The General Data Protection Regulation and its impact in Switzerland
Le Règlement général sur la protection des données et son impact en Suisse
Résumé
The thesis raises the question of the place that can or should be occupied by ex post facto control through civil action in data protection law.
In Europe, the General Data Protection Regulation is a clear attempt to encourage civil action, either individually or collectively, in order to make data controllers and processors liable, to punish wrongful or negligent behaviour, and to guarantee compensation for damages suffered by data subjects in the event of a breach of the Regulation's provisions. Data protection law is inherently a right with economic implications, guided by economic considerations. The Regulation is an illustration of this: it waives the mechanism of prior authorisation for any processing of personal data, in order to promote the free flow of personal data within the European Union to support the creation of a single data market and facilitate technological innovation.It establishes an ex-post legal control based on general principles and a standard of "due care" for data controllers.It offers guarantees to users whose data are processed by recognising the right to bring class action lawsuits, which is a major innovation.
The thesis focuses on the generalisation of a posteriori control by the Regulation, with the transformation of the personal data protection authorities into a supervisory authority a posteriori. This external and visible change corresponds to a profound transformation of the nature of personal data protection law, as established as positive European law by the Regulation: this positive European law of personal data protection becomes a law of an essentially economic nature, like antitrust law, which it now complements. Indeed, this law approaches the circulation of personal data in the same spirit as competition law approaches the free circulation of persons, capital, goods, etc., but whereas antitrust law focuses on the high cost (in terms of price of services or goods) due to certain questionable practices (cartel practices, for example), data protection law focuses on the high cost (in terms of invasion of privacy) of certain practices of data controllers (all those that do not comply with the Regulation).
The study proposes to resume the debate on data protection in the technological context of the digital age to assess the impact of the General Data Protection Regulation in Europe and Switzerland taking into account innovations like Artificial Intelligence, Machine Learning, Robots, Blockchain, Internet of Things, BMI, Cloud and Edge Computing.
Cette thèse soulève la question de la place que peut ou doit occuper le contrôle a posteriori par le biais de l’action civile en droit de la protection des données.
En Europe, le Règlement général sur la protection des données marque une nette volonté d’encourager l’action civile, à titre individuel ou collectif, afin de responsabiliser les responsables du traitement et les sous-traitants, de sanctionner les comportements fautifs ou négligents et de garantir la réparation des dommages subis par les personnes concernées, en cas de violation des dispositions du Règlement. Le droit de la protection des données est de manière inhérente un droit á portée économique, guidé par des considérations économiques. Le Règlement en est une illustration : il renonce au mécanisme d’autorisation préalable à tout traitement de données personnelles, pour favoriser la libre circulation des données personnelles au sein de l’Union européenne afin de soutenir la création d’un marché unique des données et faciliter l’innovation technologique.
Il instaure un contrôle de légalité a posteriori qui repose sur des principes généraux et un standard of « due care » pour les responsables du traitement. Il offre des garanties aux utilisateurs dont les données sont traitées en reconnaissant le droit de former des actions collectives en responsabilité (« class action »), ce qui constitue une innovation majeure.
Cette thèse s’intéresse à la généralisation du contrôle a posteriori par le Règlement, avec transformation des autorités de protection des données personnelles en autorité de contrôle a posteriori. Ce changement externe et visible correspond à une transformation profonde de la nature du droit de la protection des données personnelles, tel qu’il est mis en place comme droit positif européen par le Règlement : ce droit positif européen de la protection des données personnelles devient un droit de nature essentiellement économique, comme le droit antitrust, qu’il complète désormais.
Ce droit approche en effet la circulation des données personnelles dans le même esprit que le droit de la concurrence approche la libre circulation des personnes, des capitaux, des marchandises, etc., mais alors que le droit antitrust se concentre sur le coût trop élevé (en terme de prix des services ou des marchandises) en raison de certaines pratiques critiquables (pratiques cartellaires, par exemple), le droit de la protection des données se concentre sur le coût trop élevé (en terme d’atteinte à la sphère privée) de certaines pratiques des responsables de traitement (toutes celles qui ne sont pas conformes au Règlement).
Cette étude propose de reprendre le débat sur la protection des données dans le contexte technologique de l’ère digitale pour évaluer l’impact du Règlement général sur la protection des données en Europe et en Suisse, en tenant compte des innovations comme l'Intelligence artificielle, l'apprentissage machine, la robotique, la technologie Blockchain, l'internet des objets, les interfaces cerveau-machine, le Cloud et Edge Computing.
Origine : Fichiers produits par l'(les) auteur(s)