Echange de notes entre la Suisse et l'Union européenne sur la reprise de la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale
Département fédéral de justice et police DFJP Office fédéral de la justice OFJ Domaine de direction Droit public Unité Projets et méthode législatifs
Berne, 20 avril 2009
Rapport explicatif relatif à l’approbation et à la mise en œuvre de l’échange de no- tes entre la Suisse et l’Union européenne sur la reprise de la décision-cadre 2008/977/JAI relative à la protection des don- nées à caractère personnel traitées dans le cadre de la coopé- ration policière et judiciaire en matière pénale (Développement de l’acquis Schengen)
1 Présentation du projet
11 La décision-cadre du 27 novembre 2008 relative à la protection des données
traitées dans le cadre de la coopération policière et judiciaire en matière pénale
111 Contexte
Le 26 octobre 2004, la Suisse et l’Union européenne ont signé un accord sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (ci-après accord d’association) 1. Cet accord est entré en vigueur le 1er mars 2008.
En vertu de l’art. 2, par. 3, de l’accord d’association, la Suisse s’est engagée en principe à accepter, à mettre en œuvre et à appliquer tout développement de l’acquis Schengen.
Dans le cadre du programme de la Haye adopté par le Conseil de l’Union européenne (ci- après le Conseil) le 4 novembre 2004, l’Union européenne a exprimé sa volonté de renforcer la liberté, la sécurité et la justice dans l’Union européenne (ci-après UE). Ce programme sou- ligne notamment la nécessité d’une approche innovante de l’échange transfrontière d’informations en matière répressive dans le strict respect de certaines conditions fondamen- tales dans le domaine de la protection des données. Dans le cadre de la mise en œuvre de ce programme, le Conseil a considéré que l’échange de données à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale devrait être étayé par des règles claires qui renforcent la confiance mutuelle entre les autorités compétentes et
Accord du 26 octobre 2004 entre la Confédération suisse, l’Union européenne et la Communauté européenne sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen, RS 0.360.268.1.
garantissent la protection des informations pertinentes en excluant toute discrimination concernant cette coopération entre les Etats Schengen tout en respectant pleinement les droits fondamentaux des personnes. Il a constaté que les instruments existants au niveau européen sont insuffisants et que la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données 2 (ci-après la direc- tive 95/46/CE) ne s’applique pas à la coopération policière et judiciaire en matière pénale 3. A la demande du Conseil, la Commission lui a transmis, le 4 octobre 2005, une proposition de décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
112 Déroulement des négociations
Les délibérations des Etats-membres de l’UE et des trois Etats associés (la Norvège, l’Islande et la Suisse dans le cadre de leur droit de participation) ont eu lieu au sein des groupes de travail du Conseil (comités mixtes) compétents en la matière (CRIMORG 4, CATS 5 et COREPER 6) au cours des années 2005 à 2007 sous la présidence de l’UE exer- cée successivement par la Finlande, l’Allemagne et le Portugal. Des représentants de la Confédération et des cantons ont participé aux travaux d’élaboration du projet de décision- cadre, dans le cadre de ces comités mixtes.
113 Résultat des négociations
Le 27 novembre 2008, le Conseil a adopté la décision-cadre relative à la protection des don- nées à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (ci-après la décision-cadre) 7. Cet acte constitue un développement de l’acquis Schengen au sens de l’accord d’association. Il a été notifié à la Suisse le 15 dé- cembre 2008. Le 14 janvier 2009, le Conseil fédéral a approuvé la reprise de la décision- cadre, sous réserve de l'accomplissement des exigences constitutionnelles, conformément à l'art. 7, par. 2, let. a, deuxième phrase de l'accord d'association.
114 Aperçu de la décision-cadre
La décision-cadre a pour but de régler la protection des données à caractère personnel trai- tées dans le cadre de la coopération policière et judiciaire en matière pénale instaurée par Schengen. Elle s’applique aux données traitées, en particulier, par les autorités de police, les autorités douanières et les autorités judiciaires à des fins de prévention et de détection des infractions pénales, d’enquêtes, de poursuites en la matière ou d’exécution de sanctions pénales.
Selon le considérant 39, la décision-cadre n’affectera pas les actes adoptés sur la base du titre VI du traité de l’Union européenne et qui comportent des dispositions spécifiques cou- vrant tous les aspects de protection des données, en particulier celles régissant le fonction- nement d’Europol, d’Eurojust et du système d’information Schengen (SIS). Elle ne s’appliquera pas non plus aux domaines de la coopération Schengen relevant du premier
JO no L 281 du 23.11.1995, p. 31. Voir considérants 4 et 5. Groupe multidisciplinaire « criminalité organisée », composé d’experts nationaux. Comité composé de hauts fonctionnaires nationaux. Comité des représentants permanents des Etats membres, à Bruxelles. JO L 350 du 30.12. 2008, p. 60.
pilier de l’UE (contrôle des frontières, immigration, asile, armes et stupéfiants) qui sont régis la directive 95/46/CE.
La décision-cadre rappelle les principes généraux qui figurent dans la Convention du 28 jan- vier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel 8, tels que les principes de licéité, de proportionnalité, de finalité et d’exactitude ainsi que les droits de la personne concernée. Elle introduit également certaines règles spécifiques. Elle définit en particulier les finalités pour lesquelles les données transmi- ses par un Etat lié par un des accords d’association à Schengen (ci-après Etat Schengen) peuvent être traitées. Elle fixe les conditions applicables lorsqu’une autorité d’un Etat Schen- gen envisage de transmettre à un Etat-tiers, à une instance internationale ou à des person- nes privées des données reçues d’un autre Etat Schengen. Elle prévoit que les Etats Schen- gen sont tenus de régler le devoir d’informer la personne concernée.
Le champ d’application de la décision-cadre a fait l’objet de longues négociations. Certains Etats Schengen, dont la Suisse, souhaitaient qu’elle ne s’applique qu’aux communications de données effectuées dans le cadre de la coopération Schengen relevant du troisième pilier de l’UE. D’autres Etats demandaient que la décision-cadre s’applique également aux traite- ments de données effectués sur le plan national. Ces négociations ont abouti au compromis que la décision-cadre ne s’appliquera qu’aux communications de données effectuées dans le cadre de la coopération instaurée par Schengen (art. 1 par. 2). Les Etats- Schengen restent toutefois libres de l’appliquer également à leurs traitements nationaux. Par ailleurs, le niveau de protection garanti au niveau national doit en principe correspondre à celui garanti par la décision-cadre 9.
Le champ d’application de la décision-cadre fera l’objet d’une évaluation. En vertu de l’art. 27 de la décision-cadre, les Etats Schengen sont tenus de faire rapport à la Commission sur les mesures nationales prises pour assurer le respect de la décision-cadre, afin qu’elle puisse examiner l’incidence de ces mesures sur le champ d’application de la décision-cadre. En fonction des résultats, une extension du champ d’application de la décision-cadre aux traite- ments nationaux pourrait être proposée.
115 Appréciation
Conformément à l’art. 1, par. 2, la décision-cadre aura une portée limitée puisqu’elle ne s’appliquera qu’aux communications de données effectuées dans le cadre de la coopération policière et judiciaire en matière pénale instaurée par Schengen. De plus, elle n’impliquera pas des modifications fondamentales de notre législation en matière de protection des don- nées qui est conforme, dans son ensemble, aux exigences de l’acquis de Schengen.
12 Prise en compte des recommandations de l’UE
En s’associant à Schengen et à Dublin, la Suisse s’est engagée à ce que les traitements de données personnelles effectués dans le cadre de la coopération instaurée par ces accords soient conformes à la réglementation communautaire applicable et en particulier à la directi- ve 95/46/CE. Cette norme, applicable aux domaines de la coopération Schengen relevant du premier pilier de l’UE a été transposée dans les législations suivantes : la loi du 16 décembre
8 RS 0.235.1 Voir considérant 8.
2005 sur les étrangers 10, la loi du 26 juin 1998 sur l’asile 11, la loi du 20 juin 1997 sur les ar- mes 12 et la loi du 3 octobre 1951 sur les stupéfiants 13.
En vue de la mise en application de l’acquis de Schengen, la Suisse a fait l’objet d’une pro- cédure d’évaluation de la part de l’UE, durant le premier semestre 2008.
Le 5 juin 2008, le Conseil a adopté le rapport du comité d’évaluation concernant la protection des données en Suisse. Selon les conclusions de ce rapport, la législation suisse en matière de protection des données est conforme aux exigences de l’acquis de Schengen. Toutefois, le Conseil recommande à la Suisse de renforcer l’indépendance du Préposé fédéral à la pro- tection des données et à la transparence (préposé) en tant qu’autorité de surveillance en rendant plus explicites les dispositions relatives à sa nomination et à sa révocation, en déve- loppant son autonomie dans le domaine budgétaire et du personnel et en garantissant qu’aucune autorité ne puisse déterminer comment le préposé doit agir ou décider dans un cas d’espèce lors de l’exercice de ses pouvoirs et de ses compétences. La Suisse a accepté les recommandations qui lui ont été adressées et s’est engagée à les réaliser.
Pour donner suite à ces recommandations, le Conseil fédéral a chargé, le 5 décembre 2008, « le DFJP, en collaboration avec la Chancellerie fédérale et le DFF, d’examiner d’autres me- sures institutionnelles et administratives nécessaires au renforcement de l’indépendance du PFPDT et de soumettre au Conseil fédéral des propositions dans le courant 2009 ». Le pré- sent projet donne suite à ce mandat, dans la mesure où l’art. 25 de la décision-cadre est analogue à l’art. 28 de la directive 95/46/CE comme on le verra ci-dessous (voir ch. 2). Le considérant 34 de la décision-cadre prévoit en effet que les autorités de contrôle déjà mises en place dans les Etats Schengen en vertu de la directive 95/46/CE peuvent aussi prendre en charge les tâches qui doivent être accomplies par les autorités de contrôle nationales mises en place conformément à la décision-cadre. Dans la mesure où la Suisse confère les tâches prévues à l’art. 25 de la décision-cadre à la même autorité de contrôle, les recom- mandations du Conseil valent aussi pour la mise en œuvre de cette disposition.
