Plan d'études

Le module 1 est une introduction générale à la protection des données. Le Professeur Métille y présente d’abord les différentes sources légales, les définitions et les principaux acteurs. Il analyse ensuite les principes fondamentaux qui régissent tout traitement de données, ainsi que les notions d’atteinte et de justification du traitement et/ou de l’atteinte. Le module permet aux étudiant-e-s d’identifier le droit applicable à une situation donnée. Ces dernier-ères pourront également vérifier le respect des principes, et cas échéant argumenter une justification au traitement et/ou à l’atteinte. Ce module constitue également la base introductive pour les autres modules, notamment au niveau de la terminologie.

Lectures recommandées

Bibliographie minimale :

• Loi fédérale sur la protection des données du 25 septembre 2020 (nLPD).
• Règlement général sur la protection des données (RGPD), en particulier les art. 1 à 14.
• Sylvain Métille et Yasmine Arasteh, «Le Règlement général sur la protection des données et les assureurs privés suisses», in Annales SDRCA 2018, pp. 107-138.
• Sylvain Métille, « La (nouvelle) Loi fédérale sur la protection des données du 25 septembre 2020 : des principes, des droits et des obligations», in Epiney/Moser/Rovelli (éd.), Die Revision des Datenschutzgesetzes des Bundes = La révision de la Loi fédérale sur la protection des données, pp. 1-45, Zurich 2022.

Le module 2 présente et décrit en détails les obligations qui reviennent au responsable du traitement des données personnelles. Le but est d’offrir aux étudiant-e-s une vue complète et pratique de ces obligations, afin qu’ils comprennent leurs responsabilités en tant que professionnels en protection des données et informent leur employeur et/ou clients. La vue d’ensemble ainsi donnée dans ce module s’inscrit tant sous l’angle du droit suisse (nouvelle LDP) que du droit européen (RGPD). Par des exemples concrets, des modèles de document et des exercices pratiques, le module permet de maîtriser des obligations parfois difficiles à identifier seul.

Lectures recommandées

• Loi fédérale sur la protection des données (LPD)
• Nouvelle Loi fédérale sur la protection des données du 26 septembre 2020 (nLPD)
• Nouvelle Ordonnance relative à la nLPD (OPDo) 
• Règlement général sur la protection des données (RGPD)

Ce module est structuré de la manière suivante:
0.    Droit d'accès 
1.    Droit de rectification
2.    Droit d'opposition
3.    Droit à la l’effacement (« droit à l'oubli ») 
4.    Droit d'exiger qu'une décision individuelle automatisée soit revue par une personne physique
5.    Droit à la remise et à la transmission des données
6.    Réclamations et recours effectifs

Les learning outcomes sont:
- Connaitre le cadre juridique des droits de la personne et les procédures de recours associées.
- Mettre en oeuvre les prérogatives de la personne consacrées par la législation pertinente;
- Développer un argumentaire permettant d’adapter les comportements aux circonstances.
- Développer une analyse raisonnée sur une étude de cas. 

Lectures recommandées

• Benhamou Yaniv, Mise en œuvre judiciaire du droit d’accès LPD – aspects procéduraux choisis, in Métille Sylvain (éd.) avec la collab. de di Tria Livio et Bastian Enzo, Le droit d’accès, Berne 2021, pp 77-106  (https://serval.unil.ch/resource/serval:BIB_0CB8F8D14FDA.P001/REF)
• Manuel de droit européen en matière de protection des données (Agence des droits fondamentaux de l’Union européenne et Conseil de l’Europe, 2018), pp 227-278 (https://fra.europa.eu/fr/publication/2019/manuel-de-droit-europeen-en-matiere-de-protection-des-donnees-edition-2018 )
• Rouiller Félise/Epiney Astrid, Le droit d’accès à ses données personnelles, in Métille Sylvain (éd.) avec la collab. de di Tria Livio et Bastian Enzo, Le droit d’accès, Berne 2021, pp 1-28 (https://serval.unil.ch/resource/serval:BIB_0CB8F8D14FDA.P001/REF)

