La LIPDA s’applique à toutes les autorités selon l’art. 2 al. 1 LIPDA. L’art. 3 al. 1 LIPDA définit ce qu’est une autorité.

La LIPDA s’applique dans le cadre des rapports entres des autorités, ou entre une ou des autorité(s) et des particuliers.

Si l’on se trouve dans un cas de de rapports entres des autorités, ou entre une ou des autorités et un ou des particuliers, la compétence du PCPDT est établie, et ce dernier appliquera la LIPDA.

A noter que, chaque canton ou groupement de cantons dispose d’un Préposé, qui appliquera sa propre loi cantonale, respectivement une convention intercantonale (cela est notamment le cas pour les cantons du Jura et de Neuchâtel).

En revanche, si la question à résoudre concerne des rapports entre personnes privées uniquement, ou entre privés et certains organes de l’administration fédérale, le Préposé fédéral à la protection des données et à la transparence (PFPDT) est compétent, et applique, quant à lui, la Loi fédérale sur la protection des données (LPD). Dans ce cas de figure, le Préposé d’un canton, respectivement le Préposé valaisan, n’est pas compétent pour traiter la question ou le litige.

Les entités suivantes sont considérées comme des autorités au sens de la LIPDA (art. 3 al. 1 LIPDA):

• les pouvoirs législatifs, exécutifs et judiciaires cantonaux, communaux et bourgeoisiaux, leurs organes et administrations, ainsi que les commissions qui en dépendent ;

Exemples : Grand Conseil, Conseil d’Etat, administration cantonale, conseil communal, conseil général, administration communale etc.

• les collectivités ou établissements de droit public cantonaux et communaux, leurs organes et administrations, ainsi que les commissions qui en dépendent ;

Exemples : hôpitaux de droit public, hautes écoles spécialisées (HES), etc.

• les personnes morales ou les autres organismes de droit privé dans lesquels une collectivité détient une participation majoritaire ou exerce une influence prépondérante ;

Exemples : un fournisseur d’énergie ou un centre médico-social (CMS) en main communale, etc.

• les personnes physiques ou morales et organismes chargés de remplir des tâches de droit public cantonal ou communal, dans les limites de l’accomplissement des dites tâches ;

Exemples : une association privée délégataire d’une tâche publique dans le domaine de la santé, un office du tourisme, etc.

• les groupements d’autorités

Exemples : Les polices intercommunales, les services de voirie intercommunaux.

Il convient de préciser que les autorités fédérales ainsi que les autorités des autres cantons ne sont pas considérées comme des autorités au sens de la LIPDA.

Un document doit être qualifié de « document officiel » au sens de la LIPDA s’il remplit les conditions suivantes (art. 3 al. 2 LIPDA) :

• Les informations en question sont détenues par une autorité.
• Ces informations concernent l’accomplissement d’une tâche publique.
• Ces dernières, respectivement le document ou support dans lequel elles sont contenues ont atteint leur stade définitif d’élaboration et ne sont plus en conception, en projet ou en cours de rédaction.
• Il ne s’agit pas d’un document destiné à l’usage personnel ou qui fait l’objet d’une commercialisation.
• Le document en question n’est pas soustrait au droit de consultation du dossier dans une procédure non contentieuse ou contentieuse.

Il est important de préciser que le support sur lequel se trouve l’information n’est pas déterminant lorsqu’il s’agit de déterminer si un document remplit la définition de « document officiel ».

Par conséquent, différents types de documents peuvent revêtir la qualité de document officiel, notamment, des dossiers, des messages, des rapports, des rapports d’audits, des rapports d’études, des procès-verbaux approuvés, des statistiques, des registres, des correspondances, des directives, des préavis ou des décisions.

A teneur de l’art. 13 al. 2 du Règlement d'exécution de la loi sur l'information du public, la protection des données et l'archivage (RELIPDA), un document est destiné à l'usage personnel lorsqu'il concerne l'accomplissement d'une tâche publique mais est utilisé exclusivement par son auteur ou par un cercle restreint de personnes comme moyen auxiliaire (notes, rapports, études, expertises, etc.).

Selon le guide du 7 août 2013 intitulé « Mise en œuvre de la transparence dans l'administration fédérale : questions fréquemment posées », publié conjointement par l'Office fédéral de la justice et le Prépose fédéral à la protection des données et à la transparence, représentent des documents destinés à l'usage personnel les documents personnels qui se trouvent certes à la place de travail, mais qui ne présentent pas de lien avec les tâches du service (p. ex. des courriers électroniques personnels, des tableaux ou des livres). Tombent également sous cette notion des notes, projets etc. qui servent uniquement à l'usage personnel ou à l'usage au sein d'un cercle de personnes très restreint ou lorsqu'ils sont transmis entre un collaborateur et son supérieur (p. ex. une équipe de projet). En général, des copies de dossiers pourvues d'annotations et de notes rédigées par la personne responsable de son traitement tombent également sous cette notion.

Les notes manuscrites peuvent toutefois être considérées comme un document officiel, selon les circonstances. Il en va de même, de manière générale, des notes personnelles. Si ces notes sont utilisées par d'autres personnes et qu'elles servent à la rédaction d'un document officiel, elles doivent alors être considérées comme un document officiel. Le titre du document n'est pas décisif, mais le contenu et/ou le but du document : ainsi des notes personnelles tombent sous le coup de la transparence dès qu'elles ont été remises à des tiers pour avis ou si elles ont servi de base à une décision.

Un document faisant l’objet d’une commercialisation est un document qui n’est pas accessible gratuitement par l'intermédiaire des règles sur la transparence. Un tel document sera par conséquent accessible moyennant le paiement du prix ou de la taxe prévue (p.ex. : certains plans en matière d’aménagement du territoire, autorisation de parcage payante, etc.).

Les documents soustraits au droit de consultation du dossier dans une procédure non contentieuse ou contentieuse au sens de l’art. 3 al. 2 LIPDA ne sont pas considérés comme des documents officiels au sens de la LIPDA et ne sont donc pas accessibles selon les règles relatives au principe de transparence. Il s’agit par exemple de la correspondance entre l’avocat et son client.

Dans ce contexte, il y a lieu de mentionner l’art. 12 al. 2 LIPDA qui prévoit que l'accès aux documents officiels ayant trait aux procédures judiciaires, administratives et d'arbitrage pendantes est régi par les lois spéciales et les codes de procédure. Contrairement aux documents soustraits au droit de consultation du dossier visés par l’art. 3 al. 2 LIPDA, il s’agit ici de documents officiels. La particularité réside dans le fait que le droit d’accès n’est pas régi par la LIPDA en raison de la procédure pendante mais par la loi spéciale ou le code de procédure applicable à la procédure concernée (Code de procédure civile, Code de procédure pénale, …). Une fois que la procédure est close, le droit d’accès à ses documents se fait en principe à nouveau selon les règles prévues par la LIPDA.

Les données personnelles (art. 3 al. 3 LIPDA) sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable, c’est-à-dire dont l’identification est possible sans recours à des moyens disproportionnés, sous forme notamment de mots, d’images ou de signes. Il doit s’agir de personnes déterminées ce qui exclura en principe les statistiques dont le principe est de travailler avec des données « anonymisées » (ne permettant pas d'identifier les personnes concernées).

Les informations qui se rapportent à des personnes morales, par exemple à une entreprise ayant la forme juridique d'une société anonyme, ne sont plus concernées par la LIPDA révisée. Leur protection reste toutefois garantie par d'autres dispositions de l'ordre juridique, par exemple par le Code civil suisse et la Constitution fédérale.

On entend par « traitement » toute opération relative à des données personnelles, effectuée à l'aide de procédés manuels ou automatisés, notamment la collecte et l'enregistrement des données, l'application à ces données d'opérations logiques ou arithmétiques, leur utilisation, modification, fusion, chaînage, communication, diffusion et destruction (art. 3 al. 4 LIPDA).

Cette définition est très large et vise véritablement toute action en relation avec les données personnelles, même passive (simple consultation, conservation ou monitoring), peu importe qu’une personne humaine prenne connaissance ou non des données, car le traitement peut être entièrement automatisé.

Les données personnelles sensibles concernent les opinions ou activités religieuses, idéologiques, philosophiques, politiques ou syndicales ; les données personnelles concernant la santé, la sphère intime, la vie sexuelle, l’origine raciale ou ethnique ; les données personnelles concernant des mesures d’aide sociale, concernant des poursuites ou sanctions pénales et administratives. Pour finir, les données génétiques et les données biométriques identifiant un individu de façon unique sont également des données personnelles sensibles. Cette liste est exhaustive (art. 3 al. 7 LIPDA).

Il convient de distinguer les données personnelles des données dites « sensibles », dont la nature appelle une protection accrue et des règles plus strictes concernant leur traitement.

Par ailleurs, les données concernant les opinions ou activités religieuses, idéologiques, politiques ou syndicales relèvent des croyances et convictions intimes des personnes. Une information relative à la simple appartenance passive à un parti politique ou une organisation religieuse constitue déjà une donnée sensible.

Les données concernant des mesures d’aide sociale visent l’aide sociale individuelle apportée par la collectivité aux personnes qui se trouvent dans le besoin (par exemple les prestations prévues par la loi sur l’intégration et l’aide sociale [LIAS]). En revanche, ne constituent pas des mesures d’aide sociale les mesures liées aux assurances sociales (prestations AI par exemple). Toutefois, si ces mesures comportent des données médicales, celles-ci seront considérées comme des données personnelles sensibles.

