne à ses propres données - clef de voûte de la protection des données - ainsi que la possibilité de s'informer sur l'origine desdites données, dans le cadre de l'activité administrative, est régi par les articles 8 à 10 LPD, et non par la loi fédérale sur le principe de la transparence dans l'administration (LTrans, RS 152.”
Le droit d'accès à l'égard de tiers sert également la finalité protectriÎ de l'art. 1 LPD : une personne concernée peut exiger la communication des données traitées par des tiers ; selon la jurisprudenÎ citée, cela inclut les données se rapportant à un trust, pour autant que la personne soit bénéficiaire du trust. Le fait que les documents demandés soient effectivement en la possession du tiers n'est pas nécessairement déterminant pour l'existenÎ du droit d'accès.
“Sa requête n’était pas abusive puisqu’elle visait à déterminer quelles données la concernant étaient en possession de l’intimée, respectivement avaient été traitées par celle-ci. Le Tribunal aurait dû l'amener à compléter ses allégations à ce sujet et à clarifier ses objectifs. Elle était en droit d'obtenir l’accès à des données concernant le Trust AM______ puisqu’elle en avait été la bénéficiaire. Quant à l’éventuelle possession des documents dont elle réclamait l’accès, celle-ci n’était pas pertinente pour statuer sur le caractère abusif de sa demande, de même que l’éventuel statut d’intermédiaire de l’intimée. Il incombait à sa partie adverse de prouver qu'elle lui avait remis toutes les informations. Elle avait apporté suffisamment d'éléments permettant de retenir que tel n'était pas le cas. Il résultait des pièces du dossier que de nombreux documents ne lui avaient pas été communiqués. 4.1 La loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1; ci-après : LPD) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données (art. 1 LPD). En conformité de ce but, le droit d’accès selon l’art. 8 LPD sert en premier lieu à la protection de la personnalité. Il permet à la personne concernée de contrôler les données traitées figurant dans le fichier d’un tiers, afin de concrétiser dans la réalité le respect des principes du droit de la protection des données, comme la collecte des données par des procédés licites et conformes à la bonne foi, l’exactitude des données et leur traitement conforme au principe de la proportionnalité (ATF 138 III 425 consid. 5.3 in SJ 2013 I p. 81ss). Le 1er septembre 2023, la loi fédérale sur la protection des données du 25 septembre 2020 est entrée en vigueur. A teneur de son article 70, la nouvelle loi ne s'applique pas aux recours pendants contre les décisions de première instance rendues avant son entrée en vigueur. Dans ces affaires, c'est l'ancien droit qui s'applique. C'est donc à la loi fédérale du 19 juin 1992 qu'il sera fait référence ci-dessous. 4.1.1 En vertu de l'art. 8 LPD, toute personne peut demander au maître d'un fichier si des données la concernant sont traitées (al.”
Les enregistrements vidéo réalisés dans les salons constituent un traitement de données soumis au droit de la protection des données ; les images permettant l'identification de personnes peuvent porter atteinte à la personnalité. Les responsables du salon doivent respecter les prescriptions du droit de la protection des données et s'acquitter en outre des obligations de surveillanÎ et de protection à l'égard des personnes y travaillant, telles que prévues par l'art. 12 LProst.
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“Elle vise également le but d’intérêt public légitime de protection des personnes exerçant la prostitution contre l’exploitation et l’usure (ATA/1373/2017 du 10 octobre 2017 et les arrêts cités). 6.3 Selon l'art. 12 LProst, la personne responsable d'un salon a notamment pour obligations d'y empêcher toute atteinte à l'ordre public, notamment à la tranquillité, à la santé, à la salubrité et à la sécurité publiques (let. c) ; de contrôler que les conditions d'exercice de la prostitution y sont conformes à la législation, en particulier qu'il n'est pas porté atteinte à la liberté d'action des personnes qui se prostituent, que celles-ci ne sont pas victimes de la traite d'êtres humains, de menaces, de violences, de pressions ou d'usure, ou que l'on ne profite pas de leur détresse ou de leur dépendance pour les déterminer à se livrer à un acte sexuel ou d'ordre sexuel (let. d). 6.3.1 L'utilisation de systèmes de surveillance (caméra, etc.) est assujettie à la loi fédérale sur la protection des données (LPD - RS 235.1).). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
Pour les procédures de droit pénal administratif qui ne sont plus pendantes, l'accès aux données de procédure doit être apprécié en premier lieu conformément à la LPD. La DPA ne prévoit pas de règle d'accès spécifique pour la périoÞ suivant la clôture des procédures. Cette qualification s'inscrit dans le cadre de l'objectif poursuivi à l'art. 1 LPD, à savoir la protection de la personnalité et des droits fondamentaux.
