Qu'est-ce que le « traitement » de données personnelles ?
Ce terme vise toute opération relative à des données personnelles, en particulier chacune des diverses phases du traitement (collecte, communication, exploitation, modification, conservation, destruction, archivage). Le champ d'application de la loi recouvre non seulement les traitements automatisés, mais aussi les traitements manuels, ainsi que les formes mixtes (par ex. dossier, banques de données, art. 3 let. d LPrD).
En quoi consiste la « collecte » de données personnelles ?
La collecte de données est toute forme d’obtention de données, plus particulièrement l’obtention auprès d’un organe public (ce dernier effectuant, de son point de vue, une communication de données).
Comment définit-on la « communication » de données personnelles ?
La communication consiste à rendre des données personnelles accessibles à des tiers, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant. Cette notion recouvre aussi bien la communication dans un cas d’espèce, que la communication régulière, la transmission de renseignements, que l’autorisation de consulter ou encore la publication.
L'opportunité de définir la communication (art. 3 let. e LPrD), qui est une forme de traitement, repose sur le fait que celle-ci comporte des risques particuliers, ce qui explique les dispositions détaillées que la loi comporte à ce sujet [(art. 10-12, art. 15 al. 2, art. 19 al. 2 let. f, art. 26. al. 2 let. a, ainsi que les dispositions de la loi sur le contrôle des habitants (LCH) et de la loi sur la police cantonale (LPol)].
Quelle est la différence entre la communication « occasionnelle » et la communication « systématique » ?
La communication occasionnelle est faite dans un cas d'espèce, c'est-à-dire dans une situation concrète. Ex. : la demande d'une femme concernant l'adresse de son ex-époux.
La communication systématique comprend un ensemble de personnes définies selon un critère abstrait utilisé une seule fois ou de façon répétée. Ex. : la liste des citoyens de la commune. Elle s'oppose à la communication occasionnelle (ou dans des cas d'espèce).
Qu'est-ce que la « procédure d'appel » ?
Cette notion désigne le mode de communication automatisé des données par lequel les destinataires, en vertu d’une autorisation du responsable du fichier, décident de leur propre chef, sans contrôle préalable, du moment et de l’étendue de la communication (art. 2 let. c du Règlement sur la sécurité des données personnelles (RSD)). Cette procédure est mentionnée à l’art. 10 al. 2 LPrD; c'est un mode d’accès automatisé par lequel le destinataire des données, en vertu d’une autorisation du responsable du fichier, décide de son propre chef, sans contrôle préalable, du moment et de l’étendue de la communication. C’est en fait une communication régulière qui prend la forme d’une autorisation générale d’accéder aux données (on line).
Dans un tel cas, c’est l’impossibilité pour l’organe communiquant de vérifier de cas en cas si les principes généraux sont respectés qui fonde la nécessité d’une base légale autorisant expressément une telle procédure.
Concernant l’élaboration d’un règlement d’utilisation au sujet de la communication de données par procédure d’appel, il est possible de se référer aux feuilles informatives n°7 et 7bis.
Quand parle-t-on de « flux transfontière » ?
Le flux transfontière désigne la communication des données à l’étranger. Selon le Préposé fédéral à la protection des données, il y a une « communication de données à l’étranger quand des données personnelles quittent le territoire suisse car elles sont communiquées par le maître du fichier dans lequel elles se trouvent ou parce qu’elles sont consultées par leur destinataire à l’étranger au moyen d’une procédure d’appel ». Notons que la publication de données sur Internet à des fins d’information du public ne doit pas s’assimiler à une communication de données à l’étranger, même si les données sont accessibles dans d’autres pays. Pour connaître la liste des Etats assurant un niveau de protection des données adéquat, vous pouvez vous référer aux documents du Préposé fédéral à la protection des données et à la transparence.
Voici la disposition topique de notre loi cantonale :
Art. 12a Communication transfrontière
1 Des données personnelles ne peuvent être communiquées à l’étranger que dans les Etats qui garantissent un niveau de protection adéquat.
2 Des données personnelles peuvent toutefois être communiquées dans les Etats n’offrant pas une telle garantie, lorsque l’une des conditions suivantes est réalisée:
a) des garanties suffisantes, notamment contractuelles, permettent d’assurer un niveau de protection adéquat à l’étranger ;
b) la personne concernée a, en l’espèce, donné son consentement explicite ;
c) le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat, et les données traitées concernent le cocontractant ou la cocontractante ;
d) la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice ;
e) la communication est, en l’espèce, nécessaire à la protection de la vie ou de l’intégrité corporelle de la personne concernée.
3 L’organe public informe le ou la préposé-e cantonal-e à la protection des données des garanties prises en vertu de l’alinéa 2 let. a avant la communication des données à l’étranger.
Concernant la procédure à suivre par l’organe public lors d’une demande de communication transfrontière de données, il est possible de se référer à la feuille informative n°10.
Qu'en est-il du traitement de données à des fins de recherche ou de planification ?
Les données personnelles recueillies en vue d’un traitement à des fins ne se rapportant pas à des personnes (par ex. recherche, statistiques, planification...) peuvent être obtenue auprès de l’organe public qui les détient (art.14 ss LPrD). Si le but du traitement le permet, les données communiquées doivent être dans la mesure du possible anonymisées ou utilisées sans référence directe aux personnes concernées. Une fois publiés, les résultats du traitement ne doivent pas permettre l’identification des personnes concernées. Les personnes désirant obtenir des données à des fins de recherche peuvent se référer à la feuille informative n°1bis et utiliser notre formulaire et notre attestation relatifs aux projets de recherche.