Finalement, les données relatives aux poursuites ou sanctions pénales concernent tant la justice pénale ordinaire (y compris des mineurs) que militaire, ainsi que les données relatives à l’exécution des peines. Les poursuites du droit de l’exécution forcée ne sont pas visées par cette disposition.

Le droit de la protection des données connaît quelques principes généraux qui doivent toujours dicter le comportement d’une autorité face à un traitement de données personnelles. Pour chaque traitement de données, l’autorité devra avoir en tête ces principes, qui lui permettront d’appliquer correctement la loi, même dans les cas où la loi n’apporterait pas une réponse univoque à la question ou une solution à un litige en la matière.

Le principe de la légalité (art. 17 LIPDA) prévoit que le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale.

Selon le principe de la bonne foi (art. 18 al. 1 lit. a LIPDA), les données personnelles doivent avoir été obtenues de manière loyale et reconnaissable pour les personnes concernées.

Le principe de la proportionnalité (art. 18 al. 1 lit. c, d et e LIPDA) prévoit que seules les données adéquates, pertinentes et non excessives pour atteindre le but déterminé peuvent faire l’objet d’un traitement qui ne dois pas excéder la durée nécessaire pour atteindre le but. Les données personnelles doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard de la finalité du traitement.

Le principe de finalité (art. 18 al. 1 lit. b LIPDA) exige que tout traitement doit viser un but qui est prévu par la loi ou exigé pour l’accomplissement d’une tâche légale. L’autorité ne peut donc pas collecter des données pour un hypothétique besoin futur, ni ratisser plus large que nécessaire. Elle ne peut pas non plus utiliser des données à une autre fin que le but initial, tel qu’il a été communiqué.

Le principe d’exactitude (art. 18 al. 1 lit. c LIPDA) exige que les données faisant l’objet d’un traitement soient exactes et corrigées si tel n’est pas le cas.

Le principe de sécurité (art. 21 LIPDA) impose que des mesures techniques (sécurité informatique, mots de passe, pare-feu, etc.) et organisationnelles (procédures d’identification et accès, par exemple) doivent être prises pour protéger les données contre les risques de falsification, de destruction, de vol, de perte, de copie et d’autres traitements illicites. L’autorité doit assurer la sécurité de l’information, notamment sa confidentialité, sa disponibilité et son intégrité.

Enfin, la LIPDA révisée a introduit deux nouveaux principes. Selon le principe de la protection des données dès la conception ou « privacy by design » (art. 18 al. 2 LIPDA), le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles respectant les prescriptions de protection des données personnelles dès la conception du traitement. En d’autres termes, pour être conforme à la protection des données, un traitement doit s’effectuer dans un système remplissant déjà les exigences légales, de manière à rendre impossible une violation de la protection des données ou d’en réduire la probabilité. Exemple : Une application est programmée afin que les données personnelles soient effacées régulièrement ou anonymisées systématiquement.

Le principe de la protection des données par défaut aussi appelé « privacy by default » (art. 18 al. 3 LIPDA) prévoit quant à lui que le responsable du traitement est tenu, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement.

Non, le traitement n'étant pas fondé sur une base légale, il n’est pas autorisé.

Les avis de taxation contiennent des données personnelles, et leur consultation constitue un traitement de données personnelles. Selon le principe de la légalité (art. 17 LIPDA), le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale.

Les modalités de subventionnement des primes d’assurance-maladie sont déterminées par la loi cantonale sur l’assurance-maladie (LcAM ; RS 832.1) et par l’ordonnance cantonale concernant l’assurance-maladie obligatoire et les réductions individuelles des primes (OcRIP, RS 832.105). En particulier, la tâche de déterminer si une personne a droit à une réduction des primes revient à la Caisse de compensation du canton du Valais. Celle-ci détermine automatiquement, sur la base des données fiscales transmises par le Service des contributions, le cercle des bénéficiaires qui sont contactés personnellement. Cela n’est donc pas le rôle de la commune d’informer les particuliers sur leur éventuel droit à un subside.

Non, selon le principe de la légalité (art. 17 LIPDA), le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale.

L’art. 16 al. 3 let. a de la loi sur les droits politiques (LcDP ; RS 160.1) prévoit que le registre électoral contient les noms, prénoms, adresse, origine et date de naissance de chaque citoyen. Même si ces éléments ne suffisent pas à identifier clairement la personne concernée, la commune ne peut pas traiter d’autres données sans base légale.

Oui, mais une base légale prévoyant les modalités du traitement est nécessaire. S’il s’agit de données sensibles, une base légale au sens formel est nécessaire.

La gestion des déchets urbains, ainsi que le financement de leur élimination reviennent aux communes (art. 39 al. 1 et 3 de la loi sur la protection de l’environnement, LcPE, RS 814.1). Celles-ci doivent respecter le principe de causalité (art. 10 LcPE). Elles peuvent néanmoins décider, pour des raisons sociales, de réduire les taxes pour certaines catégories de personnes qui, du fait de leur situation, vont générer un certain nombre de déchets (jeunes parents ou personnes souffrant d’incontinence).

Selon le principe de la légalité (art. 17 LIPDA), le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale. Par conséquent, une commune ne peut traiter les données personnelles nécessaires pour déterminer si une personne peut bénéficier de ces exonérations, que si ce traitement est prévu par une base légale. S’il s’agit de données sensibles, comme cela peut être le cas pour les personnes souffrant d’incontinence (exigence d’un certificat médical ou d’une attestation d’un CMS par exemple), une base légale au sens formel est nécessaire pour permettre le traitement (art. 17 al. 2 let. a LIPDA).

La commune devra donc prévoir les modalités du traitement dans un règlement communal (un renvoi général du règlement à une directive ne suffit pas). Le règlement devra prévoir précisément les catégories de personne pouvant bénéficier d’une réduction de la taxe au sac ainsi que les données personnelles qui pourront être traitées. En sus, le préavis du Préposé est nécessaire (art. 37 al. 1 let. h LIPDA).

L'art. 6 de la Loi fédérale sur l'harmonisation des registres du 23 juin 2006 (LHR ; RS 431.02) prévoit le contenu minimal des registres des habitants pour chaque personne établie ou en séjour.

Selon l’art. 3 al. 2 de la loi sur l’harmonisation des registres des habitants et d’autres registres de personnes (RS.VS 176.2), le contenu du registre des habitants se conforme à l'art. 6 LHR et aux identificateurs et caractéristiques définis par l'office fédéral de la statistique. Il y a lieu de tenir compte également de l’art. 7 LHR qui indique que pour les autres caractères, il convient de respecter le catalogue prévu à l’art. 4 al. 4 LHR.

A titre d’exemple, le numéro de téléphone des personnes concernées ne fait pas partie des données pouvant être traitées par le contrôle des habitants.

Des études récentes révèlent que l’usage des outils d’intelligence artificielle générative (outils d’IA) est désormais largement répandu au sein des différentes administrations. Cependant, cette adoption se fait souvent de manière non officielle, par le biais de services web de traduction automatique, de chatbots, ou encore via des comptes et terminaux personnels. Ce phénomène soulève des risques importants concernant la qualité du travail, la sécurité et la protection des données, d’autant plus que les solutions standards proposées par les principaux fournisseurs reposent généralement sur des services cloud, offrant peu, voire aucun contrôle sur le traitement des données.

L'utilisation d’outils d’IA implique le traitement d'un grand nombre de données, qu'il s'agisse de textes, de fichiers audio ou d'images. Il s'agit régulièrement de données personnelles et de données personnelles sensibles au sens de l’art. 3 al. 3 et 7 LIPDA.

Des données personnelles sont traitées par un outil d’IA dans les cas suivants :

• Des données personnelles peuvent être présentes dans les instructions données à un outil d’IA (appelées prompts).
• Des données personnelles peuvent également être contenues dans des documents transmis à l’IA pour traitement ou dans des banques de données auxquelles l'application a accès.
• Les outils d’IA permettent de traiter des données personnelles, par exemple de les modifier, de les évaluer ou de les compléter. Ainsi, des données personnelles peuvent également apparaître dans des contenus générés par l'IA.
• Les fournisseurs d’outils d'IA (fournisseurs d'IA) peuvent utiliser des données personnelles, telles que des photos, pour améliorer l’outil d’IA (ce qu'on appelle l'entraînement). Lorsque des documents entiers sont utilisés à des fins d'entraînement, des données personnelles sont régulièrement incluses.
• Les données saisies permettent d'établir des conclusions sur la personne de l'utilisateur ou de l'utilisatrice. Cela peut également permettre d'évaluer des aspects essentiels de la personnalité de l'utilisateur ou de l'utilisatrice. Du point de vue de la protection des données, l'utilisation d’outils d’IA peut donc également donner lieu à du profilage au sens de l’art. 3 al. 8 LIPDA. Cela est possible même si l'utilisateur ne s'est pas connecté ou s'il utilise un identifiant anonyme.

Attention : Sans mesures techniques et organisationnelles adaptées, aucune donnée personnelle et aucune information confidentielle (p. ex. soumise au secret de fonction ou professionnel) ne doit être traitée avec des outils d’IA.

Nous recommandons aux autorités d’adopter des directives internes claires et de former les collaborateurs aux bonnes pratiques, afin de garantir une utilisation responsable et conforme des outils d’IA.