“041), les droits des personnes concernées, notamment leur droit à la consultation, à la rectification et à la suppression de données sont régis, pour les procédures pénales qui ne sont pas pendantes, par les dispositions de la LPD et par la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA, RS 313.0). A l'inverse, en cours d'enquête, la consultation des pièces du dossier est régie par les art. 26 à 28 PA par renvoi de l'art. 36 DPA. Au surplus, aucune disposition spécifique de la DPA ne règle la question de leur accès après la clôture de la procédure. 5.2.2 Dans ces circonstances, l'accès aux données d'une procédure pénale administrative qui n'est plus pendante est avant tout régi par la LPD. Une telle façon de procéder ne s'éloigne au demeurant pas des règles de procédure pénale qui soumettent le traitement des données après la clôture de la procédure aux dispositions fédérales et cantonales sur la protection des données (art. 99 al. 1 du code de procédure pénale du 5 octobre 2007 [CPP, RS 312.0] ; ég. cf. arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.3). 5.3 La LPD a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; cf. arrêt du TF 4A_88/2017 du 29 novembre 2017 consid. 5.2.3 ; arrêt du TAF A-6356/2016 du 19 avril 2018 consid. 3.1.1). Elle régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (art. 2 al. 1 let. a LPD) ou des organes fédéraux (art. 2 al. 1 let. b LPD). 5.3.1 Selon l'art. 3 LPD, constituent des données personnelles toutes les informations se rapportant à une personne identifiée ou identifiable (let. a), alors que les données sensibles portent sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l'appartenance à une race, des mesures d'aide sociale ou des poursuites ou sanctions pénales et administratives (let. c). Par traitement, il faut comprendre toute opération relative à des données personnelles - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let.”
Citation : LPD art. 1 ch. 4 Les enregistrements d'images et de vidéos permettant d'identifier des personnes sont des données personnelles ; leur collecte et leur traitement relèvent, selon la jurisprudenÎ et la doctrine, de la législation fédérale sur la protection des données (LPD) et doivent être considérés comme une atteinte à la personnalité.
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
“s LRDBHD, le prête-nom vise un comportement, prohibé par la loi, d'une personne physique titulaire du diplôme prévu par la loi, qui est autorisée formellement en tant qu'exploitant d'une entreprise, mais qui n'exerce pas effectivement et à titre personnel les tâches essentielles liées à la bonne marche de l'entreprise, qui sont de fait assurées par un tiers. Selon la jurisprudence de la chambre de céans, l'interdiction de servir de prête-nom vise à prévenir l’exploitation d’établissements par des personnes qui ne répondraient pas à des conditions de capacité et d’honorabilité bien déterminées, avec tout ce que cela comporte comme risque pour le public (ATA/685/2014 du 26 août 2014 consid. 4d). 4.4.2 L'utilisation de systèmes de surveillance (caméras, etc.) est assujettie à la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1). Cette loi vise ainsi à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; ACJC/1154/2018 du 28 août 2018 consid. 3.2.2). Selon son art. 2, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des personnes privées (al. 1 let. a). Les données visées par la LPD sont les données personnelles, soit toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD ; ATF 136 II 508 consid. 3.2). Le traitement consiste en toute opération relative à de telles données - quels que soient les moyens et procédés utilisés - notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (art. 3 let. e LPD). La prise de vue permettant d'identifier des personnes constitue une collecte et un traitement de données personnelles tombant sous le coup de la LPD (ACJC/1154/2018 précité consid. 3.2.2 ; Vanessa LÉVY, Le droit à l'image, Définition, Protection, Exploitation, Lausanne 2002, p. 202) Bien que les images captées ne soient pas destinées à être publiées, ni même conservées au-delà d'un certain délai, elles sont susceptibles de porter atteinte à la personnalité.”
La LPD vise à protéger la personnalité et s'applique en principe également aux procédures d'entraiÞ administrative. Selon l'art. 2 al. 2 let. c LPD, elle ne s'applique toutefois pas aux procédures d'entraiÞ internationale (judiciaire), des exceptions pouvant exister pour les procédures administratives de première instanÎ.