Le module 4 illustre les différentes autorités de contrôle de protection des données en Suisse et en Europe, sous l’angle du droit suisse et du droit européen (RGPD). Madame Lennman, en tant que déléguée aux affaires internationales et à la Francophonie du Préposé fédéral à la protection des données et à la transparence (PFPDT) transmet aux étudiants son expérience en tant que collaboratrice de l’autorité de contrôle fédérale et les diverses missions associées à une telle autorité. Le module introduit également les pouvoirs des autorités de contrôle ainsi que les mesures et sanctions qu’elles peuvent déployer. L’objectif du module est de permettre aux étudiant-e-s de connaître les différentes autorités de protection des données, la manière dont elles collaborent entre elles ainsi que d’avoir une vue d’ensemble des différentes sanctions et procédures applicables. 

Lectures recommandées

Bibliographie minimale

• Loi fédérale sur la protection des données (LPD) et nouvelle loi fédérale sur la protection des données (nLPD)
• Règlement général sur la protection des données (RGPD)
• Convention pour la protection des données à caractère personnel (STE N°108)

Le module 5 propose une approche pratique de la mise en œuvre des mesures de sécurité organisationnelles et techniques au sein d’une organisation.  Les éléments de gouvernance de l’information sont mis en perspective, notamment en matière de gestion des risques cyber ainsi que des exigences légales en matière de conformité. Au travers d’exemples concrets, les étudiants auront la possibilité de se confronter au rôle de DPO.

Lectures recommandées

Bibliographie minimale : 

• Support de cours GRC & Sécurité IT Stéphane Droxler
• Lignes directrices concernant les délégués à la protection des données (DPD), WP243.rev.01: ec.europa.eu/newsroom/article29/news-overview.cfm
• Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, WP 250rev.01: ec.europa.eu/newsroom/article29/itemdetail.cfm

Bibliographie additionnelle : 

• Board Principles for Cyber Resilience, World Economic Forum: www.weforum.org/projects/partnering-for-cyber-resilience
• Normes minimales pour les TIC : www.bwl.admin.ch/bwl/fr/home/themen/ikt/ikt_minimalstandard.html
• Les cadres de références https://www.cnil.fr/fr/les-cadres-de-reference

Ce module est structuré de la manière suivante:
1.    Rappel des sources et distinction public - privé
2.    Les principes généraux 
3.    Le principe de légalité (exigence de la base légale)
4.    La communication de données personnelles
5.    Le registre des activités de traitement
6.    Le secret de fonction
7.    Le principe de transparence (LTrans)
8.    L’archivage (LAr)

Les learning outcomes sont:

• Comprendre les principes et les règles applicables au secteur public, notamment l’exigence de la base légale et la communication de données.
• Comprendre les finalités et le fonctionnement du registre des activités de traitement (déclaration, exceptions à l’obligation de déclarer, etc.). 
• Connaître les aspects touchant spécifiquement les administrations publiques, soit le secret de fonction, le principe de transparence et l’archivage.
• Sélectionner le cadre juridique applicable à une situation donnée (notamment en fonction des acteurs et de la tâche dévolue).  
• Différencier les principes applicables au secteur public de ceux applicables au secteur privé.
• Vérifier si les principes et les règles applicables sont respectés.
• Identifier concrètement les problématiques auxquelles le secteur public pourrait être confronté, notamment en lien avec l’utilisation des technologies de l’information. 
• Déterminer quel est le cadre légal applicable et déterminer à qui s’adresser en cas de doute.
• Analyser une situation juridique et se poser des questions pertinentes.
• Construire une argumentation respectant un traitement de données conforme aux principes de protection des données.

Lectures recommandées

Bibliographie minimale :

• Loi fédérale du 25 septembre 2020 sur la protection des données (LPD)
• Ordonnance sur la protection des données du 31 août 2022 (OPDo)