L'abandon de la procédure d'appel en protection des données

La nouvelle loi fédérale sur la protection des données (ci-après : LPD) est à bout touchant. Disons-le d’emblée, son processus de révision n’aura pas été un long fleuve tranquille. Les tout premiers travaux ont débuté en 2011 avec un premier rapport sur l’évaluation de la LPD qui concluait que la loi permet « d’atteindre un niveau de protection appréciable dans les domaines où les défis étaient déjà connus au moment de son entrée en vigueur » mais que « les développements technologiques et sociétaux intervenus depuis quelques années ont engendré de nouvelles menaces pour la protection des données » (Rapport sur l’évaluation de la loi fédérale sur la protection des données du 9 décembre 2011, p. 256). S’en est suivi en 2014 une première esquisse d’acte normatif relative à la révision de la loi sur la protection des données. Cette première esquisse faisait déjà état de divergences parmi les milieux consultés : d’un côté, les milieux économiques plaidaient en faveur d’une révision aussi light que possible et n’étaient pas vraiment pressés d’aller de l’avant dans ce domaine ; de l’autre côté, un autre groupe estimait que la loi actuelle devait être révisée sans attendre et que des modifications substantielles devaient être apportées afin de concrétiser le droit constitutionnel de tout un chacun de se déterminer librement sur les données personnelles qu’il souhaite partager (Esquisse d’acte normatif relative à la révision de la loi sur la protection des données, p. 6).

La mise en consultation d’un premier avant-projet de révision totale de la LPD a eu lieu à la fin de l’année 2016. Le Conseil fédéral déclare que, face à la révolution numérique, il juge nécessaire d’adapter la protection des données et de renforcer les droits des citoyens et des citoyennes. Il entend, en outre, harmoniser le droit suisse aux nouveaux standards de protection de l’Union européenne et du Conseil de l’Europe. Il faut dire, en effet, que l’Union européenne vient de modifier son propre droit de la protection des données avec l’adoption la même année du Règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et de la Directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins pénales. Les résultats de la consultation sont plutôt sévères. Sur le principe, aucun des participants à la consultation ne s’oppose à une nouvelle réglementation en matière de protection des données. Mais ils émettent de nombreuses réserves : ils reprochent la création de charges administratives trop élevées, dénoncent un « Swiss finish » et critiquent, en particulier, les sanctions qui sont prévues (Synthèse des résultats de la procédure de consultation sur l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales du 10 août 2017, p. 6).

En 2017, le Conseil fédéral adopte son projet de révision totale de la loi sur la protection des données. Les critiques émises durant la procédure de consultation se ressentent. Le projet est remanié sur plusieurs points dans le sens d’un allégement : le seuil de risque pour la réalisation d’une analyse d’impact relative à la protection des données a été relevé et des exceptions ont été introduites, les règles relatives à la communication de données sont assouplies, l’autorégulation est renforcée, les dispositions sur le devoir d’informer sont moins strictes, le régime des sanctions a été allégé, etc. Même certaines des dispositions de l’actuelle LPD sont revues et diminuées à l’image du droit d’accès, dont l’exercice risque bien à l’avenir d’être restreint.

Le passage devant les chambres fédérales continue d’éroder un peu plus le niveau de protection de la loi. Les députés jugent le projet trop complexe et dénoncent à leur tour un « Swiss finish » et « un monstre démocratique qui ne protège même pas mieux le citoyen » (Intervention du Conseiller national Gregor Rutz, in : BO 2019 N 1775). Les règles entourant les activités de profilage ayant pour but de protéger les personnes concernées contre le fait de leur appliquer une évaluation, un classement ou une étiquette au moyen d’un algorithme font, en particulier, débat et devraient aboutir à une solution étrange et peu compréhensible avec l’introduction de la notion de profilage à risque élevé. Le but est de poser des contraintes minimes aux entreprises qui s’adonnent à ce type d’activité. Les communications de données au sein d’un même groupe devraient également être facilitées, ce qui risque de poser des problèmes au regard du principe de finalité.