Si une autorité souhaite utiliser des outils d’IA dans l’accomplissement de ses tâches légales, les exigences de la LIPDA doivent être respectées en tout temps. Voici les principales règles et considérations à prendre en compte :

1. Elaboration et évaluation des cas d’application : Avant de choisir un outil d’IA ou d’opter pour son utilisation, l’autorité définit précisément les modalités d’utilisation dans une directive interne. Pour ce faire, il peut être utile de définir des cas d'utilisation concrets et de clarifier les questions suivantes :

• Quel est la finalité de l'utilisation de l’outil d’IA?
• Quels sont les utilisateurs de cet outil ? (p. ex. enseignants, les élèves, les collaborateurs d'un certain service, etc.)
• Des données personnelles sont-elles impliquées ?
• Les données saisies comprennent-elles des informations sensibles, soumises au secret de fonction ou au secret professionnel ?
• Les données saisies sont-elles limitées au strict nécessaire pour atteindre la finalité définie (principe de minimisation) ?
• L’outil IA est-il proposé par des prestataires de services externes (tiers) ?
• Les données personnelles saisies sont-elles utilisées pour améliorer l'outil d'IA (données d'entraînement) ?

Il convient en outre de vérifier s'il existe une base légale suffisante pour les traitements de données découlant des cas d’application envisagés (art. 17 LIPDA). Si des données personnelles sensibles sont traitées avec l’outil d'IA, une réglementation suffisamment précise dans une loi formelle est nécessaire. Il convient de documenter les cas d’application identifiés et les vérifications faites.

2. AIPD : En application de l’art. 30b LIPDA, tout traitement de données envisagé entraînant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, doit faire l’objet d’une analyse d’impact sur la protection des données (AIPD). L’utilisation d’outils d’IA peut comporter des risques potentiellement élevés en raison de la nature, de l’ampleur et des circonstances du traitement, en particulier lorsque l’utilisation des outils d’IA n’est pas autorisée mais techniquement possible. C’est pourquoi nous recommandons toujours de procéder à une AIPD dans de tels projets.

Vous trouverez plus d’informations et d’outils concernant l’AIPD en cliquant sur le lien suivant : Analyse d’impact en matière de protection des données.

3. Sous-traitance : Les outils d’IA sont généralement proposés par des prestataires de services externes, reposant souvent sur des services cloud. Il s’agit par conséquent de sous-traitance au sens de l’art. 29 LIPDA, qui doit être prévue par la loi ou dans un contrat écrit. Le sous-traitant peut uniquement effectuer les traitements que le responsable du traitement serait en droit d’effectuer lui-même. L’autorité reste responsable du traitement de données confié à un sous-traitant. Le responsable du traitement doit en particulier s’assurer que le sous-traitant est en mesure de respecter les principes généraux énoncés à l’art. 18 LIPDA, ainsi que de garantir la sécurité des données personnelles au sens de l’art. 21 LIPDA. Dans la pratique, la sous-traitance pose souvent problème. En effet, l'utilisation d'outils d'IA implique fréquemment une cascade de sous-traitants, qui sont difficiles à identifier et donc à vérifier.

Pour plus d’informations, veuillez consulter les informations sur le site internet du PCPDT : Sous-traitance.

4. Communication transfrontière: L’utilisation des outils d’IA implique régulièrement la communication transfrontière de données personnelles au sens de l’art. 25 LIPDA, car les prestataires de services externes et / ou leur sous-traitants se situent en grande majorité à l’étranger. Il convient donc de vérifier si les destinataires sont soumis à la juridiction d’un État qui assure un niveau de protection adéquat ou, si nécessaire, d’assurer un niveau de protection adéquat moyennant des garanties (contractuelles) suffisantes.

5. Biais et inexactitude des résultats : Les outils d’IA sont entraînés sur des volumes de données très importants, qui peuvent contenir des biais culturels ou éthiques ne reflétant pas toujours les valeurs locales. En conséquence, leurs réponses peuvent être biaisées, inexactes ou véhiculer des stéréotypes. Par ailleurs, ces modèles intègrent parfois des informations obsolètes et ne sont pas toujours à jour. Un risque supplémentaire majeur est celui des « hallucinations » : l’IA peut générer des réponses factuellement incorrectes ou inventer des faits, ce qui nécessite une vigilance constante et une validation humaine des résultats.

En vertu de l’art. 22 al. 1 LIPDA, une communication de données personnelles non sensibles à des tiers (p.ex. est-ce que la personne est propriétaire d’un chien, son rôle dans une association, sa profession, etc.) par une autorité est possible lorsqu’une des trois conditions suivantes est remplie (art. 22 al. 1 LIPDA):

• une base légale le prévoit ;
• la personne concernée y a consenti par écrit ou par voie électronique ;
• la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant.

Pour que le consentement donné soit valable, la personne concernée doit disposer de tous les éléments du cas d’espèce, ce qui signifie qu’elle doit être informée des conséquences ou des désavantages qui pourraient résulter pour elle d’un refus. Un consentement éclairé est donc requis.

Il convient de préciser que la communication par une autorité du nom, du prénom, de l’adresse ou de la date de naissance d’une personne à des tiers est soumise à des conditions moins exigeantes. En effet, il suffit que le requérant en fasse la demande en faisant valoir un intérêt légitime (art. 22 al. 1^bis LIPDA).

Un intérêt légitime sera, par exemple, admis si la demande n’intervient pas à des fins commerciales et que le requérant n’a pas d’autres moyens de se procurer les informations souhaitées (p.ex. : la nouvelle adresse d’un client qui n’a pas annoncé son déménagement alors qu’il a des factures impayées, les coordonnées du propriétaire d’un terrain que l’on souhaite acquérir, etc.).

Il appartient à l’autorité détentrice des données personnelles de décider de la communication, ou non, des données. En cas de refus, une médiation peut être demandée auprès du Préposé cantonal à la protection des données (art. 52 LIPDA).

La communication de données personnelles sensibles (p.ex. des données médicales) à des tiers par une autorité est soumise à des conditions plus exigeantes. Elle est possible lorsqu’une des conditions suivantes est remplie (art. 22 al. 2 LIPDA) :

• une base légale dans une loi au sens formel le prévoit ;
• la personne concernée y a consenti expressément par écrit, y compris la forme électronique ;
• la communication est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers.

Les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales (art. 22 al. 3 LIPDA).

Il convient de préciser que les autorités fédérales ainsi que les autorités des autres cantons ne sont pas considérées comme des autorités au sens de l’art. 3 al. 2 LIPDA. Par conséquent, la transmission de données à ces autorités se fait aux conditions prévues aux al. 1, 1^bis et 2 de l’art. 22 LIPDA.

Sur demande écrite (y compris la forme électronique), le conseil municipal peut autoriser le contrôle des habitants à communiquer à une personne, une organisation privée ou une autorité les nom, prénom, sexe, adresse et date de naissance selon un classement systématique, si le requérant fait valoir un intérêt légitime (art. 23 al. 1 LIPDA). La LIPDA ne prévoit pas la possibilité de transmettre d’autres données personnelles que celles prévues à l’art. 23 al. 1 LIPDA dans le cadre d’un classement de manière systématique.

La communication de données personnelles classées de manière systématique par le contrôle des habitants concerne des listes de données dont le classement peut s’obtenir de manière automatisée (p.ex. toutes les personnes nées en 2004, toutes les personnes habitant le quartier X, les possesseurs de chiens, etc.) par opposition à la communication individuelle de données (p.ex. l’adresse d’une certaine personne, etc.) qui est soumise à d’autres conditions (art. 22 LIPDA).

L’intérêt légitime sera, en principe, reconnu si la personne, l’organisation privée ou l’autorité n’a pas d’autre moyen pour obtenir ces informations et qu’elle les nécessite pour l’accomplissement d’un but idéal (p.ex. communiquer une liste d’enfants à un groupe formé de mères bénévoles qui ont mis sur pied une garderie destinée aux enfants de leur commune). Il ne pourra cependant jamais être admis en cas d’utilisation à des fins commerciales (p.ex. fournir une liste de personnes à des entreprises pour leur faire parvenir de la publicité)

Il s’agit dans tous les cas d’une possibilité et non d’une obligation pour le contrôle des habitants de communiquer ces données. En cas de refus, une médiation pourra être demandée auprès du PCPDT (art. 52 LIPDA).

La personne concernée qui rend vraisemblable un intérêt légitime peut s’opposer à ce que l’autorité communique des données personnelles déterminées à un tiers ou à une autre autorité (art. 22 al. 4 LIPDA). Il appartient ainsi à l’autorité de consulter la personne concernée lorsque l’accès à ses données personnelles pourrait porter atteinte à un de ses intérêts privés, ce en application de l’art. 51 al. 1 LIPDA.  

Si l’autorité est juridiquement tenue de communiquer les données personnelles ou si le défaut de communication risque de compromettre l’accomplissement de ses tâches légales, l’autorité rejette alors l’opposition formulée par la personne concernée (art. 22 al. 5 LIPDA). Dans ce cas, l’autorité doit informer la personne concernée de sa décision et l’informer qu’elle a la possibilité de demander l’ouverture d’une procédure de médiation auprès du PCPDT (art. 52 LIPDA).

Il convient de préciser que toute personne peut s’opposer à la communication de ses données personnelles classées de manière systématique par le contrôle des habitants. Une telle opposition ne requiert pas une forme particulière et la personne concernée n’a pas besoin de motiver son opposition respectivement de faire valoir un intérêt légitime (art. 23 al. 2 LIPDA).

Par conséquent, une telle opposition pourra par exemple être formulée de manière orale au guichet, par courrier ou dans un formulaire mis à disposition par le contrôle des habitants.

Un formulaire d’opposition de communication de ses propres données personnelles à d’autres autorités ou à des tiers est disponible sur le site internet du PCPDT.

Non, le revenu imposable d’un administré est soumis au secret fiscal. Aucune base légale ne permet sa communication à une commune agissant en qualité de créancière. Seuls le nom, le prénom, l’adresse et la date de naissance de la personne concernée peuvent être communiqués par la commune si la commune requérante justifie qu’elle détient une créance envers la personne concernée.

