Généralités - protection des données

Généralités

Qu'est-ce que des données « personnelles » ?

Les données personnelles sont les informations qui se rapportent à une personne identifiée ou identifiable (c’est-à-dire dont l’identification est possible sans recours à des moyens disproportionnés) sous forme de mots, images, signes. Il doit s’agir de personnes déterminées ce qui exclura en principe les statistiques dont le principe est de travailler avec des données « anonymisées » (ne permettant pas d'identifier les personnes concernées). La LPrD (art. 3 let. a LPrD) part de l'idée que toutes données personnelles sont dignes de protection. Ce sont en premier lieu le but et le contexte dans lesquels une information est utilisée qui déterminent le besoin de protection. Encore faut-il que les données se réfèrent à une personne qui soit au moins identifiable.

Quand parle-t-on de données « sensibles » ?

Le besoin de protection d'une donnée dépend en premier lieu du contexte et du but dans lesquels cette donnée est utilisée. Il y a cependant des données, énumérées de façon exhaustive à l'art. 3 let. c LPrD, qui peuvent être considérées comme sensibles par nature. Ce sont des informations qui ont une importante répercussion sur la personnalité de la personne concernée, qui ont trait à des caractéristiques essentielles, qui concernent le domaine personnel secret ou privé ou qui affectent la réputation ou le crédit d’une personne (opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime ou l’appartenance à une race, des mesures d’aide sociale, des poursuites ou sanctions pénales ou administratives).

Quelles sont les exigences à respecter en matière de données sensibles ?

 

Ces données exigent dans tous les cas des mesures de protection particulières :

 

> un devoir de diligence accru (art. 8 LPrD),

> une justification de la nécessité de les traiter (art. 19 al. 2 in fine LPrD),

> une obligation générale de déclarer les fichiers contenant de telles données (art. 20 al. 1 LPrD).

Qu'est-ce qu'un « fichier » ?

Cette notion désigne tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée et qui fait l’objet d’un traitement manuel ou automatisé (art. 3 let. f LPrD). Cela recouvre aussi bien le fichier proprement dit que les dossiers auxquels ce fichier permet d'accéder. Deux instruments y sont rattachés : d'une part, la déclaration des fichiers et le registre des fichiers (art. 19 ss LPrD) et, d'autre part, le droit d'accès (art. 23 ss LPrD). Un fichier peut être manuel (cartothèques, registres, listes, catalogues...) ou automatisé (ensemble structuré d’informations conservé sur système informatique ou support magnétique).

Qu'est- ce que le « registre des fichiers » ?

Le responsable du fichier qui entend ouvrir un fichier doit le déclarer à l’autorité de surveillance, selon les art. 19 ss LPrD. L’autorité de surveillance tient le registre des fichiers (www.fr.ch/refi) qui contient l’ensemble des déclarations de fichiers. Le registre des fichiers et les déclarations de fichiers sont des outils importants pour les différents partenaires de la protection des données. D'abord, ils obligent les organes publics à examiner ce qui existe chez eux, le bien-fondé des récoltes et des communications, les questions en relation avec le stockage, la conservation, la sécurité des données personnelles et leur permettent d'avoir une vue d'ensemble sur leurs fichiers. Ensuite, ils donnent aux particuliers la possibilité de prendre connaissance de l'existence et des caractéristiques des fichiers tenus par chaque collectivité, et permettent ainsi à tout individu d'exercer son droit d'accès. Enfin, ils fournissent à l'autorité de surveillance des informations pour ses tâches légales de conseils, de contrôle et de surveillance.

Qui est « participant » au fichier ?

On comprend sous ce terme l’organe public qui, sans être responsable du fichier, est en droit d’introduire des données dans le fichier ou d’y procéder à des mutations.

A la différence d'un destinataire des données, qui reçoit une simple communication et n'a donc pas la possibilité de traiter activement les données dans le fichier d'origine, le participant (art. 3 let. h LPrD) est en droit d'agir directement sur tout ou partie du contenu du fichier, sans toutefois avoir le statut de responsable du fichier.

Qu'entend-on par « personne concernée » ?

On entend par personne concernée la personne physique ou morale au sujet de laquelle des données sont traitées.

Qui est le « responsable du fichier » ?

Ce terme désigne l’organe public qui décide du but et du contenu du fichier.

Le responsable du fichier (art. 3 let. g LPrD) joue un rôle essentiel en ce qui concerne la déclaration du fichier (art. 19 al. 1 et 3 LPrD) et l'octroi du droit d'accès (art. 23 et 25 LPrD). Il doit être distingué de l'organe qui, traitant des données à n'importe quel niveau hiérarchique, est responsable du respect des dispositions de la protection des données pour les traitements qu'il effectue (art. 17 al. 1 LPrD); les 2 notions peuvent coïncider, elles sont néanmoins différentes.