2 Commentaire des principales dispositions de la décision-cadre
L’art. 3 de la décision-cadre définit les principes de licéité, de proportionnalité et de finalité. Le par. 1, 1ère phrase prévoit que les données peuvent être collectées par les autorités com- pétentes uniquement pour des finalités déterminées, explicites ou licites dans le cadre de leurs tâches et traitées uniquement pour les finalités pour lesquelles elles ont été collectées. Cette disposition pose une condition préalable à tout échange de données afin de garantir aux Etats Schengen le respect de standards minimaux de protection des données qui seront communiquées. En vertu de l’art. 3, par. 2 de la décision-cadre, le traitement ultérieur des données pour une autre finalité est permis si ce traitement n’est pas incompatible avec la finalité pour laquelle les données ont été collectées, si l’autorité compétente est autorisée à traiter ces données pour d’autres finalités et si le principe de proportionnalité est respecté. Le traitement ultérieur à des fins historiques, statistiques ou scientifiques ne devrait pas être considéré comme incompatible avec l’objectif initial du traitement 14.
10 RS 142.20 11 RS 142.31 12 RS 514.54 13 RS 812.121 Voir considérant 6.
Les art. 4 et 5 de la décision-cadre règlent la rectification et l’effacement des données et prescrivent que des délais doivent être fixés. Ils prévoient également de verrouiller les don- nées lorsqu’il y a de bonnes raisons de croire que leur effacement pourrait porter atteinte aux intérêts légitimes de la personne concernée. Par « verrouillage » on entend le marquage de données enregistrées en vue de limiter leur traitement futur (art. 2 de la décision-cadre). La rectification et l’effacement de données figurant dans une décision de justice ou un dossier judiciaire lié à l’adoption d’une décision de justice sont régis par le droit national 15.
L’autorité compétente est tenue de vérifier l’exactitude et l’actualité des données avant de les transmettre (art. 8 de la décision-cadre). Si des données sont transmises d’office, l’Etat des- tinataire doit vérifier si elles sont nécessaires à la finalité pour laquelle elles ont été mises à disposition. Si des données inexactes ont été transmises, le destinataire en est informé im- médiatement et les données doivent être rectifiées ou effacées.
L’autorité qui transmet les données peut, au moment de la transmission des données, indi- quer à l’autorité destinataire les délais de conservation applicables selon son droit national (art. 9 de la décision-cadre). Le cas échéant, l’autorité destinataire est tenue d’effacer ou de verrouiller les données ou de vérifier si elles sont encore nécessaires lorsque ces délais sont écoulés ; elle est déliée de cette obligation si, à l’expiration de ces délais, les données sont nécessaires pour une enquête en cours, la poursuite d’infractions pénales ou l’exécution de sanctions pénales. A défaut d’indication de la part de l’autorité qui transmet les données, les délais de conservation prévus par le droit national de l’autorité destinataire s’appliquent.
Toute transmission de données doit faire l’objet d’une journalisation et d’une documentation à des fins de vérification de la conformité du traitement des données (art. 10 de la décision- cadre). L’autorité de contrôle compétente peut demander de consulter les journaux et la do- cumentation élaborés à des fins de contrôle de la protection des données.
L’art. 11 de la décision-cadre prévoit que les données transmises par un Etat Schengen peuvent être traitées pour d’autres finalités que celles pour lesquelles elles ont été transmi- ses uniquement dans les cas suivants : pour prévenir ou poursuivre une infraction pénale, pour exécuter une sanction pénale, pour d’autres procédures directement liées à la poursuite d’une infraction ou à l’exécution d’une sanction pénale, pour prévenir un danger immédiat et sérieux pour la sécurité publique ainsi que pour toute autre finalité avec l’accord préalable de l’Etat Schengen qui transmet les données ou avec le consentement de la personne concer- née.
Lorsque la législation de l’autorité qui transmet des données prévoit des restrictions particu- lières applicables aux échanges de données entre autorités nationales, l’autorité compétente informe l’autorité destinataire de ces restrictions (art. 12 par. 1 de la décision-cadre). Toute- fois, l’Etat Schengen ne doit pas appliquer d’autres restrictions que celles applicables aux transmissions nationales de données similaires. L’art. 12 de la décision-cadre instaure donc une égalité de traitement entre les autorités d’un Etat Schengen et les autorités nationales : les restrictions prévues par le droit national s’appliqueront de manière non discriminatoire aux autorités nationales et aux autorités d’un Etat Schengen. L’adoption de nouvelles restric- tions légales reste possible, pour autant que le principe d’égalité de traitement soit respecté.
Voir considérant 15.
En vertu de l’art.13 de la décision-cadre, les Etats Schengen font en sorte que les données reçues d’un Etat Schengen ne puissent être communiquées à un Etat-tiers ou à une instance internationale que si certaines conditions cumulatives sont remplies. Ces exigences sont les suivantes : la communication doit être nécessaire à des fins de poursuite pénale ou d’exécution d’une sanction pénale ; l’autorité destinataire est compétente en la matière ; l’Etat Schengen auprès duquel les données ont été collectées a donné son accord au trans- fert dans le respect de sa législation nationale, les modalités de cet accord étant définies par la législation de l’Etat Schengen qui transmet les données 16 ; enfin l’Etat-tiers ou l’instance internationale destinataire assure un niveau de protection adéquat pour le traitement de données envisagé 17. Le par. 2 prévoit qu’un transfert sans accord préalable de l’Etat concer- né n’est autorisé que si le transfert de données est essentiel pour prévenir un danger immé- diat et sérieux pour la sécurité publique d’un Etat Schengen ou d’un Etat-tiers ou pour les intérêts essentiels d’un Etat Schengen et que l’accord ne peut être obtenu en temps utile 18. En vertu du par. 3, des données peuvent être transférées à un Etat-tiers ou à une instance internationale en dépit de l’absence d’un niveau de protection adéquat des données si la législation nationale de l’Etat Schengen qui transfère les données le prévoit pour des intérêts spécifiques de la personne concernée ou pour d’autres intérêts légitimes prépondérants ou si l’Etat-tiers ou l’instance internationale prévoit des garanties qui sont jugées adéquates par l’Etat Schengen concerné conformément à sa législation nationale. Le par. 4 fournit certains critères pour déterminer si le niveau de protection pour le traitement des données envisagé peut être considéré comme adéquat dans l’Etat-tiers concerné.
En vertu de l’art. 14 de la décision-cadre, les Etats Schengen font en sorte que les données reçues d’un Etat Schengen ne puissent être communiquées à un privé que si certaines conditions cumulatives sont remplies 19. Ces exigences prévoient que l’autorité auprès de laquelle les données ont été collectées doit consentir au transfert dans le respect de sa légi- slation nationale, qu’aucun intérêt spécifique légitime de la personne concernée ne s’y oppo- se et qu’en l’espèce la transmission est indispensable à l’accomplissement d’une tâche léga- le, d’une personne privée, à la poursuite d’une infraction, à l’exécution d’une sanction pénale ou à la prévention d’un danger immédiat ou d’une atteinte grave à des intérêts privés.
En vertu de l’art. 16, par. 1 de la décision-cadre, les Etats Schengen veillent à ce que la per- sonne concernée soit informée par l’autorité compétente de la collecte ou du traitement des données la concernant, conformément à la législation nationale 20. L’art.16, par. 2 DC prévoit que lorsque des données sont transmises entre des Etats Schengen, chaque Etat Schengen peut demander, conformément à sa législation nationale, que l’Etat destinataire n’informe pas la personne concernée, sans le consentement préalable de l’Etat transmetteur.
Les art. 17, 18 et 20 règlent les droits de la personne concernée. Ils prévoient notamment que la personne concernée a des droit d’accès, de rectification, d’effacement et de verrouil- lage et qu’elle peut, le cas échéant, les faire valoir en justice.
Toute personne a le droit d’obtenir réparation pour les dommages subis suite à un traitement illicite de ses données (art. 19 de la décision-cadre). L’art. 16 de l’Accord du 24 septembre
Voir considérant 24. Voir considérants 22 et 23. Voir considérant 25. Voir considérants 17 et 18. Voir considérant 27.
2004 entre la Confédération suisse et l’Office européen de police 21 et l’Accord de coopéra- tion entre la Suisse et l'unité de coopération judiciaire de l'Union européenne Eurojust signé le 27 novembre 2008 prévoient des dispositions similaires.
En vertu de l’art. 23 de la décision-cadre, les Etats Schengen sont tenus de garantir la consultation préalable de l’autorité de contrôle si des données sensibles sont traitées ou si le type de traitement envisagé comporte des risques spécifiques pour les droits de la personne concernée 22.
L’art. 24 prévoit que les Etats Schengen doivent prendre des mesures pour assurer l’application de la décision-cadre et prévoir des sanctions en cas de violation 23.
En vertu de l’art. 25 de la décision-cadre, chaque Etat Schengen prévoit une autorité de contrôle nationale chargée de conseiller et de surveiller l’application des dispositions adop- tées en application de la décision-cadre. Cette autorité exerce en toute indépendance les missions dont elle est investie. Elle dispose notamment de pouvoirs d’investigation, de pou- voirs d’intervention et du pouvoir d’ester en justice. Selon le considérant 35, les autorités de contrôles devraient être dotées des moyens nécessaires à l’exécution de leurs tâches. Tou- tefois, leurs pouvoirs ne devraient interférer ni avec les règles spécifiques fixées pour la pro- cédure pénale ni avec l’indépendance du pouvoir judiciaire. Cette disposition est analogue à l’art. 28 de la directive 95/46/CE.
La décision-cadre ne préjuge pas des obligations et des engagements des Etats Schengen ou de l’Union qui découlent d’accords avec des Etats-tiers en vigueur au moment de l’adoption de la décision-cadre (art. 26 de la décision-cadre). Dans le cadre de l’application de ces accords, le transfert à un Etat-tiers de données collectées auprès d’un Etat Schengen est soumis aux conditions de l’art. 13, par. 1, let. c, ou par. 2 selon le cas 24.