La demande d'une commune concernant le revenu imposable d'un administré implique la communication de données personnelles, protégées par le secret fiscal en vertu de l’art. 120 de la loi fiscale (LF, RS 642.1). Les communes sont tenues de garder confidentiels tous les documents et renseignements qui leur sont remis en vue du prélèvement d’impôts, dont le revenu imposable.

L’art. 122 LF prévoit l’obligation pour les communes de communiquer tous renseignements nécessaires à l'application de la loi fiscale aux autorités chargées de son exécution qui en font la demande. Dans des cas ou les renseignements demandés sont nécessaires à l’application de la loi fiscale, cette disposition peut donc servir de base légale pour communiquer des renseignements à d’autres communes.

En l’espèce, la commune n’agit pas en qualité d’autorité chargée de l’application de la loi fiscale, à savoir en lien avec la perception des impôts communaux, mais en qualité de créancière. Dans ce cas, l’art. 122 LF ne constitue pas une base légale permettant de transmettre le revenu imposable d’un administré à une commune.

Selon l’art. 22 al. 3 LIPDA, les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales.

En l’espèce, le secret fiscal interdit la communication du revenu imposable d’un administré. La transmission n’est donc pas autorisée par la loi. De plus, les informations sollicitées n’apparaissent pas nécessaires au recouvrement de la créance de la commune, cette dernière pouvant introduire une nouvelle réquisition de poursuite à l’encontre du débiteur sans qu’il soit nécessaire qu’elle sache en amont si le débiteur est revenu à meilleure fortune.

En application de l’art. 22 al. 1bis LIPDA, lorsque le demandeur est un créancier (y compris les sociétés de recouvrement et de renseignement, ainsi que les autorités étrangères ne passant pas par l’entraide judiciaire ou administrative internationale), seuls le nom, le prénom, l’adresse et la date de naissance de la personne concernée peuvent être communiqués par la commune, si le demandeur justifie qu'il détient une créance envers elle (contrat de bail, un acte de défaut de bien, une reconnaissance de dette, un jugement condamnatoire, un contrat de leasing, des titres de mainlevée provisoire et définitive, un commandement de payer, une réquisition de poursuite, etc.). En revanche, aucun renseignement couvert par le secret fiscal ne peut être porté à la connaissance d’un tiers qui en fait la demande, en dehors des exceptions prévues aux art. 121 s. LF.

Les données relatives à la consommation d’électricité sont des données personnelles des habitants, du moins dans la mesure où il est possible de tirer des conclusions à leur sujet, notamment concernant leur mode de vie. C’est le cas pour les villas individuelles et les immeubles au sein desquels un compteur d’électricité correspond à un appartement. La communication des relevés électriques est donc soumise aux conditions de l’art. 22 al. 1 LIPDA.

L’art. 22 al. 1 LIPDA retient que des données personnelles peuvent être communiquées à des tiers par des autorités lorsqu'une des trois conditions alternatives suivantes est remplie:

1. 1. une disposition légale les y autorise;
   2. la personne concernée a donné son consentement par écrit, y compris la forme électronique;
   3. la communication est indispensable à la sauvegarde d'un intérêt public ou privé prépondérant.

En l’occurrence, ni la loi fédérale sur l’approvisionnement en électricité (LApEl ; RS 734.7) et son ordonnance, ni la loi cantonale sur l'approvisionnement en électricité (LcApEl, RS 734.1) semblent prévoir de base légale autorisant les fournisseurs d’électricité à transmettre les relevés d’électricité à des tiers. Il convient donc soit d’obtenir le consentement écrit de la personne concernée, soit de démontrer que la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant.

Non, sous réserve du consentement de la personne.

La liste des habitants nouvellement naturalisés contient des données personnelles. La publication de cette liste constitue une communication de données personnelles à des tiers. Selon l’art. 22 al. 1 LIPDA, les données personnelles peuvent être communiquées à des tiers par les autorités lorsqu'une des trois conditions suivantes est remplie:

1. une disposition légale les y autorise;
2. la personne concernée a donné son consentement par écrit, y compris la forme électronique;
3. la communication est indispensable à la sauvegarde d'un intérêt public ou privé prépondérant.

En l’occurrence, aucune base légale ne prévoit la possibilité de communiquer à des tiers le nom des personnes nouvellement naturalisées. La communication n’est pas non plus indispensable à la sauvegarde d'un intérêt public ou privé prépondérant. Seul le consentement de la personne permettrait la communication. La commune devrait donc obtenir le consentement écrit de chaque personne nouvellement naturalisée avant de publier la liste.

Non, sous réserve du consentement de la personne.

Selon l’art. 22 al. 1 LIPDA, les données personnelles peuvent être communiquées à des tiers lorsqu’une base légale l’autorise, lorsque la personne concernée y a, en l’espèce, consenti par écrit ou lorsque la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant. L’art. 59 de l’Ordonnance sur l’état civil (OEC, RS 211.112.2) permet la divulgation de données personnelles à des particuliers lorsqu’un intérêt direct et digne de protection est établi et que l’obtention des données auprès des personnes concernées est impossible. En outre, l’art. 23 al. 1 LIPDA prévoit que le conseil municipal peut autoriser le contrôle des habitants à communiquer, sur demande, à des tiers certaines données personnelles classées de manière systématiques si un intérêt légitime est établi.

Aucune base légale ne prévoit donc une communication systématique, par exemple par publication dans le bulletin communal, de données personnelles sur les habitants d’une commune. Seul le consentement écrit de la personne permettrait la communication. La commune devrait donc demander, pour chaque cas d’espèce, si la personne consent à ce que les données soient publiées.

Le but de ce traitement serait d’informer la population de la vie communale.

Toute communication de données personnelles nécessite une base légale, le consentement de la personne ou un intérêt public ou privé prépondérant (art. 22 al. 1 LIPDA). Comme il n’y a ni base légale, ni intérêt prépondérant, la commune devrait donc, pour chaque cas d’espèce, recueillir le consentement écrit des personnes concernées ou des représentants légaux.

Oui, elle en a même l’obligation dans certains cas.

Dans le cadre de la transmission d’une liste de personnes disparues à un consulat, il y a lieu d’appliquer la Convention de Vienne sur les relations consulaires (RS 0.191.02) qui est de droit supérieur et prime sur l’application des lois fédérales et cantonales, dont la LIPDA. Selon l’art. 37 de cette convention, les autorités compétentes de l’État de résidence doivent dans certains cas, et notamment en cas de décès d’un ressortissant étranger, ou en cas de naufrage ou d’accident aérien, informer sans retard le poste consulaire de l’État d’envoi. Un contrôle devra toutefois être opéré préalablement à la délivrance des informations pour déterminer si la personne concernée n’a pas été admise en Suisse en raison de persécutions dont elle aurait été victime du fait des autorités de son pays d’origine (cf. notamment la Convention relative au statut des réfugiés et la LAsi).

Selon la loi sur le tourisme (LTour; RS 935.1), les communes sont chargées de l’encaissement des taxes de séjour et d’hébergement. Elles peuvent déléguer cette tâche à la société de développement ou à l’entreprise de tourisme communale ou intercommunale (art. 21 al. 3^ter et 25 al. 3^ter LTour). Selon l’art. 13 al. 1 LTour, la société de développement est une association de droit privé d’intérêt général. La commune est membre de droit de la société de développement et représentée au sein de son comité (art. 13 al. 3 LTour). L’entreprise de tourisme communale ou intercommunale est une société anonyme (art. 16a al. 1 LTour). Les modalités de collaboration entre les communes et les entreprises de tourisme communales ou intercommunales sont réglées dans un contrat de prestations (art. 16b al. 1 LTour).

Selon ces définitions, ces entités doivent être considérées comme des autorités au sens de l’art. 3 al. 1 LIPDA, ce qui signifie qu’elles doivent respecter les règles relatives à la communication des données entre autorités (art. 22 al. 3 LIPDA). Selon cet article, les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales.

En outre, tout traitement de données doit reposer sur une base légale et respecter les principes généraux de la protection des données (art. 17 al. 1 et 2 LIPDA). L’art. 9 OTour précise d’ailleurs qu’en cas de délégation au sens des art. 21 al. 3^ter et 25 al. 3^ter LTour, le règlement communal sur la taxe de séjour et/ou la taxe d’hébergement doit également préciser les modalités d’encaissement et de surveillance.

Ainsi, la communication de données personnelles entre ces autorités est possible sur demande, à condition qu’elle respecte les principes généraux de protection des données, notamment le principe de proportionnalité, selon lequel seules les données strictement nécessaires à l’accomplissement de la tâche légale doivent être traitées.

La « liste des personnes ayant terminé leur scolarité à une date précise » constitue des données personnelles classées de manière systématique par le contrôle des habitants au sens de l’art. 23 LIPDA.

L’art. 23 al. 1 LIPDA prévoit la possibilité pour le contrôle des habitants de communiquer des données personnelles classées de manière systématique. Sur demande écrite, y compris la forme électronique, le conseil municipal peut autoriser le contrôle des habitants à communiquer à une personne, une organisation privée ou une autorité les nom, prénom, sexe, adresse et date de naissance selon un classement systématique, si le requérant fait valoir un intérêt légitime. Ces données personnelles ne peuvent pas être utilisées à des fins commerciales.

Dans le cadre de sa demande, le requérant doit faire valoir un intérêt légitime. Il appartient à la commune de déterminer l’existence d’un intérêt légitime.