“4 ; arrêts du TAF A-6314/2017 du 17 avril 2019 consid. 3.1.2 ; A-6918/2017 du 26 septembre 2018 consid. 1.5.1 ; Charlotte Schoder, Praxiskommentar StAhiG, 2014, n°159 ad art. 14 LAAF). 5.3 Par ailleurs, le droit d'être entendu, tel que garanti par l'art. 29 al. 2 Cst., impose en particulier à l'autorité de motiver sa décision (cf. art. 35 al. 1 PA), c'est-à-dire de manière à ce que l'administré puisse se rendre compte de la portée de celle-ci et l'attaquer en connaissance de cause (ATF 134 I 83 consid. 4.1 et les références citées). La motivation doit permettre de suivre le raisonnement adopté, même si l'autorité n'est pas tenue d'exprimer l'importance qu'elle accorde à chacun des éléments qu'elle cite. L'autorité ne doit ainsi pas nécessairement se prononcer sur tous les moyens soulevés par les parties ; elle peut se limiter aux questions décisives (ATF 137 II 266 consid. 3.2 et les références citées). 5.4 La LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss ). Selon son art. 2 al. 1 let. b, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux, notamment l'AFC. 5.5 En principe, la LPD trouve application en matière d'assistance administrative (cf. ATF 148 II 349 consid. 4 et 5 ; 143 II 506 consid. 3.1 ; ATAF 2015/13 consid. 3.2.1 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). L'art. 2 al. 2 let. c LPD précise qu'elle ne s'applique pas aux procédures d'entraide judiciaire internationale, à l'exception des procédures administratives de première instance (ATAF 2015/13 consid. 3.2 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). Cette exclusion se justifie par le fait que la protection de la personnalité est alors réputée suffisamment garantie et réglée par les dispositions spéciales des procédures considérées (ATF 126 II 126 consid.”
“4 ; arrêts du TAF A-6314/2017 du 17 avril 2019 consid. 3.1.2 ; A-6918/2017 du 26 septembre 2018 consid. 1.5.1 ; Charlotte Schoder, Praxiskommentar StAhiG, 2014, n°159 ad art. 14 LAAF). 5.3 Par ailleurs, le droit d'être entendu, tel que garanti par l'art. 29 al. 2 Cst., impose en particulier à l'autorité de motiver sa décision (cf. art. 35 al. 1 PA), c'est-à-dire de manière à ce que l'administré puisse se rendre compte de la portée de celle-ci et l'attaquer en connaissance de cause (ATF 134 I 83 consid. 4.1 et les références citées). La motivation doit permettre de suivre le raisonnement adopté, même si l'autorité n'est pas tenue d'exprimer l'importance qu'elle accorde à chacun des éléments qu'elle cite. L'autorité ne doit ainsi pas nécessairement se prononcer sur tous les moyens soulevés par les parties ; elle peut se limiter aux questions décisives (ATF 137 II 266 consid. 3.2 et les références citées). 5.4 La LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss ). Selon son art. 2 al. 1 let. b, la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux, notamment l'AFC. 5.5 En principe, la LPD trouve application en matière d'assistance administrative (cf. ATF 148 II 349 consid. 4 et 5 ; 143 II 506 consid. 3.1 ; ATAF 2015/13 consid. 3.2.1 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). L'art. 2 al. 2 let. c LPD précise qu'elle ne s'applique pas aux procédures d'entraide judiciaire internationale, à l'exception des procédures administratives de première instance (ATAF 2015/13 consid. 3.2 ; arrêts du TAF A-6080/2016 du 23 février 2018 consid. 5.4.1 ss ; A-4669/2016 du 8 décembre 2017 consid. 2.9.1 ss). Cette exclusion se justifie par le fait que la protection de la personnalité est alors réputée suffisamment garantie et réglée par les dispositions spéciales des procédures considérées (ATF 126 II 126 consid.”
La LPD doit être prise en compte par les tribunaux ainsi que par les autorités de surveillanÎ et les instances de recours tant dans leur jurisprudenÎ que dans leur pratique; ces autorités contribuent ainsi à la sauvegarÞ des droits fondamentaux protégés par la loi. La jurisprudenÎ n’indique pas que l’application et le contrôle de la LPD seraient réservés à une seule instanÎ spécialisée.