L’art. 28 de la décision-cadre régit la relation entre cette norme et les actes de l’Union qui ont été adoptés antérieurement et qui régissent l’échange de données entre Etats-membres ou l’accès des autorités désignées des Etats-membres aux systèmes d’information établis en vertu du traité instituant la Communauté européenne. Il prévoit que les dispositions spécifi- ques prévues dans ces actes et concernant l’utilisation de ces données par un Etat membre destinataire prévalent sur les dispositions de la décision-cadre 25. La déclaration commune de la Suisse et de l’Union européenne sur l’art. 23, par. 7, de la Convention du 29 mai 2000 relative à l’entraide judiciaire en matière pénale entre les Etats-membres de l’Union euro- péenne 26 constitue un tel acte de l’Union qui a été adopté avant la décision-cadre ; elle pré- vaut donc sur les dispositions de la décision-cadre.
21 RS 0.360.268.2 Voir considérant 32. Voir considérant 30. Voir considérant 38. Voir considérant 40. 26 RS 0.360.268.1
3 Conséquences
31 Conséquences sur les finances et sur l'état du personnel de la Confédération
La décision-cadre ne prévoit pas de tâches nouvelles pour l’autorité de contrôle nationale. Pour le préposé qui exerce la fonction d’autorité de contrôle, la décision-cadre n’a donc pas de conséquences financières pour lui.
Par décision du 5 décembre 2008, le Conseil fédéral a pris acte du fait que la réalisation des recommandations de l’UE concernant les exigences en matière de protection des données en relation avec l’application de l’accord d’association à Schengen et les tâches en relation avec l’application de l’accord d’association à Dublin nécessitent une augmentation, pour une durée illimitée, du personnel de la Chancellerie fédérale (préposé) de trois postes à partir du 1er janvier 2010. Le Conseil fédéral prendra sa décision définitive concernant l’attribution de postes en se fondant sur l’évaluation globale des ressources dans le domaine du personnel 2009.
32 Conséquences sur l’économie
Aucune conséquence directe sur l’économie n’est à prévoir, puisque la décision-cadre ne s’appliquera pas au secteur privé. En revanche, cette norme contribuera à renforcer l’efficacité de la coopération policière et judiciaire en matière pénale notamment dans le do- maine de la lutte contre la criminalité économique, ce dont l’économie suisse bénéficiera indirectement.
33 Conséquences pour les cantons
L’association de la Suisse à Schengen lie les cantons. Les dispositions de la décision-cadre devront être transposées, si besoin est, conformément à la répartition constitutionnelle des compétences prévue dans le droit interne. La Confédération et les cantons ont des compé- tences parallèles dans le domaine de la protection des données. Ils devront donc examiner si la décision-cadre doit être transposée dans leur législation.
4 Programme de la législature
Le projet a été annoncé dans le message du 23 janvier 2008 sur le programme de législature 2007 à 2011 27 et dans l’arrêté fédéral du 18 septembre 2008 sur le programme de législature
2007 à 2011 28.
5 Transposition de la décision-cadre
51 Dispositions de la décision-cadre à transposer
Les décisions-cadres ont en général un caractère non directement applicable et doivent, le cas échéant, être transposées en droit interne. Elles peuvent toutefois contenir des disposi- tions directement applicables. Selon la jurisprudence, une norme contenue dans un traité international en vigueur pour la Suisse ne peut être invoquée directement par les particuliers que dans la mesure où, considérée dans son contexte et à la lumière tant de l’objet que du but du traité, elle est inconditionnelle et suffisamment précise pour produire un effet direct et
27 FF 2008 680 et 710.
28 FF 2008 7748.
s’appliquer comme telle à un cas d’espèce et constituer ainsi le fondement d’une décision concrète 29. Au vu de cette définition, le Conseil fédéral considère que :
− L’art. 3 de la décision-cadre est une disposition d’application directe qui fixe les conditions préalables à tout échange de données, notamment en ce qui concerne le principe de finalité. Selon le considérant 6, la décision-cadre laisse aux Etats Schen- gen le soin de déterminer plus précisément au niveau national quelles autres fins doivent être considérées comme incompatibles avec l’objectif pour lequel les don- nées sont collectées à l’origine. L’art. 4, al. 3, de la loi fédérale du 19 juin 1992 sur la protection des données(LPD) 30 prescrit que les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances. De plus, la finalité du traitement doit être reconnais- sable pour la personne concernée (art. 4, al. 4, LPD). En vertu de ce principe, tout traitement ultérieur doit donc correspondre à la finalité initiale de la collecte des don- nées ou être au moins compatible avec la finalité indiquée lors de leur collecte, qui ressort des circonstances ou qui est prévu par une loi. Pour la doctrine 31, le critère déterminant est de savoir si la collecte des données et tout traitement ultérieur res- tent reconnaissables pour la personne concernée.
− L’art. 4 de la décision-cadre est une disposition d’application directe qui règle la recti- fication, l’effacement et le verrouillage des données. Le par. 3 prévoit que les don- nées ne doivent pas être effacées mais uniquement verrouillées, c’est-à-dire mar- quées dans le but de limiter leur traitement lorsqu’il y a de bonnes raisons de croire que leur effacement pourrait porter atteinte aux intérêts légitimes de la personne concernée 32. Le droit suisse ne connaît pas l’institution du « verrouillage » lorsque l’effacement de données pourrait porter atteinte aux intérêts de la personne concer- née. En effet, l’art. 21, al. 2, LPD prévoit uniquement que les organes fédéraux dé- truisent les données personnelles que les Archives fédérales ont désignées comme n’ayant pas de valeur archivistique, à moins que celles-ci ne soient rendues anony- mes ou ne doivent être conservées à titre de preuve ou par mesure de sûreté. Pour éviter des contradictions entre l’art. 4 de la décision-cadre et notre législation, l’art. 21, al. 2, LPD devra être complété.
− L’art. 5 de la décision-cadre n’est pas directement applicable. En droit suisse, les dé- lais d’effacement et de vérification sont fixés dans les législations applicables au do- maine concerné. Dans le domaine de l’entraide judiciaire, le projet d’ordonnance rela- tif au système de gestion de personnes, de dossiers et d’affaires (PAGIRUS) de l’Office fédéral de la justice prévoit des délais de conservation concernant les don- nées enregistrées dans le système de gestion de personnes, de dossiers et d’affaires exploité par l’Office fédéral de la justice dans le cadre des formes de collaboration prévues par la loi fédérale du 20 mars 1981 sur l’entraide internationale en matière pénale (art. 11a EIMP) 33.
Voir la jurisprudence citée par Luzius Mader et Ridha Fraoua, Les accords sectoriels et la démo- cratie suisse in Les Accords bilatéraux Suisse – UE, volume 8, p. 163. 30 RS 235.1 Datenschutzgesetz, Urs Maurer-Lambrou/Nedim Peter Vogt, 2006, p. 274 ch. 36. En ce qui concerne la notion de « verrouillage », voir l’art. 2 de la décision-cadre et son commen- taire. 33 RS 351.1
− L’art. 7 de la décision-cadre est d’application directe. Toutefois, cette disposition n’a pas d’incidence sur notre législation puisque dans le domaine de la coopération poli- cière et judicaire instaurée par Schengen les autorités suisses ne prennent pas de décisions individuelles fondées uniquement sur un traitement automatisé.
− L’art. 9 de la décision-cadre est une norme facultative. Nous renonçons à transposer cette disposition. Nous sommes de l’avis que les délais de conservation applicables aux données qu’une autorité suisse pourrait être amenée à transmettre à l’autorité d’un Etat Schengen, doivent être régis par la législation de l’Etat dans lequel se dé- roule la poursuite de l’infraction motivant la demande d’entraide. La disposition pré- vue à l’art. 9, par. 2 de la décision-cadre, qui s’applique à titre subsidiaire, est suffi- sante et constitue une solution logique pour l’entraide judiciaire. En effet, dans ce domaine, l’Etat requis n’a pas pour pratique de fixer des délais de conservation à l’Etat requérant. De plus, il serait très difficile pour l’Etat requis de vérifier que l’Etat requérant respecte le délai fixé. Si la fixation d’un délai de conservation devait toute- fois s’avérer nécessaire dans un cas particulier, l’Etat requis pourrait le faire en sou- mettant l’octroi de l’entraide à des conditions. La loi sur l’entraide judiciaire prévoit en effet que l’octroi de l’entraide peut être soumis à des conditions que l’Etat requérant est tenu de respecter (art. 80p EIMP).
− L’art. 10 de la décision-cadre est d’application directe. L’échange d’informations dans le cadre de la coopération policière instaurée par Schengen sera régi par le projet de loi fédérale sur l’échange d’informations Schengen 34 qui prévoit que les réponses aux demandes d’informations sont rédigées au moyen d’un formulaire. Dans le cadre de l’entraide judiciaire, toute transmission d’informations doit faire l’objet d’une décision qui est communiquée à l’Office fédéral de la justice (art. 5 de l’ordonnance du 24 fé- vrier 1982 sur l’entraide internationale en matière pénale 35). Une transmission spon- tanée d’informations doit figurer dans un procès-verbal (art. 67a, al 6, EIMP). Lors- qu’une demande d’entraide fait l’objet d’une exécution simplifiée conformément à l’art. 80c, al. 2, EIMP, le principe de l’art. 10 de la décision-cadre est garanti par le fait que la personne concernée doit donner son consentement.
− Les art. 11 et 12 de la décision-cadre sont directement applicables et doivent être in- terprétés en relation avec l'art. 28 de la décision-cadre qui régit la relation de la déci- sion-cadre avec les actes de l’UE adoptés antérieurement. Cette interprétation pré- serve la déclaration commune de la Suisse et de l’Union européenne sur l’art. 23, par. 7, de la Convention du 29 mai 2000 relative à l’entraide judiciaire en matière pé- nale entre les Etats membres de l’Union européenne 36. Notre législation est compati- ble avec ces dispositions. Une adaptation n’est donc pas nécessaire.
− Les art. 13 et 14 de la décision-cadre ne sont pas directement applicables. Au niveau fédéral, l’art. 6 LPD régit la communication transfrontière de données, sans toutefois faire de distinction en ce qui concerne le destinataire, notamment s’il s’agit d’un Etat Schengen, d’un Etat-tiers, d’une instance internationale ou d’une personne privée. Cette disposition ne suffit donc pas à remplir les exigences des art. 13 et 14 de la dé-
34 FF 2008 8123 35 RS 351.11 Accord du 26 octobre 2004 entre la Confédération suisse, l’Union européenne et la Communauté européenne sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (RS 0.360.268.1).
cision-cadre. Une transposition est dès lors nécessaire. En alllemand, nous avons employé pour la notion de « nicht-öffentliche Stelle » la notion de « private Person » qui est connue du droit suisse.