Dans ce cas, on peut considérer qu’il existe un intérêt légitime à obtenir les données des personnes ayant effectivement effectué leur scolarité dans la commune, car elles sont nécessaires à l’organisation d’un souper de classe ayant pour objectif de raviver les souvenirs et de renforcer les liens d'amitié. Le contrôle des habitants peut donc communiquer cette liste sur décision du Conseil municipal, sans toutefois communiquer les données des personnes n’ayant pas accompli leur scolarité dans la commune. La commune doit ainsi obtenir une décision du Conseil municipal pour transmettre la liste « des personnes ayant terminé leur scolarité à une date précise ».

Par contre, le contrôle des habitants ne transmettra que les catégories de données prévues à l’art. 23 al. 1 LIPDA et se limitera aux informations nécessaires au regard de la finalité du traitement, à savoir, en l’espèce, le nom, prénom et l’adresse des personnes concernées.

Finalement, cette liste devra être transmise par papier ou, si par courriel, par l’envoi d’un courriel sécurisé. Dans le cas contraire, l’envoi d’un courriel standard contenant cette liste serait une violation des normes de sécurité en matière de données personnelles au sens de l’art. 21 LIPDA. La commune peut également transmettre la liste au moyen d’une clef USB, pour autant qu’elle soit cryptée si envoi par poste, ou que le requérant vienne la chercher dans les locaux de la commune.

La « liste des personnes possédant un chien » constitue des données personnelles classées de manière systématique par le contrôle des habitants au sens de l’art. 23 LIPDA.

L’art. 23 LIPDA prévoit la possibilité pour le contrôle des habitants de communiquer des données personnelles classées de manière systématique. Sur demande écrite, y compris la forme électronique, le conseil municipal peut autoriser le contrôle des habitants à communiquer à une personne, une organisation privée ou une autorité les nom, prénom, sexe, adresse et date de naissance selon un classement systématique, si le requérant fait valoir un intérêt légitime. Ces données personnelles ne peuvent pas être utilisées à des fins commerciales.

Conformément à l'art. 23 al. 1 LIPDA, l'utilisation commerciale des données obtenues est interdite. Par conséquent, la communication de ces données à une entreprise vendant de la nourriture pour chiens n'est pas autorisée. En ce qui concerne la communication à une association, l'intérêt légitime n’est pas donné, car l'association peut recourir à d'autres moyens pour sa publicité. Ainsi, la communication de ces données à une association n'est pas autorisée dans ce cas.

Les données personnelles peuvent être communiquées à des tiers par les autorités lorsqu’une disposition légale les y autorise, lorsque la personne concernée y a, en l’espèce, consenti par écrit, ou lorsque la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant (art. 22 al. 1 LIPDA).

En l’absence d’une base légale, la commune devra donc obtenir le consentement de la personne concernée ou démontrer l’intérêt public ou privé prépondérant. Si le requérant démontre qu’il cherche p. ex. à actionner la personne concernée en justice, un intérêt privé prépondérant sera régulièrement donné.

Si la personne a fait usage de son droit de blocage (art. 34 LIPDA), le contrôle des habitants (avec l’autorisation du conseil municipal) ne pourra communiquer les données que s’il y est obligé par la loi ou si le requérant rend vraisemblable que le blocage l’empêche, en l’espèce, de faire valoir des prétentions juridiques ou d’autres intérêts légitimes. Dans la mesure du possible, la personne concernée devra être entendue auparavant.

Selon l’art. 15 al. 2 de la loi sur les rapports entre les Eglises et l'Etat dans le canton du Valais (LREE ; RS 180.1), les communes, sur la base du contrôle des habitants, établissent à l’intention de la seule autorité de perception de l’impôt la liste des personnes ayant demandé une exonération de l’impôt de culte ou une réduction de l’impôt ordinaire.

Par conséquent une commune ne peut pas transmettre cette liste aux paroisses.

Les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales (art. 22 al. 3 LIPDA).

Dans ce contexte, le but de la communication des données serait d’aider le Service social d’une autre commune à déterminer si elle peut octroyer une aide sociale. Selon l’art. 34 de la loi sur l’intégration et l’aide sociale (LIAS ; RS 850.1), la personne qui recourt à l’aide sociale doit fournir des renseignements complets sur sa situation personnelle, familiale, financière et professionnelle. L’instance saisie est autorisée à recueillir les informations nécessaires pour établir le droit à des prestations.

L’art. 61 LIAS précise que les informations nécessaires sont en principe recueillies auprès de la personne concernée. Cependant, les tiers définis à l’art. 62 LIAS sont tenus de fournir des renseignements si cela s’avère impossible. Parmi les tiers tenus de fournir des renseignements figurent notamment les autorités de contrôle des habitants et de l’état civil (art. 62 al. 2 let. b LIAS).

Ainsi, si les informations nécessaires ne peuvent être obtenues après de la personne concernée, le contrôle des habitants d’une commune est obligé de fournir des informations concernant le père de la personne au Service social d’une autre commune dans la mesure nécessaire à l’exécution de la LIAS.

Avant de répondre à la demande de la police judiciaire, il faut d’abord déterminer si la demande intervient dans le cadre d’une procédure préliminaire au sens du Code de procédure pénale (art. 299 à 327 CPP). Selon l’art. 300 CPP, une procédure préliminaire peut être introduite soit par la police (par une procédure d’investigation policière) ou par le Ministère public (par l’ordonnance d’une instruction formelle).

Si la demande intervient lors d’investigations dans le cadre d’une procédure préliminaire au sens du CPP, ce n’est plus la LIPDA mais le CPP qui s’applique. Avant d’accéder à la demande de la police judiciaire, le contrôle des habitants devra cependant inviter cette dernière à démontrer qu’une procédure préliminaire a effectivement été introduite. A noter, qu’en principe, une procédure préliminaire devrait concerner une personne ou un cercle de personnes déterminées et non pas « l’ensemble des ressortissants étrangers » d’une commune.

Si la demande intervient dans le cadre d’investigations qui ont lieu en dehors d’une procédure préliminaire, ce n’est pas le CPP mais la LIPDA qui s’applique. La « liste des ressortissants étrangers inscrits dans la commune » constitue des données personnelles classées de manière systématique par le contrôle des habitants au sens de l’art. 23 LIPDA. Dans ce cas, la police judiciaire doit alors faire valoir un intérêt légitime (art. 23 al. 1 LIPDA). Il appartient à la commune de déterminer l’existence d’un intérêt légitime. En l’occurrence, il est assez difficile d’admettre l’existence d’un intérêt légitime puisque la police judiciaire dispose d’autres moyens pour obtenir ces données. Elle pourrait notamment les demander auprès du Service de la Population et des Migrations (SPM).

Pour ce qui concerne le traitement de la demande, si l’on considère que le logiciel de la commune permet de classer les administrés par nationalités, et que la commune peut en extraire une liste, ce doit être considéré comme un classement de manière systématique au sens de l’art. 23 al. 1 LIPDA. Dès lors, dans un tel cadre, le contrôle des habitants peut communiquer cette liste sur décision du Conseil municipal. La commune doit ainsi obtenir une décision du Conseil municipal pour transmettre la liste des habitants de nationalité étrangère. Qui plus est, la commune ne peut transmettre que les nom, prénom, sexe, adresse et date de naissance. Elle n’est pas autorisée à transmettre le numéro de téléphone (donnée qu’un contrôle des habitants n’est d’ailleurs pas en droit de traiter selon la Loi fédérale sur l’harmonisation des registres).

Finalement, cette liste devra être transmise par papier ou, si par courriel, par l’envoi d’un courriel sécurisé. Dans le cas contraire, l’envoi d’un courriel standard contenant cette liste serait une violation des normes de sécurité en matière de données personnelles au sens de l’art. 21 LIPDA. La commune peut également transmettre la liste au moyen d’une clef USB, pour autant qu’elle soit cryptée si envoi par poste, ou que l’Inspecteur vienne la chercher dans les locaux communaux.

Il n’existe pas de base légale qui permette à l’autorité communale de fournir un avis de taxation d’un particulier à une entreprise privée. Au contraire, l’art. 120 LF prévoit le secret fiscal. En outre, ce n’est pas le rôle de la commune d’aider une entreprise privée à se renseigner sur la solvabilité d’un administré.

Quant à d’autres information que pourrait fournir, par exemple, le contrôle des habitants (art. 23 al. 1 LIPDA), la banque n’a pas un intérêt légitime à se voir fournir de telles informations. Elle doit s’adresser directement à la personne concernée ou consulter le registre des poursuites.

L’art. 21 al. 1 LIPDA prévoit que le responsable du traitement et le sous-traitant, doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. L’al. 2 précise que lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à des données personnelles, de manière accidentelle ou illicite. Il est donc nécessaire d’évaluer le risque encouru au cas par cas afin d’adapter les mesures de sécurité, si nécessaire.

Sauf risque particulier, les données personnelles peuvent être communiquées par une autorité soit par courrier ou par courriel sécurisé. L’envoi d’un courriel standard, non sécurisé, contenant des données personnelles constitue en revanche une violation des normes de sécurité en matière de données personnelles au sens de l’art. 21 LIPDA.

Il est également possible de communiquer les données personnelles au moyen d’une clé USB, à condition qu’elle soit cryptée en cas d’envoi par poste, ou qu’elle soit remise en main propre.

Une « loi au sens formel » est un texte de loi qui a été adopté par le pouvoir législatif selon la procédure prévue à cet effet.