Etonnamment, une poignée de dispositions n’ont toutefois pas été remaniées ou très peu seulement depuis la mise en consultation de l’avant-projet jusqu’à son passage à la moulinette parlementaire : les dispositions sur le traitement des données par des organes fédéraux. On pourrait croire que, pour les milieux concernés et les députés, ce serait toujours l’État le Léviathan et non les entreprises dont le business model repose sur nos données personnelles. Les lobbys de l’économie ont fait croisade – et rudement – pour retravailler les dispositions concernant le traitement des données par les organes privés. En revanche, les dispositions concernant le traitement de données par des organes fédéraux n’ont, semble-t-il, intéressé personne à Berne. Les débats parlementaires montrent en effet que les députés sont passés par-dessus comme chat sur braise sans qu’aucune discussion n’ait lieu à leur propos. Il faut dire que, dans l’ensemble, les dispositions proposées par le Conseil fédéral allaient dans le sens d’un renforcement des droits et de la protection des intérêts des citoyens et des citoyennes. Toutefois, dans le lot, un changement est passé inaperçu alors qu’il est sur le point de provoquer un changement important dans le droit public de la protection des données : l’abandon de l’exigence d’une base légale expresse pour la création d’une liaison en ligne avec procédure d’appel vers les données d’un système d’information tiers.

Selon l’article 19 al. 3 et 3^bis de la LPD de 1992, les organes fédéraux ne sont en droit de rendre des données personnelles accessibles en ligne que si une norme juridique le prévoit expressément.

La mise à disposition de données en ligne constitue une forme particulière de communication de données par laquelle le destinataire des données y accède par « procédure d’appel » (« Abrufverfahren »). Une procédure d’appel peut être ouverte ou fermée :

• Elle est ouverte lorsque la base de données appelée est librement accessible à tout un chacun au moyen d’un simple URL (« Uniform Resource Locator » ; en français : « localisateur uniforme de ressource » ou plus, simplement, une adresse Internet). Par exemple, la Banque de données de la législation fribourgeoise (BDLF) est librement accessible à toute personne. Il suffit pour y accéder d’introduire l’URL : https://bdlf.fr.ch/app/fr/systematic/texts_of_law dans la barre d’adresse de n’importe quel navigateur web ;
• Elle est fermée lorsque la base de données appelée est accessible uniquement à un nombre délimité d’utilisateurs spécialement autorisés, généralement à travers une API (« Application Programming Interface » ; en français : « interface de programmation applicative » ou « interface de programmation d’application »). Une API peut être résumée à une solution informatique qui permet à des applications de communiquer entre elles et de s’échanger mutuellement des services ou des données. Par exemple, l’interface UPIViewer est une application web de la Confédération permettant à un utilisateur autorisé de consulter la base de données UPI qui contient notamment le numéro AVS des assurés¹.

Dans tous les cas, une procédure d’appel correspond à un mode d’accès automatisé à une base de données : en vertu d’une autorisation générale ou spécifique de l’organe détenteur des données, le bénéficiaire de l’autorisation décide par la suite de son propre chef et sans contrôle préalable du moment et de l’étendue de la communication dans les limites de l’autorisation accordée (Waldmann/Bickel 2011, § 12, n^o 95). Le destinataire n’a donc pas à justifier sa requête d’information et le détenteur n’examine pas la licéité de la communication dans chaque cas d’espèce (principe du libre-service) (Walter 1994, p. 77).

Un tel mode de communication présente à la fois des avantages et des inconvénients :

• D’un côté, il rend l’échange de données plus efficace et moins coûteux en diminuant les tracasseries administratives et en augmentant la rapidité des procédures. À noter aussi que certaines personnes ne comprennent pas pourquoi les transmissions de données personnelles les concernant ne se font pas automatiquement et pourquoi elles sont régulièrement sollicitées par les organes de l’État, qui leur demande de leur transmettre sans cesse les mêmes données (comparaison : Coll 2015, p. 172 s). Un tel mode de communication les libère donc ces tracasseries.
• De l’autre côté, les accès par procédure d’appel ont pour effet qu’il est plus difficile, voire impossible, d’en contrôler concrètement la légitimité, notamment sous l’angle de la finalité et de la proportionnalité. Le détenteur des données perd, en effet, toute maîtrise sur les données qu’il met à disposition, le destinataire étant libre d’accéder aux informations qu’il souhaite sans avoir à motiver sa requête (Ehrensperger 2014, n^o 50). Il s’ensuit, par conséquent, un risque accru d’utilisation abusive des données (notamment par détournement de finalité) et donc d’atteinte aux droits des personnes concernées (Epiney/Schleiss 2011, n^o 18 ; ATF 138 I 331, consid. 6.1, p. 339).