− L’art. 16, par. 1, de la décision-cadre n’est pas directement applicable. Au niveau fé- déral, l’art. 7a LPD prévoit un devoir d’informer la personne concernée uniquement lorsque des données sensibles ou des profils de la personnalité la concernant sont collectées. Dans les domaines de coopération instaurée par les Accords de Schen- gen et de Dublin relevant du premier pilier de l’UE, la loi du 26 juin 1998 sur l’asile 37, la loi du 20 juin 1997 sur les armes 38, la loi du 3 octobre 1951 sur les stupéfiants 39 et la loi du 16 décembre 2005 sur les étrangers 40 prévoient un devoir d’informer la per- sonne concernée de toute collecte de données la concernant. Vu que la décision- cadre vise les domaines relevant du troisième pilier de l’UE, à savoir la coopération policière et judiciaire en matière pénale, la réglementation fédérale ne remplit que partiellement les exigences de l’art. 16 par. 1 de la décision-cadre. Une transposition est dès lors nécessaire.
− L’art. 16, par. 2, de la décision-cadre n’est pas directement applicable car il limite le champ d’application de l’art. 16 par. 1 qui n’a pas non plus d’effet direct. L’exception au devoir d’information n’est pas prévue par la législation fédérale. Cette disposition doit donc être transposée.
− Les droits d’accès et de rectification de la personne concernée ainsi que les voies de recours sont garantis en droit suisse conformément aux exigences des art. 17, 18 et 20 de la décision-cadre. S’il est vrai que le droit fédéral ne reconnaît pas à la person- ne concernée le droit d’exiger de l’autorité compétente le verrouillage de ses données au sens de l’art. 18 de la décision-cadre, nous considérons que l’art. 25 LPD relatif aux prétentions de la personne concernée en cas de traitement illicite de la part d’un organe fédéral permet de protéger les intérêts de la personne concernée de manière équivalente. En effet, en vertu de l’al. 1 de cette disposition, quiconque a un intérêt légitime peut exiger de l’organe fédéral responsable qu’il s’abstienne de procéder à un traitement illicite, qu’il supprime les effets d’un traitement illicite ou qu’il constate le caractère illicite.
− L’art. 19 de la décision-cadre est directement applicable. La loi fédérale du 14 mars 1958 sur la responsabilité de la Confédération, des membres de ses autorités et de ses fonctionnaires 41 est conforme à cette disposition.
− L’art. 23 de la décision-cadre n’est pas directement applicable; une transposition n’est toutefois pas nécessaire. En effet, les exigences de cette norme sont réalisées à l’art. 31, al. 1, let. b, LPD qui prévoit que le préposé doit notamment se prononcer sur les projets d’actes législatifs fédéraux et mesures fédérales qui touchent de ma- nière importante à la protection des données.
37 RS 142.31 38 RS 514.54 39 RS 812.121 40 RS 142.20 41 RS 170.32
− L’art. 24 de la décision-cadre n’est pas directement applicable. Cette disposition est analogue à l’art. 24 de la directive 95/46/CE qui n’a pas été transposé dans les lois sectorielles applicables aux domaines de coopération Schengen relevant du premier pilier de l’UE. Nous proposons de suivre la même option. De plus, la LPD contient des dispositions pénales (art. 34 et 35 LPD) et la commission d’infractions prévues par la LPD peut également constituer une violation du secret de fonction prévue par le Code pénal (art. 320 CP).
− L’art. 25 de la décision-cadre n’est pas directement applicable. Dans notre pays, le préposé est l’autorité de contrôle nationale compétente pour le domaine de la coopé- ration policière en matière pénale ainsi que pour les autres domaines soumis au champ d’application de la LPD. Il dispose de pouvoirs d’investigation et d’intervention ainsi que du pouvoir d’ester en justice au sens de cette disposition. L’art. 25 de la dé- cision-cadre est donc déjà en grande partie transposée en droit suisse. Toutefois, dans la mesure où cette disposition prévoit des exigences analogues à celles de l’art. 28 de la directive 95/46/CE, il y a lieu de donner suite aux recommandations formu- lées par l’UE concernant le renforcement de l’indépendance du préposé dans le ca- dre de l’évaluation de la Suisse. En revanche, les pouvoirs de surveillance du prépo- sé ne doivent pas être étendus aux traitements de données personnelles effectués dans le cadre des procédures pendantes pénales et d’entraide judiciaire (art. 2, al. 2, let. c, LPD) En effet, selon la décision-cadre, les pouvoirs de l’autorité de contrôle ne doivent interférer ni avec les règles spécifiques fixées pour la procédure pénale, ni avec l’indépendance judiciaire 42. Dans le domaine de l’entraide judiciaire en matière pénale, sont considérées comme des autorités judiciaires les tribunaux, le Ministère public de la Confédération, l’Office fédéral de la justice et les autorités habilitées par le droit cantonal ou fédéral à instruire des affaires pénales, à décerner des mandats de répression et à prendre des décisions dans une procédure liée à une cause péna- le 43.
52 Etendue de la transposition
Au vu du champ d’application de la décision-cadre (art. 1, par. 2), une transposition des art. 4 par. 3, 13, 14 et 16 limitée aux communications de données effectuées dans le cadre de la coopération instaurée par Schengen serait en principe suffisante. Toutefois, une transposi- tion étendue à l’ensemble des traitements effectués par les organes fédéraux peut se justi- fier, voire s’imposer dans le but d’éviter des niveaux de protection différents des données dans des cas semblables ou pour simplifier, par exemple, des procédures administratives. Il convient dès lors de déterminer si les dispositions à transposer correspondent à des princi- pes généraux de protection des données qui pourraient s’appliquer à l’ensemble des traite- ments effectués par les organes fédéraux ou s’il s’agit de normes spécifiques de protection des données qui ne s’appliqueront qu’aux données échangées dans le cadre de la coopéra- tion instaurée par Schengen.
L’art. 4, par. 3, de la décision-cadre constitue un principe général de protection des données qui n’est pas spécifique à la coopération instaurée par Schengen. Nous proposons de trans- poser cette norme à l’ensemble des traitements effectués par les organes fédéraux.
Voir considérant 35. Voir déclaration du Conseil fédéral concernant l’art. 1 de la Convention européenne d’entraide judiciaire en matière pénale du 20 avril 1959 (RS 0.351.1).
L’art. 13 de la décision-cadre constitue une norme spécifique à la coopération instaurée par Schengen, puisqu’elle distingue les Etats-tiers et les instances internationales des Etats liés à Schengen. Elle doit donc faire l’objet d’une transposition limitée aux communications de données effectuées dans le cadre de la coopération instaurée par Schengen.
L’art. 14 de la décision-cadre constitue également une norme spécifique à Schengen, puis- qu’elle ne vise que les données reçues d’un Etat Schengen et qui doivent être transmises à une personne privée. Ce principe doit donc faire l’objet d’une transposition limitée aux com- munications de données effectuées dans le cadre de la coopération instaurée par Schengen.
Le devoir d’information prévu à l’art. 16 par. 1 de la décision-cadre constitue un principe gé- néral de protection des données qui n’est pas spécifique à la coopération instaurée par Schengen. Une transposition de cette norme à l’ensemble des traitements effectués par les organes fédéraux indépendamment du domaine concerné permet d’éviter des lacunes par rapport au principe d’information. En effet, il n’est pas toujours possible de déterminer lors d’une collecte de données si les données seront ensuite transmises à l’étranger dans le ca- dre de la coopération policière ou judiciaire instaurée par Schengen. En outre, pour la sécuri- té du droit, la portée du devoir d’information des organes fédéraux ne devrait pas varier en fonction du domaine concerné. Cette solution permet de plus de supprimer les dispositions prévues dans les lois sectorielles applicables aux domaines de coopération Schengen rele- vant du premier pilier de l’UE.
L’art. 16, par. 2 de la décision-cadre constitue une norme spécifique à Schengen, puisqu’il prévoit une exception à l’obligation d’informer la personne concernée lorsque l’Etat Schen- gen auprès duquel les données ont été collectées demande à l’autorité compétente de ne pas informer la personne concernée. .
Au vu de ce qui précède, le Conseil fédéral propose une transposition limitée des art. 13, 14 et 16, par. 2 de la décision-cadre aux communications de données effectuées dans le cadre de la coopération instaurée par Schengen et une transposition de l’art. 4, par. 3 et de l’art.16, par.1 de la décision-cadre à l’ensemble des traitements effectués par les organes fédéraux.
6 Modifications de lois
61 Choix légistiques
Dans le cadre de ses travaux préparatoires, le Conseil fédéral a examiné différentes solu- tions pour transposer la décision-cadre. Il a tout d’abord envisagé la possibilité d’appliquer ces normes à l’ensemble des traitements nationaux effectués par les organes fédéraux. Cet- te option a été partiellement écartée d’une part parce la plupart des dispositions de la déci- sion-cadre sont déjà transposées dans notre législation et d’autre part parce que les art. 13, 14 et 16, par. 2 sont des normes spécifiques à Schengen et qu’ils ne peuvent être étendus à l’ensemble des traitements nationaux effectués par les organes fédéraux. Toutefois, comme indiqué sous ch. 52, deux principes de la décision-cadre devraient faire l’objet d’une transpo- sition étendue.
L’adoption d’une législation fédérale spécifique transposant la décision-cadre dans son entier a été écartée car elle conduirait à l’adoption d’un acte législatif supplémentaire dans un do- maine comportant déjà un nombre important de normes disséminées dans différentes lois et qui se limiterait à répéter les principes généraux de protection des données qui sont déjà fixés dans la loi sur la protection des données.
Il convient également d’écarter la troisième variante consistant à créer une section spécifique concernant la communication de données personnelles dans le cadre de la coopération ins- taurée par Schengen dans la loi sur la protection des données 44, dans la loi sur l’entraide pénale internationale 45 et dans le nouveau code de procédure pénale suisse 46, la loi sur la protection des données n’étant pas applicable aux procédures pendantes pénales et d’entraide judiciaire (art. 2, al. 2, let. c, LPD). Cette solution introduirait en effet des normes spécifiques à Schengen dans des lois qui doivent garder leur caractère général.