Au niveau fédéral, les lois fédérales adoptées par l’Assemblée fédérale sont des lois au sens formel. Au niveau cantonal, les lois cantonales adoptées par le Grand Conseil sont considérées comme des lois au sens formel. Au niveau communal, un règlement adopté par le Conseil général (ou l’Assemblée primaire) puis homologué par le Conseil d’Etat a la qualité de loi au sens formelle.

Les textes légaux adoptés par le pouvoir exécutif, telles que les ordonnances fédérales adoptées par le Conseil fédéral ou les règlements cantonaux adoptés par le Conseil d’Etat sont considérées comme des lois « au sens matériel ».

La communication transfrontalière des données personnelles désigne la communication des données à l’étranger. Selon le Préposé fédéral à la protection des données il y a une « communication de données à l’étranger quand des données personnelles quittent le territoire suisse car elles sont communiquées par le responsable du traitement ». A ce sujet, il convient de préciser que la publication de données sur Internet à des fins d’information du public ne doit pas être assimilée à une communication de données à l’étranger, même si les données sont accessibles dans d’autres pays.

Les données personnelles peuvent être communiquées à un destinataire soumis à la juridiction d’un Etat ou d’une organisation qui assure un niveau de protection adéquat pour le transfert considéré (art. 25 al. 1 LIPDA).

A défaut, il est nécessaire de prévoir des garanties suffisantes, notamment contractuelles, afin d’assurer un niveau de protection adéquat à l’étranger. Ces dernières doivent être approuvées, établies ou reconnues par le PCPDT (art. 25 al 1^bis LIPDA).

Malgré l'absence de protection adéquate et de garanties suffisantes, des données personnelles peuvent être communiquées à l'étranger uniquement si l’une des conditions suivantes est remplie (art. 25 al. 2 LIPDA):

• la personne concernée a donné son consentement par écrit, y compris la forme électronique, après avoir été informée des risques introduits par l’absence de protection adéquate;
• la communication est indispensable à la sauvegarde d'un intérêt public prépondérant;
• la communication est indispensable à la constatation, à l'exercice ou à la défense d'un droit en justice;
• la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'une tierce personne;
• la communication est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée ou entre le responsable du traitement et son cocontractant dans l’intérêt de la personne concernée.

Les autorités sont en droit de traiter des données personnelles à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si les conditions cumulatives suivantes sont réunies (art. 26 al. 1 LIPDA) :

1. les données personnelles sont rendues anonymes dès que la finalité du traitement le permet ;
2. l’autorité ne communique des données personnelles sensibles à des personnes privées que sous une forme ne permettant pas d’identifier les personnes concernées ;
3. le destinataires ne communique les données personnelles à des tiers qu’avec le consentement de l’autorité qui les lui a transmises ;
4. les résultats du traitement sont publiés sous une forme ne permettant pas d’identifier les personnes concernées.

En matière de recherche, il est récurrent qu’un étudiant qui écrit une thèse de doctorat ait besoin de données notamment statistiques. Pour les obtenir, il pourra les demander à l’autorité responsable du traitement. L’autorité détentrice de ces données pourra les communiquer, pour autant que la personne requérante fasse une demande qui remplit les exigences de forme, et qu’elle s’engage à respecter certaines obligations. Il est possible que, lors de la procédure qui précède la communication des données, le ou la requérant(e) doive apporter des preuves que sa demande est légitime, notamment en fournissant une lettre de son ou sa professeur(e) de thèse, attestant qu’il ou elle a véritablement besoin de ces données afin de rédiger un doctorat.

En pratique, il arrive fréquemment que le chercheur, le planificateur ou le statisticien, bien qu’il utilise des données dépourvues de références à des personnes déterminées, n’entende néanmoins pas les rendre d’emblée anonymes, car il doit conserver la possibilité de vérifier exceptionnellement l’identité d’une personne. Lorsqu’elle est confrontée à de telles situations, l’autorité se doit de pseudonymiser les données.

L’installation de dispositifs de vidéosurveillance par des particuliers relève de la compétence du Préposé fédéral à la protection des données et à la transparence (PFPDT).

Vous trouverez plus d’informations à ce sujet sur le site internet du PFPDT.

Non, seules les autorités sont habilitées à installer des appareils de vidéosurveillance sur le domaine public pour autant qu’elles respectent les conditions y relatives (art. 28 al. 1 LIPDA).

L’installation d’appareil de prise de vues et d’enregistrement d’images sur le domaine public par une autorité requiert le respect des conditions cumulatives suivantes (art. 28 LIPDA) :

• Une loi au sens formel doit permettre à l’autorité en question de procéder à l’installation d’appareils de vidéosurveillance (art. 28 al. 1 lit. a LIPDA).
  • Par conséquent, l'installation d’appareils de prise de vue et d'enregistrement d'images dans l’espace public communal à des fins de sécurité et d'ordre public nécessitera des dispositions dans un règlement communal ou intercommunal, avalisé par le conseil général ou l’assemblée primaire et homologué par le Conseil d’Etat.
  • L'installation d’appareils de prise de vue et d'enregistrement d'images dans l’espace public cantonal à des fins de sécurité et d'ordre public est quant à elle prévue dans la Loi sur la vidéosurveillance dans les lieux publics (LVid), acceptée en lecture unique par le Grand Conseil le 8 mai 2025.

• L’autorité doit prendre toutes les mesures nécessaires pour limiter les atteintes aux personnes concernées (p.ex. floutage, minimisation de l’angle de prise de vue, limitation des plages horaires lors desquelles le système est activé, etc.).
• Les informations enregistrées ne peuvent être utilisées qu'aux fins fixées dans la loi qui institue le système de surveillance.
• La mesure de surveillance ainsi que l'autorité responsable doivent être indiquées de manière claire et adéquate au public. Cette condition pourra, par exemple, être respectée en apposant un panneau visible avant d’entrer dans la zone surveillée.
• La durée de conservation des données enregistrées ainsi que les autorités habilitées à visionner les images sont fixées dans la base légale en fonction des besoins et des objectifs.
• Les enregistrements sonores dans l’espace public communal ne sont pas autorisés lors de l’utilisation d’appareils de prise de vue et d’enregistrement d’images au sens de l’art. 28 LIPDA.

En plus de ces conditions spécifiques à la vidéosurveillance, l’installation d’appareils de prise de vue et d’enregistrement d’images par une autorité doit également respecter les autres principes généraux de la protection des données comme, par exemple, la proportionnalité. Ainsi, si la vidéosurveillance peut être évitée par des mesures telles que le renforcement de l’éclairage, la multiplication des rondes par la police de proximité, la mise à ban d’un endroit, alors aucune vidéosurveillance ne doit être installée dans ce cadre.

Finalement, il convient de rappeler que l’installation d’appareils de vidéosurveillance est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Par conséquent, l’autorité a l’obligation de procéder à une analyse d’impact relative à la protection des données (AIPD ; art. 30b LIPDA) avant de procéder à l’installation d’appareils de vidéosurveillance.

Des informations détaillées relatives à la vidéosurveillance, un aide-mémoire sur les règlements de vidéosurveillance ainsi qu’un modèle d’articles de vidéosurveillance sont disponibles sur le site internet du PCPDT.

Un « sous-traitant » au sens de la LIPDA est la personne privée ou l’autorité qui traite des données personnelles pour le compte du responsable de traitement (art. 3 al. 6^bis LIPDA).

La sous-traitance d’un traitement de données personnelles est possible aux conditions (cumulatives) suivantes (art. 29 al. 1 et 3 LIPDA) :

• Elle est prévue par la loi ou, à défaut, par un contrat.
• La sous-traitance se limite aux traitements que le responsable du traitement serait en droit d’effectuer lui-même.
• Aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
• Le responsable du traitement doit s’assurer que le sous-traitant est en mesure de respecter les principes généraux de la protection des données et de garantir la sécurité des données personnelles (art. 18 et 21 LIPDA).

Si la sous-traitance est prévue par un contrat, ce dernier doit revêtir la forme écrite (ou électronique) et au minimum contenir les éléments suivants (art. 29 al. 2 LIPDA) :

• l’objet du traitement ;
• la durée du traitement ;
• la nature et la finalité du traitement ;
• le type de données personnelles
• les catégories de personnes concernées ;
• les obligations et les droits du responsable du traitement.

De plus, le contrat doit également prévoir que le sous-traitant (art. 29 al. 2 LIPDA) :

• n’agit que sur les instructions du responsable du traitement ;
• s’engage à respecter la confidentialité :
• supprime et renvoie au responsable du traitement, selon le choix de ce dernier, toutes les données personnelles au terme de la prestation de services de traitement de données personnelles;
• met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de ses obligations.

Un modèle de contrat de sous-traitance ainsi qu’un aide-mémoire y relatif sont disponibles sur le site internet du PCPDT.

Un des principaux risques consécutifs à une sous-traitance de données est « la sous-traitance en cascade », c’est-à-dire quand un sous-traitant pratique à son tour une sous-traitance. La LIPDA autorise uniquement la « sous-traitance de deuxième rang » pour autant que le responsable du traitement ait donné son accord par écrit ou sous forme électronique (art. 29 al. 4 LIPDA). Il est recommandé de donner son accord pour chaque sous-traitant subséquent actuel ou futur. Néanmoins, un accord global, avec une possibilité de sortie du contrat lorsqu’un nouveau sous-traitant subséquent serait ajouté, pourrait convenir.

Il convient encore de mentionner que le sous-traitant doit tenir un répertoire de tous les traitements effectués pour le compte du responsable du traitement qui doit contenir (art. 29 al. 6 LIPDA) :

• l’identité et les coordonnées du sous-traitant et du responsable du traitement;
• les catégories de traitements effectués pour le compte du responsable du traitement;
• les destinataires ou les catégories de destinataires des données personnelles, y compris les destinataires dans des pays tiers ou des organisations internationales, pour autant que la communication des données personnelles soit expressément demandée par le responsable du traitement;
• les mesures visant à garantir la sécurité des données personnelles.