Le législateur a dès lors fixer aux articles 19 al. 3 et 3^bis LPD des exigences particulières pour la mise à disposition de données personnelles en ligne. Ces exigences s’inscrivent dans le cadre d’un compromis entre, d’une part, la volonté d’une administration efficace qui fonctionne avec des moyens modernes et, d’autre part, la nécessité d’une administration transparente tenant compte des droits fondamentaux des personnes concernées (Mangili/Werly 2019 , p. 104). Pourtant, elles n’ont pas été reprises dans le projet de révision de la LPD. Pour le Conseil fédéral, elles seraient ni plus ni moins dépassées à l’ère de la société de l’information (Message concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales du 15 septembre 2017, FF 2017 6565, p. 6698). Le rapport explicatif de l’Office fédéral de la justice (ci-après : OFJ) ayant précédé le Message du Conseil fédéral ajoutait qu’elles seraient, au surplus, contraires au principe de la neutralité technologique (Rapport explicatif concernant l’avant-projet de la loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres loi du 21 décembre 2016, p. 69) .

Ces explications peinent toutefois à convaincre. Loin d’être dépassées, les règles sur l’accès aux données par voie de procédure d’appel semblent au contraire de plus en plus nécessaires à une époque où la mise en place de ce type de moyen de communication ne cesse d’augmenter non seulement à l’intérieur et entre les administrations mais aussi vis-à-vis de l’extérieur avec le développement de bases de données ouvertes (Open Data). Il est vrai qu’il n’appartient pas à la loi sur la protection des données de prévenir ou de limiter les possibilités de développement dans le secteur des technologies de l’information, mais c’est son rôle, en revanche, que d’encadrer les pratiques existantes et nouvelles dans ce domaine, surtout celles dont on sait qu’elles sont porteuses de risques particuliers pour les droits des citoyens et des citoyennes (dans ce sens : Message concernant la loi fédérale sur la protection des données du 23 mars 1988, FF 1988 II 421, p. 426 s).

Quant à l’argument de la neutralité technologique de la loi – qui n’a pas été repris dans le Message du Conseil fédéral – son invocation semble pour le moins hasardeuse. D’abord, parce que le principe de la neutralité technologique n’est pas un principe juridique au sens strict, mais uniquement une recommandation d’ordre légistique. Il n’y a donc aucune raison de l’imposer pour lui-même au législateur. Ensuite, parce qu’il n’empêche nullement de réglementer l’usage de certaines technologies. Au contraire, son but est, d’une part, d’éviter qu’un tel usage ne soit écarté a priori sans qu’il n’existe un motif objectif pour ce faire et, d’autre part, de prévoir les règles spéciales que l’usage d’une technologie spécifique impliquerait lorsque des besoins particuliers ont été identifiés. Or, c’est précisément ce que font les 19 al. 3 et 3^bis LPD s’agissant de la mise à disposition de données personnelles en ligne. À nos yeux, ces dispositions ne contredisent par conséquent en rien le principe de neutralité technologique, mais en constituent au contraire un excellent cas d’application.

La loi fédérale sur la protection des données et la plupart des lois cantonales (cf. Waldmann/Oeschger 2011, § 13, n^o 91 ss) dans ce domaine prévoient actuellement que des données personnelles ne peuvent être rendues accessibles en ligne que si cela est prévu expressément ; une loi au sens formel est nécessaire pour rendre accessibles des données sensibles et des profils de la personnalité. L’exigence ici se rapporte exclusivement au mode de communication entre le détenteur et le destinataire des données sans qu’il soit question ni du but, ni de la nécessité de la communication, ni de tout autre critère.