Considérant le champ d’application limité de la décision-cadre, le Conseil fédéral propose finalement une approche sectorielle en transposant les art. 13, 14 et 16, par. 2 en fonction du domaine de coopération considéré, à savoir dans le projet de loi fédérale sur l’échange d’informations Schengen (LEIS) 47 pour le domaine de la coopération policière et dans le titre 4 du livre 3 du code pénal suisse pour le domaine de la coopération judiciaire, la LEIS n’étant pas applicable à cette forme d’entraide. Quant à l’art. 4, par. 3 et à l’art. 16, par. 1 de la décision-cadre, ils sont transposés, en tant que principes généraux, dans la loi sur la pro- tection des données.
62 Commentaire des modifications de lois
Lorsque la même modification apparaît dans plusieurs textes de loi, elle n’est commentée qu’une fois. Ensuite, le texte indique la référence de la première disposition commentée.
621 La loi fédérale du 16 décembre 2005 sur les étrangers
Les art. 111e, g et h sont abrogés. L’organe fédéral sera tenu d’informer la personne con- cernée de toute collecte de données la concernant. Le devoir d’information ne sera donc plus mentionné expressément dans la loi sur les étrangers (voir le commentaire relatif à l’abrogation de l’art. 7a LPD). Le devoir d’information selon l’art. 111e sera réglé à l’art. 18a LPD ; les restrictions ou le refus du droit d’accès de la personne concernée selon l’art. 111g sera régi à l’art. 9 LPD. Le droit de recours du préposé selon l’art. 111h est déjà prévu à l’art. 27, al. 5 et 6, LPD. Vu l’abrogation des art. 111e, g et h, les art. 111c, al. 3, et 111f doivent être modifiés en conséquence.
622 La loi du 26 juin 1998 sur l’asile
Préambule Conformément à la nouvelle pratique instaurée par la Chancellerie fédérale concernant la citation de la nouvelle Constitution fédérale dans le préambule des lois fédérales faisant l’objet d’une révision partielle, le présent projet cite l’art. 121 Cst. qui prévoit une compétence législative de la Confédération dans le domaine du séjour et de l’établissement des étrangers et qui correspond, sous une forme raccourcie, à l’art. 69ter de l’ancienne Constitution.
Voir le commentaire du ch. 621.
44 RS 235.1 45 RS 351.1 46 FF 2006 1057 47 FF 2008 8123
623 La loi fédérale du 19 juin 1992 sur la protection des données
Préambule Les art. 31bis, al. 2, et 85, ch. 1, de l’ancienne Constitution sont remplacés par les art. 95, 122 et 173, al. 2, Cst. L’art. 95 Cst. prévoit une compétence législative en faveur de la Con- fédération par rapport aux activités économiques lucratives privées et reprend une partie de l’art. 31bis, al. 2, de l’ancienne Constitution. L’art. 122 Cst. a pour objet la législation civile et correspond à l’art. 64 de la Constitution de 1874. L’art. 173, al. 2, Cst. régit les autres tâches et compétences de l’Assemblée fédérale et correspond aux anciens art. 84 et 85 ch. 1. L’art. 64bis de l’ancienne Constitution correspond à l’art. 123 Cst. qui traite de la législation pé- nale. Cette disposition est supprimée et ne doit pas être remplacée. En effet, afin d’uniformiser les préambules des lois, l’art. 123 Cst. ne doit plus être cité lorsqu’il s’agit uni- quement d’adopter des dispositions de droit pénal accessoire.
L’art. 7a LPD est situé dans la section 2 de la LPD relative aux dispositions générales de protection des données. La transposition de l’art. 16 de la décision-cadre relatif au devoir d’informer la personne concernée de toute collecte de données la concernant nécessite de distinguer les traitements de données effectués par des personnes privées des traitements de données personnelles par des organes fédéraux. L’obligation d’informer la personne con- cernée de toute collecte de données la concernant ne s’appliquera pas au secteur privé mais uniquement au secteur public. L’art. 7a LPD concernant le devoir d’informer lors de la col- lecte de données personnelles sensibles ou de profils de la personnalité sera donc déplacé dans la section 3 relative au traitement de données personnelles par des personnes privées (art. 14 nouveau). La teneur de cette disposition sera identique à celle de l’art. 7a LPD sous réserve de quelques adaptations rédactionnelles. Pour le secteur public, une nouvelle dispo- sition est introduite dans la section 4 relative au traitement de données personnelles par des organes fédéraux, qui prévoit un devoir d’informer la personne concernée de toute collecte de données personnelles la concernant (art. 18a LPD). Un certain nombre d’exceptions atté- nuera la généralisation de ce principe (voir le commentaire de l’art. 18b LPD).
Art. 9 L’abrogation de l’art. 7a implique une adaptation rédactionnelle de l’art. 9 LPD. Cette disposi- tion ne régit plus que les restrictions du droit d’accès, qui restent inchangées. Les restrictions du devoir d’information qui étaient régies par l’art. 9, seront réglées pour les personnes pri- vées à l’art. 14, al. 5 qui renvoie à l’art. 9 et aux art. 18a, al. 4 et 18b pour le secteur public.
Le nouvel al. 2bis remplace l’art. 111g, al. 2 de la loi sur les étrangers, l’art. 102f, al. 2, de la loi sur l’asile, l’art. 32h, al. 2, de la loi sur les armes et l’art. 18d, al. 2, de la loi sur les stupé- fiants et s’applique désormais à tous les traitements dans le secteur public.
Art. 14 Cette disposition correspond à l’art 7a LPD 48. Elle régit le devoir d’information des personnes privées. Vu que cette norme ne se trouve plus dans la section 2 de la loi sur la protection des données et vu la nouvelle teneur de l’art. 9 LPD, l’art. 14, al. 5 nouveau prévoit que le devoir
Voir le commentaire du message du 19 février 2003 relatif à l’art. 7a de la révision de la loi sur la protection des données, FF 2003 1943
d’information peut être restreint ou refusé pour les mêmes motifs que ceux prévus à l’art. 9, al. 1, al. 3 et 4 LPD. Il s’agit d’une adaptation formelle.
L’art. 18a règle le devoir d’information des organes fédéraux. Cette disposition transpose les exigences de l’art. 16, par. 1 de la décision-cadre. Cette transposition à l’ensemble des trai- tements de données effectués par les organes fédéraux est rendue nécessaire par le fait qu’il n’est pas toujours possible de déterminer lors d’une collecte quelles données pourront faire l’objet d’une communication au sens de la décision-cadre dans le cadre de la coopéra- tion policière et judiciaire instaurée par Schengen. La généralisation du devoir d’information à toutes les collectes de données personnelles permet d’éviter des lacunes. L’art. 18a, al. 4, prévoit toutefois que l’organe fédéral est délié de son devoir d’information notamment si la personne concernée a déjà été informée, si l’enregistrement ou la communication sont ex- pressément prévus par la loi (let. a) ou si le devoir d’information est impossible à respecter ou nécessite des efforts disproportionnés (let. b). Les exceptions prévues à l’al. 4, let. a et b, correspondent à celle de l’art. 7a, al. 4, LPD. Elles réduisent considérablement la portée de l’extension du devoir d’informer. Tel est le cas en particulier de l’exception prévue à l’al. 4, let. a puisque la majorité des communications effectuées par les organes fédéraux reposent sur une base légale.
En vertu de l’al. 1, les organes fédéraux seront tenus d’informer la personne concernée de toute collecte de données personnelles la concernant et non plus seulement des collectes de données sensibles ou de profils de la personnalité. Ils doivent informer d’office et de manière active la personne concernée de tout traitement la concernant, indépendamment de la ques- tion de savoir s’il s’agit de données personnelles ou de données sensibles ; la personne concernée doit être informée sans qu’elle ne le demande expressément 49.
L’obligation pour les organes fédéraux d’informer la personne concernée de toute collecte de données la concernant ne s’applique aujourd’hui que dans les domaines de coopération Schengen relevant du premier pilier de l’UE, à savoir la loi sur les étrangers (art. 111e), la loi sur l’asile (art. 102d), la loi sur les armes (art. 32g) ainsi que la loi sur les stupéfiants (art.
En vertu de l’al. 2, let. e, la personne concernée doit notamment être informée des consé- quences liées au refus de sa part de fournir les données personnelles demandées. Cette disposition reprend la norme prévue par les législations applicables aux domaines de coopé- ration Schengen relevant du premier pilier de l’UE 50. L’art. 24, al. 1 de l’ordonnance sur la protection des données qui prévoit la même règle, devra être supprimé en conséquence 51.
L’al. 3 a la même teneur qu’à l’al. 3 de l’art. 7a LPD. L’al. 4 correspond à l’al. 4 de l’art. 7a LPD.
L’al. 1 prescrit que le devoir d’information peut être restreint pour les mêmes motifs que ceux prévus à l’art. 9, al. 1, 2 et 4. L’al. 2 remplace l’art. 111g, al. 2 de la loi sur les étrangers, l’art.
Voir le message du 1er octobre relatif aux accords bilatéraux II, FF 2004 5867 Voir art. 111e, al. 2, let. e de la loi sur les étrangers, art. 102d, al. 2, let. d de la loi sur l’asile, art. 32f, al. 2, let. d, de la loi sur armes et art. 18b, al. 2, de la loi sur les stupéfiants, FF 2004 5866 51 RS 235.11.
102f, al. 2, de la loi sur l’asile, l’art. 32h, al. 2, de la loi sur les armes et l’art. 18d, al. 2, de la loi sur les stupéfiants.
Art. 21, al. 2, let. b Cette disposition transpose l’art. 4, par. 3 de la décision-cadre. Elle prévoit une exception supplémentaire à l’obligation de détruire les données personnelles que les Archives fédé- rales ont désignées comme n’ayant pas de valeur archivistique lorsque ces données doivent être conservées afin de sauvegarder un intérêt digne de protection de la personne concer- née. Le cas échéant, les données ne pourront être traitées que pour les finalités qui ont em- pêché leur destruction.