Des informations supplémentaires relatives à la sous-traitance sont disponibles sur le site internet du PCPDT.

Le PCPDT doit tenir un registre des activités de traitement à disposition des autorités. Lesdites autorités doivent ainsi compléter et annoncer toute modification de leurs registres des activités de traitement par le biais de celui-ci. Qui plus est, le registre est public, de sorte qu’il doit être librement accessible par tout un chacun (art. 30 al. 1LIPDA).

Le registre contient pour chaque activité de traitement des informations sur (art. 30 al 2 LIPDA) :

a)   l'identité et les coordonnées du responsable du traitement ;

b)   la base légale du traitement ;

c)    les finalités du traitement ;

d)   les personnes concernées ou les catégories de personnes concernées ;

e)   les données personnelles ou les catégories de données personnelles traitées ;

f)    les destinataires ou les catégories de destinataires des données personnelles si la communication des données personnelles est envisagée, y compris les destinataires dans des pays tiers ou des organisations internationales ;

g)   la durée de conservation ou, si cela n’est pas possible, les critères pour déterminer cette durée ;

h)   les mesures visant à garantir la sécurité des données personnelles.

Il permet aux autorités qui traitent des données de documenter leurs traitements de données, et de se poser les bonnes questions, qui sont :

• Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
• Est-ce qu’une base légale m’autorise à traiter cette donnée ?
• Est-il pertinent de conserver toutes les données aussi longtemps ?
• Les données sont-elles suffisamment protégées ?
• Est-ce que la transmission de données dans le cadre du traitement est conforme à la protection des données ?

La création et la tenue à jour du registre des activités de traitement est ainsi l’occasion d’identifier et de hiérarchiser les risques au regard de la LIPDA.

Des informations supplémentaires, une plateforme d’annonce des traitements de données, le catalogue des registres ainsi qu’un aide-mémoire sont disponibles sur le site internet du PCPDT.

Les responsables du traitement des données doivent effectuer une analyse d’impact relative à la protection des données personnelles (AIPD), lorsque le traitement de données personnelles est susceptible d’entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées, dont les données sont en jeu (art. 30b LIPDA).

Les autorités au sens de la LIPDA (art. 3 al. 1 LIPDA), doivent déterminer si leur nouveau traitement de données doit faire l’objet d’une AIPD ou non. Un nouveau traitement de données peut, par exemple, être un nouveau logiciel, une plateforme en ligne, ou une application utilisée sur un smartphone, ainsi que lorsque de nouvelles caméras seraient installées, ou si le champ de vision de celles-ci venait à changer, ou encore si la technologie installée n’était plus la même. La mise à jour d’un système existant peut être considéré comme un nouveau traitement lorsque celle-ci modifie les modalités du traitement de données. Qui plus est, si le traitement des données nécessite une nouvelle base légale ou l’adaptation d’une base légale existante, il y a également lieu de réaliser une AIPD.

En tant qu’instrument de travail du droit moderne de la protection des données, l’AIPD vise à préserver les droits des personnes concernées dans la réalité sociale de l’ère du numérique. L’AIPD concerne ainsi tant les nouveaux traitements de données personnelles que le développement ou l’extension d’un traitement préexistant.

Le but d’une AIPD est d’identifier à un stade préalable les risques élevés associés à un projet, qui se caractérisent par leur probabilité de survenance et, du fait du qualificatif « élevés », par la gravité de leurs conséquences.

Afin d'accompagner les autorités publiques dans le cadre de ces démarches, le PCPDT a développé certains documents dans ce cadre qui peuvent librement être repris, et que celles-ci peuvent trouver sur le site internet du PCPDT.

Toute autorité soumise à la LIPDA doit disposer d’un délégué à la protection des données (art. 30c al.1 LIPDA).

Le délégué à la protection des données peut être la même personne pour plusieurs responsables du traitement. Un collaborateur ou un tiers peut être nommé. Il doit cependant exercer sa fonction de manière indépendante dans son organisation et sans recevoir d’instruction du responsable du traitement dans sa manière d’exercer ses tâches, ce afin de pouvoir exercer correctement ses tâches de conseil.

Le délégué à la protection des données doit disposer des compétences métier nécessaire. Ces connaissances doivent notamment porter sur la législation en matière de protection des données et sur les normes techniques relatives à la sécurité des données (art. 30c al. 2 let. a LIPDA).

De plus, le délégué à la protection des données ne peut pas exercer d’activités incompatibles avec sa fonction (art. 30c al. 2 let. b LIPDA). Il ne doit par exemple pas avoir de rôle dans les domaines de la conduite du personnel ou de la gestion des systèmes informatiques. Par ailleurs, le délégué à la protection des données doit obligatoirement exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du responsable du traitement. L’indépendance doit surtout être garantie par le biais de mesures organisationnelles (hiérarchie stricte par exemple, non-ingérence dans les dossiers du DPO).

Le délégué à la protection des données est le point de contact privilégié pour les personnes concernées et pour les autorités de surveillance en matière de protection des données. Il promeut l’information et la formation des collaborateurs et veille au respect des prescriptions de protection des données au sein d’une autorité et prodigue au responsable du traitement des conseils en matière de protection des données (art. 30c al. 2 LIPDA). Le responsable du traitement reste cependant le seul responsable en cas de violations des prescriptions légales.

Attention : Les autorités soumise à la LIPDA disposent d’un délai transitoire jusqu’au 1^er janvier 2026 pour désigner leur délégué à la protection des données.

Toute personne concernée a le droit d’obtenir gratuitement, à sa demande, la confirmation d’un traitement de ses données personnelles et la communication sous une forme intelligible (art. 31 LIPDA) :

• de l’identité et des coordonnées du responsable du traitement ;
• de la base légale du traitement ;
• des finalités du traitement ;
• des données personnelles traitées ;
• de toute information disponible sur leur origine;
• des destinataires ou des catégories de destinataires des données personnelles si la communication des données personnelles est envisagée;
• de la durée de conservation ou, si cela n’est pas possible, les critères pour déterminer cette durée;
• le cas échéant, de l’existence d’une décision individuelle automatisée ainsi que de la logique sur laquelle se base la décision.

La demande doit être soumise à l’autorité par écrit ou sous la forme électronique et n’a pas besoin d’être motivée (art. 31 al. 3 LIPDA). Dans ce cadre, l’autorité a le devoir de s’assurer de l’identité de la personne qui a formulé la demande. L’autorité traite ensuite la demande avec rapidité, mais au plus tard dans un délai de 30 jours à compter de la date de réception de la demande (art. 31 al. 4 LIDPA). Ce délai peut exceptionnellement être prolongé si la demande d’accès porte sur un grand nombre de documents ou des documents complexes à se procurer (art. 31 al. 5 LIPDA).

Si l’accès à des données personnelles peut porter atteinte à des tiers, ces derniers doivent être consultés afin d’avoir la possibilité de faire valoir leur éventuelle opposition à la communication des données personnelles par écrit (ou sous forme électronique) dans un délai de 10 jours dès la consultation (art. 31 al. 6 LIPDA).

Un formulaire de demande d’accès à ses propres données personnelles est disponible sur le site internet du PCPDT.

Toute personne concernée a le droit d’obtenir du responsable du traitement la rectification ou la destruction des données personnelles incorrectes; la cessation d’un traitement illicite; la suppression des effets d'un traitement illicite ou le constat du caractère illicite d'un traitement (art. 33 al. 1 LIPDA). Le requérant doit indiquer les faits et motifs sur lesquels il fonde sa demande et préciser les preuves qu'il entend faire valoir; les moyens de preuve en sa possession sont joints à la demande (art. 33 al. 2 LIPDA). Si le responsable du traitement est en mesure de démontrer des motifs légitimes justifiant le traitement qui prévalent sur les intérêts ou les droits et libertés fondamentales de la personne concernée, alors ce dernier est en droit de refuser la demande du requérant (art. 33 al. 3^quater LIPDA).

Lorsque le responsable du traitement ne peut pas apporter la preuve immédiate de l'exactitude des données personnelles contestées, la personne concernée peut exiger la mention du caractère contesté des données personnelles et s’opposer à leur communication (art. 33 al. 3 LIPDA).

Au lieu d’effacer ou de détruire les données personnelles, le responsable du traitement limite le traitement dans les cas suivants (art. 33 al. 3^bis LIPDA):

• l’exactitude des données personnelles est contestée par la personne concernée et leur exactitude ou inexactitude ne peut pas être établie;
• des intérêts prépondérants d’un tiers l’exigent;
• un intérêt public prépondérant l’exige;
• l’effacement ou la destruction des données personnelles est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire.

La personne concernée qui rend vraisemblable un intérêt digne de protection peut s’opposer à tout moment à ce que des données personnelles la concernant fassent l’objet d’un traitement (art. 34 al. 1 LIPDA).

Cette opposition n’a pas besoin de concerner un traitement de données particulier. Elle peut être faite en amont pour les éventuels traitements de données à venir.

Il appartient ensuite à l’autorité concernée de décider de la suite à donner à cette opposition, en procédant, en principe, à une pondération des intérêts en présence.

Si l’autorité décide de ne pas donner suite à l’opposition, la personne concernée peut demander l’ouverture d’une procédure de médiation auprès du PCPDT (art. 52 et 53 LIPDA).