“Cette obligation s'adresse non seulement à l'autorité fédérale de première instance, mais également aux instances de surveillance et de recours qui, dans certaines circonstances, ne doivent pas simplement annuler les décisions contraires à la Constitution fédérale, mais doivent participer à la protection des droits fondamentaux dans leur jurisprudence et leur pratique (cf. ATF 135 I 265 consid. 4.2). Quoi qu'en pensent les recourants, le Tribunal administratif fédéral n'a ainsi aucune vocation à être un Tribunal constitutionnel qui serait le seul compétent pour se prononcer sur les griefs tirés de l'art. 29 al. 2 Cst. Une telle institution, que l'on retrouve dans certains ordres juridiques (p. ex. : en France, le Conseil constitutionnel ; en Allemagne, das Bundesverfassungsgericht), est étrangère au droit suisse ; la « justice constitutionnelle » s'exerce conjointement par l'ensemble des autorités administratives et judiciaires de la Confédération et des cantons. La Cour des plaintes du Tribunal pénal fédéral ne conteste d'ailleurs pas devoir se saisir du moyen tiré de l'art. 29 al. 2 Cst. 4.4 Il n'en va - en réalité - pas autrement de la LPD. Cette loi - qui vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD ; arrêts du TAF A-8297/2015 du 25 août 2016 consid. 3.3.1 et A-6242/2010 du 11 juillet 2011 consid. 10.3) - régit notamment le traitement de données concernant des personnes physiques et morales effectué par des organes fédéraux (art. 2 al. 1 let. b LDP), soit par toutes les autorités ou services fédéraux ainsi que les personnes en tant qu'elles sont chargées d'une tâche de la Confédération (art. 3 let. h LPD). Dans ces circonstances, l'accomplissement de tâches étatiques est soumis, sous réserve des exceptions de l'art. 2 al. 2 LPD (cf. not. cf. ég. ATAF 2015/13 consid. 3.2 ; arrêt du TAF A-1648/2016 du 27 juin 2017 consid. 6.2), au respect des dispositions en matière de protection des données. Quoi qu'en pensent les recourants et les autorités consultées, il ne ressort aucunement de la loi sur la protection des données que le législateur ait voulu confier au seul Tribunal administratif fédéral la compétence de faire respecter et de contrôler l'application de cette loi. Bien au contraire, le Tribunal administratif fédéral n'est pas une autorité spécialisée en matière de protection des données et ne dispose pas d'une compétence universelle pour traiter des recours en la matière.”
Validé par Eluisa Helbig · Omnilex
RéférenÎ : LPD art. 1 n. 1 Le LPD en vigueur depuis le 1er septembre 2023 ne couvre que les données à caractère personnel de personnes physiques ; les personnes morales sont désormais exclues du champ d'application. Sous l'ancien LPD, une communication à l'étranger n'était autorisée que si l'État destinataire offrait un niveau de protection des données équivalent — une difficulté pour les données de personnes morales, puisque la plupart des ordres juridiques étrangers, y compris celui de l'Union européenne, ne prévoyaient pas une telle protection. Avì le nouveau LPD, cette exigenÎ disparaît pour la communication à l'étranger des données de personnes morales, puisqu'elles ne sont plus couvertes par le champ de protection. Elles restent toutefois protégées par d'autres lois fédérales ainsi que par l'art. 13 Cst.
“Auch unter dem neuen Datenschutzgesetz, das am 1. September 2023 in Kraft getreten ist (vgl. E. 2.6.1), ergäbe sich nichts anderes. Im Gegensatz zum aDSG gilt das DSG nur für die Bearbeitung von Personendaten natürlicher Personen und nicht auch juristischer Personen (vgl. Art. 1 Abs. 1 DSG). Damit wurde die Rechtslage den datenschutzrechtlichen Bestimmungen der Europäischen Union und des Europarates sowie den entsprechenden Regelungen der meisten ausländischen Gesetzgeber angepasst, die keinen solchen Schutz vorsehen. Diese Lösung habe auch - so die bundesrätliche Botschaft - den Vorteil, dass die Bekanntgabe von Daten juristischer Personen ins Ausland nicht mehr davon abhänge, ob im Empfängerland ein angemessener Schutz gewährleistet werde. Für juristische Personen bleibe jedoch ein umfassender Schutz unverändert bestehen, wie er namentlich durch andere Bundesgesetze und Art. 13 BV gewährleistet werde (vgl. Botschaft des Bundesrats vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz [nachfolgend: Botschaft Totalrevision DSG], BBl 2017 6941, 7011). Die Bearbeitung von Daten juristischer Personen durch die Bundesorgane wird in Art. 57h ff. des Regierungs- und Verwaltungsorganisationsgesetzes vom 21.”