Art. 26 Afin de mettre en œuvre les exigences de l’art. 25 de la décision-cadre en tenant compte des critiques des évaluateurs Schengen qui estiment que notre système n’offre pas de garanties institutionnelles concernant l’indépendance du préposé, le projet prévoit un certain nombre de modifications concernant l’art. 26 LPD. L’al. 1 prescrit que la nomination du préposé par le Conseil fédéral sera approuvée par le Parlement. Le préposé acquiert ainsi une légitimité supplémentaire puisque sa nomination ne dépend pas que de l’exécutif, ce qui est d’autant plus important que le préposé exerce sa surveillance sur l’administration fédérale : on évite ainsi que la nomination du préposé soit du ressort exclusif de l’autorité dont la tâche est de diriger les organes soumis à la surveillance du préposé. Dans la mesure où le préposé est nommé par le Conseil fédéral et où il reste rattaché administrativement à la Chancellerie fédérale, il peut continuer à participer aux procédures internes de décision de l’administration et communiquer avec le Conseil fédéral par le biais du chancelier ou de la chancelière, ce qui est un avantage (voir art. 31 OLPD). La modification de l’art. 26 LPD tient également compte des critiques d’une bonne partie de la doctrine qui considère que la nomination par l’exécutif n’offre pas de garanties suffisantes d’indépendance 52. L’approbation par le Parle- ment nous paraît être un bon compromis entre la solution actuelle et une élection par le Par- lement. L’approbation du Parlement n’est requise qu’au début des rapports de fonction. Le renouvel- lement des rapports de fonction est réglé dans un nouvel art. 26a. Il ressort implicitement des art. 26 et 26a qu’une nouvelle approbation n’est plus nécessaire lors du renouvellement des rapports de fonction. Si le Parlement refuse d’approuver la nomination du préposé, il incombe au Conseil fédéral de nommer un autre candidat. La nomination ne devient donc effective qu’après l’approbation du Parlement. Le préposé est nommé pour une période de fonction de quatre ans. Les rapports de fonction peuvent ensuite être renouvelés tacitement (voir art. 26a nouveau). Les rapports de fonction sont en principe régis par la loi fédérale du 24 mars 2000 sur le personnel de la Confédération (LPers) 53 sauf si la loi sur la protection
des données en dispose autrement (al. 2). Tel est le cas concernant la création et la fin des rapports de travail.
René Huber, Die Teilrevision des Eidg. Datenschutzgesetzes – ungenügende Pinselrenovation, iIn: Recht, Zeitschrift für juristiche Ausbildung und Praxis, 6/06, p. 220 s. Astrid Epiney, Datenschutz und « Bilaterale II », Zu den Auswirkungen der Schengen- Assoziierung auf das schweizerische Datenschutzrecht – ausgewählte Aspekte in : SJZ 102 Mangelhafte Konkretisierung des DSG, in digma 2007.2. 53 RS 172.220.1
Le préposé et son personnel sont des unités administratives décentralisées au sens de l’art. 2, al. 1, let. e, de la loi sur le personnel et de l’art. 2, al. 3, de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration 54. Les rapports de travail du secrétariat du préposé sont donc régis par la loi sur le personnel et ses dispositions d’exécution, comme le précise l’art. 30 OLPD.
Le nouvel al. 3 prescrit de manière plus claire que le préposé exerce ses fonctions en toute indépendance et qu’il ne peut recevoir aucune instruction d’aucune autorité. La notion d’« indépendance » remplace celle d’« autonomie » conformément à la terminologie de l’UE. La première phrase de l’al. 4 est reprise du droit actuel sans modification. La deuxième phrase précise que le préposé engage son personnel. Tel est déjà le cas aujourd’hui bien que cela ne ressorte pas expressément du texte légal. Le rattachement administratif du pré- posé à la Chancellerie fédérale pourrait toutefois laisser supposer le contraire. L’al. 5 est nouveau et prévoit que la rémunération du préposé est indépendante de toute appréciation portée sur ses prestations. En effet, le statut d’indépendance du préposé s’accommoderait mal d’une rémunération basée sur un jugement de ses prestations, puisqu’aucune autorité ne doit influer sur l’exercice de ses fonctions. L’évolution de son salaire est régie par les dis- positions applicables au personnel fédéral nommé pour une durée de fonction, à savoir par l’art. 4 de l’ordonnance du 17 décembre 2001 sur la durée de fonction 55.
La législation sur le personnel de la Confédération fait actuellement l’objet d’une révision. Il s’agira par conséquent de coordonner le présent projet avec les travaux de cette révision.
L’art. 26a nouveau régit le renouvellement et la fin des rapports de fonction du préposé et constitue une disposition spéciale qui déroge aux règles de la loi sur le personnel (art. 26, al. 2, LPD). Il prévoit en particulier que le Conseil fédéral peut décider, à certaines conditions, de ne pas renouveler les rapports de fonction ou de révoquer le préposé. Il ne s’agit pas d’une résiliation au sens de l’art. 12 de la loi sur le personnel mais d’une décision de non- renouvellement. Les mesures prévues aux art. 14 et 19 de la loi sur le personnel ne sont donc pas applicables.
En vertu de l’al. 2, le préposé doit avertir le Conseil fédéral six mois à l’avance de sa volonté de ne pas reconduire les rapports de fonction. Cela vaut aussi bien en cours de période qu’au terme de la période de fonction. Une durée de six mois est nécessaire pour permettre au Conseil fédéral de préparer l’entrée en fonction d’un nouveau préposé. Vu que la nomina- tion du préposé doit être soumise à l’approbation du Parlement, elle doit intervenir suffisam- ment tôt pour éviter que le poste du préposé ne reste vacant. Le délai de six mois peut toute- fois être raccourci d’un commun accord entre les parties.
Le renouvellement des rapports de fonction se fait tacitement pour une nouvelle période de quatre ans (al. 1). Le non-renouvellement des rapports de fonction doit en revanche faire l’objet d’une décision du Conseil fédéral qui doit être rendue au plus tard six mois avant la fin de la période de fonction. Le non-renouvellement est soumis à l’existence de motifs objectifs suffisants. On entend par là des motifs qui ne sont pas susceptibles de toucher à l’indépendance du préposé 56.
54 RS 172.010 55 RS 172.220.111.6 En ce qui concerne la notion de « motifs objectifs suffisants » voir le commentaire de l’art. 10 du
Le Conseil fédéral peut révoquer le préposé avant la fin de la période de fonction, mais uni- quement en présence de l’un des motifs prévus à l’al. 3. Cette disposition est analogue à celle qui régit la révocation des juges fédéraux (voir art. 10 de la loi sur le Tribunal adminis- tratif fédéral 57 et art. 10 de la loi fédérale sur le Tribunal pénal fédéral 58).
Le non-renouvellement des rapports de fonction, de même que la révocation, ne sont pas soumis à l’approbation du Parlement. Les conditions restrictives auxquelles doivent répondre de telles décisions, de même que l’existence d’une voie de recours directement au Tribunal administratif fédéral 59 représentent une garantie suffisante pour l’indépendance du préposé.
L’exercice d’une autre activité par le préposé, qu’elle soit lucrative ou non, est subordonné à l’autorisation du Conseil fédéral. L’activité en question ne doit pas être de nature à affecter l’indépendance ou la réputation du préposé. La formulation de l’art. 26b s’inspire de l’art. 7, al. 1 de la loi du 17 juin 2005 sur le Tribunal fédéral 60 et de l’art. 7 de la loi du 17 juin 2005 sur le Tribunal administratif fédéral 61.
Art. 30 Le projet prévoit que la nomination du préposé par le Conseil fédéral sera approuvée par le Parlement. Il convient dès lors d’adapter l’art. 30 en prévoyant que le préposé fera rapport au Parlement. Il devra transmettre simultanément son rapport au Conseil fédéral.
Art. 34 Cette disposition sanctionne la violation des obligations de renseigner, de déclarer et de col- laborer. Le devoir d’information des personnes privées ne sera plus régi à l’art. 7a LPD mais à l’art. 14 (voir commentaire relatif à l’art. 7a). L’art. 34 doit être modifié en conséquence (l’art. 7a est remplacé par l’art. 14).
Le projet prévoit une disposition transitoire concernant la nomination et la fin des rapports de fonction du préposé. Selon cette norme, l’ancien droit continue à s’appliquer jusqu’à la fin de la législature au cours de laquelle le présent projet entre en vigueur.
projet de révision de la loi sur le personnel de la Confédération, rapport explicatif au projet soumis ä consultation du 19 septembre 2008, p. 9 (http://www.efd.admin.ch/dokumentation/gesetzgebung/00571/01267/index.html?lang=fr; dernière consultation le 20 avril 2009). 57 RS 173.32 58 RS 173.71 Voir art. 33, let. a, de la loi sur le Tribunal administratif fédéral (RS 173.32) et 35, al. 2, de la loi sur le personnel de la Confédération. 60 RS 173.110 61 RS 173.32
624 Code pénal
Préambule Le projet cite l’art. 123 Cst. qui prévoit une compétence législative de la Confédération dans le domaine du droit pénal. Il reprend l’art. 64bis de l’ancienne Constitution.
L’art. 355f met en œuvre l’art. 13 de la décision-cadre qui prévoit une obligation pour les Etats Schengen de faire en sorte que les données reçues d’un Etat Schengen ne puissent être communiquées à un Etat-tiers ou à une instance internationale que si certaines condi- tions cumulatives sont remplies. Cette disposition s’applique aux autorités suisses qui ont reçu des données personnelles d’un Etat Schengen dans le cadre d’une procédure d’entraide judiciaire et qui envisagent de les communiquer à un Etat-tiers ou un organisme international.
Par « Etat-tiers » on entend tout pays qui n’est pas lié par un des accords d’association à Schengen.
L’art. 13 de la décision-cadre recourt à la notion d’ « instance internationale » dans sa ver- sion française et à celle de « international body » dans la version anglaise. Selon le considé- rant 22, cette disposition vise des « instances internationales », respectivement des « inter- national bodies » qui ont des obligations en matière de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Le Conseil fédéral est de l’avis que la notion d’ « instances internationales » ne vise pas seulement des juridictions mais aussi d’autres institutions internationales et considère dès lors qu’en droit interne il convient d’employer le terme d’ « organisme international ».