Le fait que la loi impose l’adoption d’une base légale spécifique pour ce mode de communication signifie qu’il est du ressort du législateur et non de l’administration elle-même de décider si et à quelles conditions une liaison en ligne entre plusieurs unités administratives peut être introduite ou non. La raison d’une pareille exigence est double :

• D’une part, la mise en place d’une liaison en ligne introduit un type d’atteinte continue à l’article 13 al. 2 Cst., dont les effets perdurent aussi longtemps que la liaison est maintenue. Conformément à l’article 36 Cst., une telle atteinte requiert d’être prévue au moyen d’une base légale spéciale (Epiney/Schleiss 2011, n^o 18) ;
• D’autre part, l’introduction de liaisons en ligne entre les administrations a pour conséquence de refaçonner en profondeur l’organisation et le fonctionnement de l’État entraînant un phénomène de décloisonnement des unités administratives et de centralisation de l’information totalement inédit dans l’histoire de l’administration publique. Sans préjuger du bienfondé ou non d’un tel changement, il nous apparaît néanmoins de manière assez claire que celui-ci doit se faire de manière totalement transparente et émaner du corps politique qui, seul, a la légitimité nécessaire pour décider de l’organisation et du fonctionnement de l’État à un tel niveau (cf. art. 164 al. 1 let. g Cst.)².

Les exigences relatives à l’introduction de liaisons en ligne avec procédure d’appel n’ont pas été reprises dans le projet de révision de la LPD. Pour le Conseil fédéral, cette modification n’aurait cependant pas pour conséquence d’affaiblir le niveau de protection des données, puisqu’il s’agit toujours d’une communication qui doit respecter les conditions prévues par la loi (FF 2017 6565, p. 6698). Cet avis nous paraît discutable. D’une part, il est piquant de constater qu’un tel changement ait pu intervenir dans le cadre de la révision totale de la LPD de 2020 alors que le but de la nouvelle loi est précisément de renforcer la transparence des traitements et les possibilités de contrôle des individus sur leurs propres données (FF 2017 6565, p. 6567 et 6595 s). Mais surtout, l’impact d’un tel changement a en réalité des conséquences qui sont loin d’être négligeables car elles bouleversent tout un pan de la législation en matière de protection des données.

D’abord et quoi qu’en dise le Conseil fédéral, un accès en libre-service aux données d’un système d’information où le destinataire des données n’a pas à justifier sa requête et où le détenteur n’est pas tenu d’en examiner la licéité n’est en rien comparable aux autres formes de communication existantes tant sous l’angle du nombre des échanges possibles et du volume des données échangées que des possibilités de contrôle. Il est donc vain de croire que le niveau de protection des droits des personnes concernées restera équivalent, en particulier sous l’angle de la transparence et des possibilités pour les individus d’exercer une forme de contrôle sur les utilisations qui sont faites de leurs propres données.

Mais au-delà de cet aspect, il apparaît que la suppression des règles spéciales relatives à l’établissement de liaisons en ligne ne va pas de soi. Car ces exigences sont profondément ancrées dans le droit suisse de la protection des données dont elles constituent l’un des points névralgiques.

Selon les recommandations en matière de légistique de l’OFJ, une disposition légale réglant l’échange de données personnelles entre autorités doit permettre, en substance, de déterminer l’organe compétent pour communiquer les données, les autorités auxquelles les données peuvent être transmises, les catégories de données visées, la finalité de la communication, ainsi que le mode d’ échange prévu (c’est nous qui mettons en évidence) (Guide de législation 2019, n^o 834 ; également Dubois 2012, p. 389).

S’agissant du mode d’échange prévu, quatre moyens de communication sont envisagés : la communication sur demande et selon la libre appréciation de l’autorité requise, la communication spontanée, la communication obligatoire (d’office ou sur demande) ainsi que la procédure d’appel. Ce dernier moyen représente le mode de communication le plus invasif pour les personnes concernées ; c’est pourquoi il ne doit être retenu « que s’il est indispensable à l’autorité destinataire pour accomplir ses tâches légales. De simples raisons de commodité ne sont pas suffisantes » (Dubois 2012, p. 395). La base légale qui prévoit un accès à des données par procédure d’appel doit en outre présenter une densité normative suffisante : elle doit au moins déterminer quels sont les organes ou les personnes qui disposent d’un accès en ligne, pour quelles finalités les données peuvent être utilisées ainsi que l’étendue de l’accès et les données ou les catégories de données accessibles (Ehrensperger 2014, n^o 52 ; Epiney/Schleiss 2011, n^o 18 ; Walter 1994, p. 78) .

