En principe oui, lors de la remise du règlement de la CP. La clarification que proposait encore le Conseil fédéral, selon laquelle un consentement était absolument nécessaire, a été supprimée par le Parlement.
Ainsi, dans la nouvelle loi sur la protection des données, «aucune autre norme ne s’applique au consentement […], comme c’était le cas auparavant et comme c’est par ailleurs le cas en droit suisse en ce qui concerne les déclarations de volonté.» Conformément à l’art. 6 al. 6 nLPD1, aucun consentement n’est en principe requis; l’art. 6 al. 7 nLPD demande toutefois le consentement exprès pour:
a) le traitement de données personnelles sensibles;
b) un profilage à risque élevé effectué par une personne privée; ou
c) un profilage établi par un organe fédéral (art. 6 al. 7 nLDP).
Les données particulièrement sensibles au sens de la nLPD sont les suivantes:
données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales;
données sur la santé, la sphère intime ou l’origine raciale ou ethnique;
données génétiques;
données biométriques identifiant une personne physique de manière univoque;
données sur des poursuites ou sanctions pénales et administratives;
données sur des mesures d’aide sociale (art. 5 let. c nLPD).
La LPD précise dans quels cas un consentement est requis, resp. sert de motif justificatif dans les articles suivants: art. 17 al. 1 let. a nLPD (exportation de données); art. 21 al. 3 let. b nLPD (décision individuelle automatisée); art. 25 al. 3 nLPD (droit d’informer relatif aux données médicales); art. 31 al. 1 nLPD (motifs justificatifs); art. 34 al. 4 let. b nLPD (traitement sans base légale suffisante de la part des organes fédéraux); enfin, l’art. 36 al. 2 let. b nLPD (communication de données personnelles par l’organe fédéral).
Voir David Rosenthal, «Controller oder Processor: Die datenschutzrechtliche Gretchenfrage», Jusletter du 17 juin 2019, ch. 30s. (version française 16 novembre 2020)