Une communication n’est envisageable que si les quatre conditions cumulatives de l’al. 1 sont respectées.
Conformément aux principes de finalité et de proportionnalité, la communication doit permet- tre la prévention, la constatation ou la poursuite d’une infraction ou l’exécution d’une décision pénale (let. a) et l’autorité destinataire doit être compétente en la matière (let. b). En vertu de l’al. 1, let, c, l’Etat Schengen auprès duquel les données ont été collectées doit de plus don- ner son accord préalable conformément à sa législation. Selon le considérant 24 de la déci- sion-cadre, chaque Etat Schengen est compétent pour déterminer les modalités de l’accord. Lorsqu’une autorité suisse envisage de transmettre à un Etat-tiers ou à un organisme inter- national des données qu’elle a reçues d’un Etat Schengen, elle devra préalablement solliciter son accord. L’al. 2 prévoit une exception à l’obligation d’obtenir l’accord préalable de l’Etat Schengen qui a collecté les données. En vertu des let. a et b, des données personnelles peuvent être communiquées dans un cas d’espèce si l’accord préalable de l’Etat concerné ne peut pas être obtenu en temps utile et si la communication est indispensable pour préve- nir un danger immédiat et sérieux pour la sécurité publique ou pour protéger les intérêts es- sentiels d’un Etat Schengen. Il s’agit de conditions cumulatives. Selon le considérant 25, cette exception vise à protéger aussi bien la sécurité publique d’un Etat Schengen que celle d’un Etat-tiers. Les intérêts essentiels d’un Etat Schengen sont menacés lorsque, par exem- ple, l’infrastructure critique de cet Etat fait l’objet d’une menace immédiate et grave ou lors- que son système financier peut être sérieusement menacé. Lorsque des données sont communiquées en vertu de l’al. 2, l’autorité compétente doit en informer sans délai l’Etat concerné (al. 3).
Conformément à l’al. 1, let. d, l’Etat-tiers ou l’organisme international doit en outre assurer un niveau de protection adéquat des données. S’agissant des conditions à remplir pour que le niveau de protection puisse être considéré comme « adéquat », l’art. 13, par. 4 de la déci- sion-cadre prévoit que ce critère s’apprécie au regard de toutes les circonstances relatives à une opération de transfert ou à un ensemble d’opérations de transferts de données. L’autorité compétente doit en particulier prendre en considération la nature des données, la finalité des traitements envisagés, l’Etat d’origine et l’Etat ou l’organisme international de destination finale, les règles de droit générales ou sectorielles en vigueur dans l’Etat-tiers ou auprès de l’organisme international en question, ainsi que les règles professionnelles et les mesures de sécurité qui s’y appliquent. L’objet et le but de la décision-cadre, à savoir «ga- rantir (….) un niveau élevé de protection des droits et libertés fondamentaux des personnes physiques, en particulier leur droit au respect de la vie privée (…) », constitue le critère maté- riel déterminant. Le niveau de protection offert par un pays-tiers ou par un organisme inter- national peut être qualifié d’adéquat lorsque les données de la personne concernée y sont traitées d’une manière qui répond en substance aux principes de protection des données de la décision-cadre 62. Dans le cas d’espèce, l’autorité compétente devra donc examiner l’ensemble des circonstances qui jouent un rôle dans le cadre de la communication qu’elle envisage de faire. Un examen général du niveau de protection dans l’Etat-tiers ne suffit pas. En effet, il est possible qu’un Etat-tiers soit en mesure d’assurer un niveau de protection adéquat dans un certain domaine ou pour une certaine catégorie de communications, et non dans d’autres secteurs.
Il convient de relever que l’on retrouve la notion de « niveau de protection adéquat » à l’art. 6 LPD. Toutefois, cette disposition ne s’applique pas aux procédures pendantes d’entraide judiciaire internationale (art. 2, al. 2, let. c, LPD).
Lorsque l’Etat-tiers ou l’organisme international ne garantit pas un niveau de protection adé- quat, l’al. 4 prévoit une liste exhaustive d’exceptions. Si une de ces exceptions s’applique, l’autorité compétente est libérée de l’interdiction de communiquer des données personnelles à un Etat-tiers ou à un organisme international n’assurant pas un niveau de protection adé- quat.
L’al. 4, let. a, prévoit qu’en dérogation à l’al. 1, let. d, des données peuvent être communi- quées dans un cas d’espèce si la communication est nécessaire pour protéger des intérêts dignes de protection prépondérants de la personne concernée, tels que sa vie ou sa santé, ou ceux d’un tiers. La let. b prévoit également une exception lorsqu’un intérêt public prépon- dérant l’exige.
En vertu de l’al. 4, let. c, des données personnelles peuvent être communiquées si des ga- ranties suffisantes sont fournies permettant d’assurer un niveau de protection adéquat des données de la personne concernée. Cette exception permet donc à l’autorité compétente d’envisager la communication de données personnelles à un Etat tiers ou à un organisme international en l’invitant, par exemple dans le cadre d’un échange de notes, à s’engager formellement à respecter un certain nombre de principes généraux de protection des don- nées à l’égard de la personne concernée. Pour que les garanties soient jugées suffisantes au regard des exigences de la décision-cadre, elles doivent se référer au traitement des données par l’autorité compétente de l’Etat-tiers ou par l’organisme international destinataire et prévoir que les données communiquées seront traitées conformément aux principes géné-
Par rapport à la transposition de la directive 95/46/CE, voir le message du 1er octobre 2004 relatif aux accords bilatéraux II FF 2004 5864.
raux de protection des données de la décision-cadre, notamment en ce qui concerne la licéi- té, la finalité, la bonne foi, la proportionnalité, la protection des données sensibles et les droits de la personne concernée. Les garanties fournies seront jugées suffisantes lorsque, sur la base des mesures prises et au vu des circonstances, il est possible de prévoir de ma- nière assez certaine que la protection matérielle dans l’Etat-tiers ou auprès de l’organisme international destinataire fonctionnera. Les mécanismes de mise en œuvre de cette protec- tion peuvent être différents ; il faut uniquement qu’il soit possible de prévoir avec une certitu- de suffisante que la personne concernée bénéficiera pour l’essentiel de la même protec- tion 63.
L’art. 355g met en œuvre l’art. 14 de la décision-cadre qui prévoit une obligation pour les Etats Schengen de faire en sorte que les données reçues d’un Etat Schengen ne puissent être communiquées à une personne privée que si certaines conditions cumulatives sont remplies. Cette norme s’adresse aux autorités suisses qui ont reçu des données personnel- les de la part d’un Etat Schengen dans le cadre d’une procédure d’entraide judiciaire et qui envisagent de les communiquer à une personne privée, par exemple, pour poursuivre des infractions, pour prévenir un danger immédiat et sérieux pour la sécurité publique ou pour prévenir une atteinte grave aux droits des personnes. Tel est le cas par exemple lorsque, dans la cadre d’une enquête ou d’une procédure pénale, une autorité envisage de communi- quer des données reçues d’un Etat Schengen à une banque pour lui signaler l’existence de faux titres ou à une société d’assurance afin d’empêcher le trafic de véhicules à moteur volés ou pour faciliter la récupération de véhicules volés à l’étranger 64. Cette communication ne s’effectue pas dans le cadre d’une procédure d’entraide judiciaire, puisque les données ne sont pas échangées entre deux Etats.
Ne sont pas considérés comme des personnes privées les participants à une procédure pé- nale, tels que les avocats, les victimes 65, les experts et les centres de consultation chargés de l’aide aux victimes.
En vertu de l’art. 355g, al. 1, une communication de données personnelles reçues d’un Etat Schengen à une personne privée ne peut être envisagée que si quatre conditions cumulati- ves sont remplies.
En vertu de l’al. 1, let. a, une communication de données personnelles à une personne pri- vée n’est envisageable dans un cas d’espèce que si une législation spéciale ou un accord international le prévoit. L’art. 355g ne constitue dès lors pas une base légale pour communi- quer des données personnelles à une personne privée. En vertu de l’al. 1, let, b, l’Etat Schengen auprès duquel les données ont été collectées doit donner son accord préalable conformément à sa législation 66. Lorsqu’une autorité suisse envisage de communiquer à une personne privée des données reçues d’un Etat Schengen, elle devra préalablement solliciter son accord. Contrairement à l’art. 355f, l’art. 355g ne pré- voit pas d’exception à l’obligation d’obtenir l’accord préalable de l’Etat concerné.
Message du 1er octobre 2004 relatif aux accords bilatéraux II FF 2004 5866. Voir considérant 17 de la décision-cadre. Voir considérant 18 de la décision-cadre. Voir considérant 24 de la décision-cadre.
En vertu de l’al. 1, let. c, aucun intérêt digne de protection prépondérant de la personne concernée ne doit s’opposer à la communication envisagée. Dans le cas d’espèce, l’autorité compétente doit procéder à une pesée des intérêts en jeu, pour déterminer lequel de l’intérêt public menacé ou de l’intérêt de la personne concernée prévaut. L’autorité compétente re- noncera à communiquer des données à une personne privée uniquement si l’intérêt digne de protection de la personne concernée est prépondérant. Tel peut être le cas par exemple lorsque la communication pourrait mettre en danger la vie de la personne concernée.
En vertu de l’al. 1, let. d, ch. 1, les principes de finalité et de proportionnalité doivent être respectés. Selon cette disposition, la communication envisagée dans le cas d’espèce doit être indispensable à l’accomplissement d’une tâche légale d’une personne privée, par exemple à l’exécution des obligations légales des intermédiaires financiers découlant de la loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme dans le secteur financier 67. L’art. 355g ne constitue pas une base légale pour déléguer l’exécution d’une tâche publique à une personne privée. En vertu de l’al. 1, let. d, ch. 2 et 3, les principes de proportionnalité et de finalité sont également respectés lorsque la communi- cation est indispensable à la prévention et à la poursuite d’une infraction pénale, à l’exécution d’une décision pénale, à la prévention d’un danger immédiat et sérieux pour la sécurité publique ou à la prévention d’une atteinte grave aux droits des personnes physiques ou morales. Il s’agit ici de conditions alternatives.