L’OFJ indique que le choix entre l’un ou l’autre de ces modes de communication doit dans chaque cas particulier être conforme au principe de proportionnalité (Guide de législation 2019, n^o 831). « Ainsi, si dans un cas d’espèce, un échange sur demande et selon la libre appréciation de l’autorité suffit à atteindre les buts de coopération entre autorités voulus par la loi, on ne prévoira pas de mode de communication plus large » (Dubois 2012, p. 391).

Sous l’angle légistique, l’OFJ recommande d’utiliser une terminologie précise et homogène pour chaque mode de communication de données qui la distingue des autres modes possibles :

Sous réserve des communications par procédure d’appel pour lesquelles la loi exigeait expressément de mentionner ce mode de communication, ces recommandations de l’OFJ n’avaient cependant aucune valeur contraignante pour le législateur sous l’empire de la LPD de 1992. En pratique, elles ont cependant été largement mises en application non seulement par la Confédération, mais aussi par les cantons qui s’y sont largement référés. Elles ont ainsi contribué à systématiser le droit de la protection des données et à renforcer la transparence des activités de traitement au sein des administrations.

Qu’adviendra-t-il dès lors de ces recommandations sous l’empire de la LPD de 2020 ? Nous entrevoyons quatre scénarios possibles :

• le scénario improbable : à l’avenir, l’ensemble des recommandations de l’OFJ concernant la rédaction des dispositions légales réglant l’échange de données personnelles entre autorités disparaîtront. Un tel scénario paraît impossible à concevoir. Non seulement il conduirait à un abaissement sans précédent du degré de transparence des activités de traitement dans l’administration – ce qui serait en contradiction totale avec le but de même de la révision de la loi – mais il exigerait aussi de modifier la quasi-totalité des bases légales existantes qui autorisent de communiquer des données personnelles.
• le scénario peu probable : à l’avenir, il ne sera plus nécessaire d’indiquer dans la loi lorsqu’une communication se fera au moyen d’une procédure d’appel mais les autres recommandations continueront de s’appliquer. Un tel scénario nous paraît difficilement imaginable. L’introduction d’une procédure d’appel représentant le moyen de communication qui induit l’atteinte la plus grave aux droits des personnes concernées, il n’est pas concevable que ce mode de communication soit le seul à ne pas être indiqué. De plus, si cette solution était adoptée, il faudrait modifier toutes les bases légales existantes qui font référence à une procédure d’appel ou une liaison en ligne. Or il faudra bien utiliser une formule qui distingue ce type de communications des autres. Un silence de la loi serait aussi surprenant que problématique du point de vue du principe de la légalité.
• le scénario probable : à l’avenir, la rédaction des dispositions légales réglant l’échange de données personnelles entre autorités s’inscrira dans un flou juridique dans lequel plusieurs bases légales coexisteront entre elles de manière désordonnée et peu compréhensible. Dans certains cas, elles continueront d’indiquer le mode de communication tandis que dans d’autre pas, sans qu’il ne soit possible de vraiment comprendre les raisons de ces différences. Il s’ensuivra une insécurité juridique aussi bien pour les organes des collectivités publiques que pour les citoyens et les citoyennes.
• le scénario souhaitable : à l’avenir, l’ensemble des recommandations de l’OFJ concernant la rédaction des dispositions légales réglant l’échange de données personnelles entre autorités continueront de s’appliquer de la même manière que sous l’empire de la LPD de 1992. La suppression dans la nouvelle LPD des exigences spéciales concernant la mise en place de liaisons en ligne n’apportera aucun changement par rapport à la pratique actuelle. C’est à notre avis le seul scénario qui soit réellement envisageable non seulement pour les raisons qui viennent d’être évoquées mais aussi parce que tout scénario contraire reviendrait à introduire un nouveau paradigme dans l’élaboration en Suisse des lois de protection des données. Selon ce nouveau paradigme, le moyen par lequel des données personnelles sont échangées entre les organes de l’administration se retrouverait abandonné à la libre appréciation de cette dernière sans que le législateur ne soit plus sollicité sur ces questions. Dans la mesure où l’examen du mode communication représente un des critères de la licéité d’un traitement (principe de proportionnalité) (Epiney 2011, § 9 n^o 27 ; Walter 1994, p. 49. Également : arrêt du TAF A-3908/2008 du 4 août 2009, consid. 3.1.), ce serait tout un pan du droit de la protection des données qui serait enlevé au pouvoir d’examen du législateur. Or un tel changement n’ayant jamais été relevé ni débattu au Parlement, il est douteux qu’il corresponde à la volonté de ce dernier.

Même si cela n’a probablement pas été envisagé au moment de leur adoption, les exigences légales relatives à la création de liaisons en ligne appartiennent aujourd’hui au cœur de la législation suisse en matière de protection des données. À partir d’elles, un ensemble de règles se sont créées sous-tendant l’entier du système actuel d’échange de données entre autorités. Il n’est donc pas possible de procéder à leur abrogation sans repenser le système en profondeur, ce qui n’a pas été fait à ce stade. C’est pourquoi nous soutenons l’opinion que cette abrogation formelle n’aura pas d’effet matériel (scénario souhaitable) ou uniquement pour une période limitée (scénario probable suivi du scénario souhaitable). À l’avenir, l’introduction de liaisons en ligne continuera donc de requérir en pratique l’adoption d’une base légale ad hoc qui distingue ce type de communication des autres formes de communication.

Michael Montavon, MLaw, est juriste au Service de législation de l’État de Fribourg. Il est sur le point de terminer une thèse de doctorat à l’Université de Fribourg sur le sujet de la cyberadministration et de la protection des données. Il a également un certificat en science des données de l’Extension School de l’École polytechnique fédérale de Lausanne.

Les opinions exprimées dans le présent article n’engagent que son auteur. Les adresses Internet ont été vérifiées pour la dernière fois le 17 août 2020.

Auteur-e-s

• Auteur-e (2011) : § X, in : Besler, Eva Maria/Epiney, Astrid/Waldmann, Bernhard (édit), Datenschutzrecht – Grundlagen und öffentliches Recht, Berne.
• Coll, Sami (2015) : Surveiller et récompenser – les cartes de fidélité qui nous gouvernent, Zurich/Genève.
• Dubois, Camille (2012) : Recommandations pour la rédaction de dispositions légales réglant l’échange de données personnelles entre autorités, in : LeGes 23 (2012) 3, p. 389–396.
• Ehrensperger, Jennifer (2014) : art. 19 LPD, in: Maurer-Lambrou, Urs/Blechta, Gabor P. (édit.), Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 3e éd., Bâle.
• Epiney, Astrid/Schleiss, Yvonne (2011) : Ausgewählte Aspekte des Art. 19 Abs. 3 DSG (Abrufverfahren) am Beispiel der geplanten Software zum Case Management Berufsbildung (CM-Online), in : Jusletter 7 novembre 2011.
• Mangili, Fabien/Werly, Stéphane (2019) : Entraide administrative et protection des données personnelles, in : Poltier, Etienne/Favre, Anne-Christine/Martenet, Vincent (édit.), L’entraide administrative – Evolution ou révolution ?, Genève/Zurich/Bâle, p. 103–136.
• Walter, Jean-Philippe (1994) : Le droit public matériel, in : Gillard Nicolas (édit.), La nouvelle loi fédérale sur la protection des données, Lausanne, p. 41–83.

Sources officielles

• Guide de législation – Guide pour l’élaboration de la législation fédérale, Berne 2019.
• Message concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales du 15 septembre 2017, FF 2017 6565.
• Synthèse des résultats de la procédure de consultation sur l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales du 10 août 2017.
• Rapport explicatif concernant l’avant-projet de la loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois du 21 décembre 2016.
• Esquisse d’acte normatif relative à la révision de la loi sur la protection des données – Rapport du groupe d’accompagnement Révision LPD du 29 octobre 2014.
• Rapport sur l’évaluation de la loi fédérale sur la protection des données du 9 décembre 2011, FF 2012 255.
• Message concernant la loi fédérale sur la protection des données du 23 mars 1988, FF 1988 II 421.