L’al. 2 prescrit que l’autorité compétente communique les données à la personne privée avec l’interdiction de les utiliser à d’autres fins que celles qui ont été fixées par l’autorité.
625 Loi fédérale du …. sur l’échange d’informations Schengen
Art. 2 al. 3 Cette disposition est modifiée en ce sens que les nouveaux art. 6bis, 6ter et 6quater sont réservés.
L’al. 1 prescrit que le devoir d’informer la personne concernée est régi par les art. 18a et 18b LPD. En vertu de l’al. 2, l’autorité n’est pas tenue d’informer la personne concernée si l’Etat Schengen auprès duquel les données ont été collectées demande expressément que la per- sonne concernée ne soit pas informée. Cette disposition transpose les exigences de l’art. 16, par. 2 de la décision-cadre.
L’art. 6ter met en œuvre l’art. 13 de la décision-cadre qui prévoit une obligation pour les Etats Schengen de faire en sorte que les données reçues d’un Etat Schengen ne puissent être communiquées à un Etat-tiers ou à une instance internationale que si certaines condi- tions cumulatives sont remplies. Il s’agit d’une disposition applicable à l’entraide policière dans le cadre des accords d’association à Schengen. Cette norme s’adresse aux autorités de poursuite pénale de la Confédération au sens de l’art. 3 du projet LEIS et vise l’hypothèse dans laquelle, en vertu d’un accord bilatéral conclu avec la Suisse, un Etat-tiers ou un orga- nisme international demande aux autorités suisses de lui communiquer des données per- sonnelles reçues d’un Etat Schengen.
67 RS 955.0.
La teneur de l’art. 6ter correspond en substance à celle de l’art. 355f CP. Toutefois, elle ne vise pas l’hypothèse où les données personnelles reçues d’un Etat Schengen sont commu- niquées à un Etat-tiers pour exécuter une décision pénale. En effet, ce cas de figure relève exclusivement de l’entraide judiciaire en matière pénale. Pour le surplus, il y a lieu de se ré- férer au commentaire relatif à l’art. 355f CP.
Art. 6quater L’art. 6quater met en œuvre l’art. 14 de la décision-cadre qui prévoit une obligation pour les Etats Schengen de faire en sorte que les données reçues d’un Etat Schengen ne puissent être communiquées à une personne privée que si certaines conditions cumulatives sont remplies. Cette norme s’adresse aux autorités de poursuite pénale de la Confédération qui ont reçu des données personnelles de la part d’un Etat Schengen dans le cadre d’une pro- cédure d’entraide policière et qui envisagent de les communiquer à une personne privée, par exemple, pour poursuivre des infractions, pour prévenir un danger immédiat et sérieux pour la sécurité publique ou pour prévenir une atteinte grave aux droits des personnes.
La teneur de l’art. 6quater correspond en substance à celle de l’art. 355g CP. Toutefois, elle ne vise pas l’hypothèse où les données personnelles reçues d’un Etat Schengen sont com- muniquées à un Etat-tiers pour exécuter une décision pénale. En effet, ce cas de figure relè- ve exclusivement de l’entraide judiciaire en matière pénale. Pour le surplus, il y a lieu de se référer au commentaire relatif à l’art. 335g CP.
626 Loi fédérale du 20 juin 1997 sur les armes
Par rapport à la modification de l’art. 11, al. 2, let. e et à la suppression des art. 32f, 32h et 32i, voir le commentaire du ch. 621.
627 Loi du 3 octobre 1951 sur les stupéfiants
Préambule Les art. 64bis, 69 et 69bis de l’ancienne Constitution sont remplacés par les art. 118 et 123 Cst. L’art. 118 prévoit une compétence de la Confédération pour prendre des mesures en matière de protection de la santé et pour légiférer notamment sur l’utilisation de stupéfiants. Cette disposition reprend en substance les art. 69 et 69bis de l’ancienne Constitution. L’art. 123 Cst. traite de la législation pénale et reprend l’art. 64bis de la Constitution de 1874.
Voir le commentaire du ch. 621.
7 Aspects juridiques
71 Constitutionnalité
La reprise du présent développement de l’acquis de Schengen a lieu dans le cadre d’un échange de notes entre la Suisse et l’UE. Selon l’art. 54, al. 1 Cst., les affaires étrangères relèvent de la compétence de la Confédération. Le corollaire de cette compétence étant la conclusion de traités avec les Etats étrangers. L’assemblée fédérale est compétente pour l’approbation des traités en vertu de l’art. 166, al. 2, Cst.
D’après l’art. 141, al. 1, let. d, Cst., les traités internationaux sont sujets au référendum fa- cultatif lorsqu’ils sont d’une durée indéterminée et ne sont pas dénonçables (ch. 1), prévoient l’adhésion à une organisation internationale (ch. 2) ou contiennent des dispositions importan- tes fixant des règles de droit ou dont la mise en œuvre exige l’adoption de lois fédérales (ch. 3). Le présent échange de notes est dénonçable et ne prévoit pas l’adhésion à une organisa- tion internationale.
Il demeure donc à déterminer si l’échange de notes ou la décision cadre contient des dispo- sitions importantes fixant des règles de droit ou si sa mise en œuvre exige l’adoption de lois fédérales. Par dispositions fixant des règles de droit, il faut entendre, selon l’art. 22, al. 4, de la loi sur le Parlement 68, les dispositions générales et abstraites d’application directe qui créent des obligations, confèrent des droits ou attribuent des compétences. Sont, par ail- leurs, importantes les dispositions qui, en droit interne, doivent, à la lumière de l’art. 164, al.
1 Cst., être édictées dans une loi au sens formel.
La mise en œuvre de l’échange de notes implique plusieurs modifications législatives. Il ré- sulte de ce qui précède que l’arrêté d’approbation de l’échange de notes entre la Suisse et l’UE est sujet au référendum en matière de traités internationaux en vertu des art. 141, al. 1,
La modification de la loi sur la protection des données, du projet de loi sur l’échange d’informations Schengen et du code pénal se fonde sur l’art. 123, al. 1, Cst. et sur l’art. 173, al. 2 Cst.
72 Forme de l’acte à adopter
L’art. 141a, al. 2, Cst. prévoit que lorsque l’arrêté portant approbation d’un traité international est sujet à référendum, l’Assemble fédérale peut y intégrer les modifications de lois liées à la mise en œuvre du traité. Comme il ressort de l’avis du Conseil fédéral du 15 juin 2001 relatif à l’initiative populaire «Suppression de carences dans les droits populaires», la possibilité d’une votation globale sur les traités internationaux et les dispositions d’exécution doit per- mettre d’assurer une certaine transparence dans la mesure où les citoyens appelés à voter peuvent se prononcer sur la mise en œuvre du traité dans leur droit national en ayant la cer- titude que le paquet proposé continue de former un tout 69. Selon la doctrine 70, les modifica- tions législatives ne peuvent être intégrées dans l’arrêté d’approbation d’un traité internatio- nal que si elles ont une connexité objective avec le contenu du traité et avec la mise en œu- vre interne des engagements qui découlent de ce traité. La ratio legis de l’art. 141a, al. 2, Cst. est d’éviter les votations inutiles et contradictoires. Partant de la volonté du constituant, la doctrine est de l’avis que les dispositions d’exécution qui découlent directement d’obligations internationales et pour lesquelles aucune marge de manœuvre n’est laissée au législateur fédéral peuvent incontestablement faire l’objet d’un vote global avec le traité. Il en est de même des dispositions de mise en œuvre qui découlent d’obligations internationales et pour lesquelles une certaine marge de manœuvre est laissée au législateur national par le traité qui ne prévoit donc pas (ou qu’en partie) les modalités de mise en œuvre. Dans ce cas, le législateur est tenu de légiférer, mais dispose d’une certaine marge de manœuvre s’agissant du contenu de la législation interne de mise en œuvre. En revanche, la doctrine
68 RS 171.10 69 FF 2001 5796 Ridha Fraoua, La mise en œuvre des traités internationaux, Portée de l’art. 141a de la Constitu- tion fédérale, L’atelier du droit Mélanges Heinrich Koller, Bâle 2006, p. 233 à 243.
considère que les mesures d’accompagnement motivées par des considérations purement internes en relation avec la mise en œuvre d’obligations internationales ne devraient pas être intégrées dans un arrêté d’approbation et faire ainsi l’objet d’une votation globale.
De l’avis du Conseil fédéral, les modifications proposées ont une connexité avec la décision- cadre et découlent directement des obligations prévues dans cet acte qui laisse une certaine manœuvre au législateur. De plus, elles ne sont pas motivées par des considérations pure- ment internes. De ce fait, la solution de transposition proposée est conforme aux exigences
73 Compatibilité avec les obligations internationales de la Suisse
Le présent projet est compatible avec les obligations internationales de la Suisse. L’art. 26 de la décision-cadre prévoit en effet que cet acte ne préjuge pas des obligations et des en- gagements des Etats Schengen ou de l’Union qui découlent d’accords avec des Etats-tiers en vigueur au moment de l’adoption de la décision-cadre.
Le projet n’a pas non plus d’incidence sur la déclaration commune de la Suisse et de l’Union européenne sur l’art. 23, par. 7, de la Convention du 29 mai 2000 relative à l’entraide judi- ciaire en matière pénale entre les Etats membres de l’Union européenne 71. En effet, l’art. 28 de la décision-cadre prévoit que lorsque dans les actes adoptés en vertu du titre VI du traité sur l’UE avant l’entrée en vigueur de la décision-cadre et qui régissent l’échange de données entre Etats Schengen, des conditions spécifiques ont été introduites concernant l’utilisation de ces données par l’Etat Schengen destinataire, ces conditions prévalent sur les disposi- tions de la décision-cadre relatives à l’utilisation des données transmises.
74 Frein aux dépenses
Le présent projet n’implique pas de dépenses qui seraient assujetties au frein aux dépenses (art. 159, al. 3, let. b, Cst.).
75 Compatibilité avec la loi sur les subventions
Le projet ne prévoit pas de subventions.
76 Délégation de compétences législatives
Le projet ne prévoit pas de délégation de compétences législatives.
externe\corapport\Erläuterungen.version française consultation externe.f.20.04.09 im Korrekturmodus.doc
71 RS 0.360.268.1