Le principe de transparence consacre la possibilité offerte à tout un chacun d'être informé sur l'activité étatique et d'accéder aux documents officiels émanant des autorités au sens de la LIPDA.

Avant l’entrée en vigueur de la LIPDA, l’activité de l’Etat était en principe secrète et il appartenait à la personne demandant l’accès à un document d’amener la preuve que ce document était exceptionnellement public.

Avec l’entrée en vigueur de la LIPDA, le principe de transparence a écarté le principe du secret et toute personne a, en principe, le droit d'accéder aux documents officiels (art. 12 al. 1 LIPDA). Avec ce changement de paradigme, il appartient à l’autorité de démontrer pour quelle(s) raison(s) l’accès à un document officiel devrait exceptionnellement être refusé (art. 15 LIPDA)

Il est à préciser que la transparence au niveau fédéral est réglée par la Loi sur le principe de de la transparence dans l’administration (LTrans), dont l’application est de la compétence du Préposé fédéral à la protection des données et à la transparence (PFPDT).

En matière de transparence, les autorités doivent informer régulièrement et spontanément de leurs activités de nature à intéresser le public (information active). L’information doit être exacte, complète, claire et rapide et diffusée par les vecteurs appropriés (affichage public, newsletter, site internet). Pour finir, la diffusion peut intervenir par les propres canaux de l’autorité ou par les médias (gratuitement), en tenant compte des contraintes des différents médias et en respectant l’égalité de traitement (art. 9 LIPDA).

Les médias et les journalistes accrédités bénéficient de places réservées lors de séances ouvertes au public ou lorsqu’ils sont admis à des séances non publiques. Cela concerne non seulement les journalistes de la presse écrite mais également celle des médias électroniques (radio, télévision, etc.) et des photographes de presse (art. 8 al. 1 LIPDA).

Les prises de vue et de son ou leur retransmission (en direct ou en différé) par les médias et les journalistes accrédités sont autorisées dans le mesure où elles ne perturbent pas le déroulement des débats, ni ne portent atteinte à un intérêt prépondérant public ou privé (art. 8 al. 2 LIPDA). S’agissant des audiences et prononcés de jugement des autorités judiciaires, ces derniers ne sont en principe pas autorisés (art. 8 al. 2 LIPDA).

La personne souhaitant obtenir l’accès à un document officiel doit faire parvenir une demande d’accès sous forme écrite (ou électronique) à l’autorité qui a émis le document officiel ou aux Archives concernées s’il s’agit d’un document archivé. La demande n’a pas besoin d’être motivée mais elle doit être suffisamment claire et précise afin que l’autorité puisse identifier l’objet de la demande (art. 12 LIPDA).

L’autorité doit traiter la demande d’accès à un document officiel avec diligence et rapidité, mais au plus tard dans un délai de 10 jours ouvrables à compter de la date de réception de la demande. Ce délai peut exceptionnellement être prolongé lorsque la demande d’accès porte sur un grand nombre de documents ou des documents complexes ou difficiles à se procurer (art. 12b al. 1 et 2 LIPDA).

Avant de donner accès à un document officiel contenant des données personnelles de tiers, l’autorité doit rendre anonyme ces données ou les séparer des autres informations, sauf si la personne concernée a elle-même rendu publiques ces données personnelles ou y a consenti par écrit ou sous forme électronique (art. 13 al. 1 LIPDA).

L’autorité consulte les personnes concernées, si l’accès au document officiel contient des données personnelles les concernant qui ne sont pas anonymisées ou si l’accès peut porter atteinte à leurs intérêts privés prépondérants, afin de leur permettre de formuler leurs éventuelles oppositions par écrit ou sous forme électronique dans un délai de 10 jours dès la consultation (art. 15 al. 7 LIPDA).

Lorsque l'autorité ne peut pas rendre anonyme les données personnelles de tiers ou les séparer des autres informations sans avoir à fournir un travail manifestement disproportionné ou techniquement impossible, l'accès aux documents contenant des données personnelles est régi selon les règles concernant la communication de données personnelles à des tiers au sens de l’art. 22 LIPDA (art. 13 al. 2 LIPDA) [cf. questions 2.2.1 et 2.2.2]. Le travail occasionné à l'autorité est réputé manifestement disproportionné lorsque cette autorité n'est pas en mesure, avec le personnel et l'infrastructure dont elle dispose ordinairement, de satisfaire à la demande d'accès sans entraver considérablement l'accomplissement de ses tâches (art. 16 al. 1 RELIPDA). Dans ce cas de figure, l’autorité doit être en mesure de justifier cela.

L’accès un document officiel ou à des données personnelles est en principe gratuit (art. 55 al. 1 LIPDA). Un émolument peut être perçu lorsque la réponse à une demande et/ou une médiation nécessitent un travail important ou en cas de renouvellement abusif d'une demande (art. 55 al. 2 LIPDA).

Selon la loi, est considéré comme travail d'une certaine importance le traitement d'une demande d'accès dont la durée excède une demi-heure (art. 20 al. 1 RELIPDA). Dans ce cas, une participation équitable aux frais peut être demandée, correspondant à un tarif horaire de 60 francs (art. 23 al. 1 RELIPDA). Nous soulignons le fait que la loi ne prévoit pas une couverture complète des frais engendrés par la demande, mais uniquement une « participation équitable ».

Ni la LIPDA, ni son règlement d’exécution ne définissent la notion de « participation équitable » et les tâches pouvant concrètement être soumises à la perception d’un émolument dans le cadre du traitement d’une demande d’accès. C’est pourquoi, nous recommandons aux autorités de se référer aux Recommandations relatives à la perception d’émoluments pour l’accès aux documents officiels édictées par la Conférence des secrétaires généraux et de les appliquer par analogie. Ces recommandations précisent notamment qu’aucun émolument ne devrait être perçu pour le temps consacré à la recherche des documents / informations dans le système de gestion des affaires et pour les discussions avec le demandeur. Nous recommandons donc de limiter la perception d’émoluments à un niveau raisonnable, en précisant le temps de travail effectivement consacré à des tâches pouvant faire l’objet d’un émolument selon les recommandations citées ci-dessus.

Est considéré comme abusif le renouvellement d'une demande portant sur un document officiel ayant déjà été communiqué au demandeur dans les douze mois précédant la demande, alors que la teneur de ce document n'a pas été modifiée dans l'intervalle (art. 21 al. 1 RELIPDA). Dans ce cas, une participation de 20 francs minimum par prestation peut être requise. Lorsque le traitement de la demande requiert plus d'un quart d'heure de travail, le tarif horaire de 60 francs s'applique en sus (art. 24 RELIPDA).

L’autorité informe immédiatement le demandeur qu’un émolument pourra lui être demandé (art. 19 al. 1 RELIPDA), en lui présentant éventuellement un devis.

En cas d'émission de copies ou d'impression de documents officiels sur papier, les émoluments d'un franc par page sont perçus. Si les documents ne sont pas retirés sur place, les frais effectifs d'expédition peuvent être perçus (art. 22 RELIPDA).

Selon le principe de la transparence, tous les documents officiels sont en principe accessibles. L’accès peut uniquement être refusé ou restreint en présence d’une exception prévue par la loi. Il appartiendra alors à l’autorité qui désire de se prévaloir de cette exception d’apporter la preuve que les conditions pour le refus ou la restitution d’accès sont données.

L’accès à un document est notamment refusé ou restreint lorsqu’un intérêt privé ou public prépondérant l’exige (art. 15 al. 1 LIPDA).

Un intérêt public prépondérant est reconnu lorsque l’accès au document est susceptible (art. 15 al. 2 LIPDA) :

• de mettre en danger la sûreté de l'Etat ou la sécurité publique;
• de compromettre la politique extérieure de l'autorité;
• d'entraver le processus décisionnel d'une autorité;
• d'entraver l'exécution de mesures concrètes d'une autorité;
• d'entraver la position de négociation d'une autorité.

Un intérêt privé prépondérant est notamment reconnu lorsque (art. 15 al. 3 LIPDA):

• le document officiel contient des données personnelles et que sa communication n'est pas autorisée par la présente loi;
• l'accès révèle des secrets professionnels, de fabrication ou d'affaires;
• l'accès divulgue des informations fournies librement par un tiers à une autorité qui a garanti le secret.

Dans ces cas, l'organe public fait une pesée des intérêts pour déterminer l'existence d'un intérêt public ou privé prépondérant, et se voit éventuellement amené à restreindre, différer ou refuser l'accès au document demandé.

Il convient de préciser que les intérêts publics prépondérants sont listés, de manière exhaustive, à l’art. 15 al. 2 de la LIPDA, tandis que l’art. 15 al. 3 de la LIPDA liste, de manière non exhaustive, les intérêts prépondérants privés.

La LIPDA liste encore les exceptions suivantes au principe de transparence (art. 15 al. 4, 5 et 6 LIPDA) :

• refus de l’accès lorsque la demande est abusive ou qu'elle exige un travail manifestement disproportionné de l'autorité ;
• les procès-verbaux des séances du Conseil d'Etat et des exécutifs municipaux et bourgeoisiaux ;
• les procès-verbaux des séances de commissions déclarés non accessibles par le Grand Conseil et les législatifs municipaux et bourgeoisiaux.

Si une autorité entend refuser l’accès à un document officiel en raison d’une des exceptions susmentionnées, elle doit, dans la mesure du possible, refuser l’accès uniquement aux parties du document concerné par l’exception et accorder l’accès au reste du document (art. 16 al. 1 LIPDA).

Lorsque les raisons qui justifient l'inaccessibilité d'un document officiel ne sont que temporaires, l'accès est accordé dès qu'elles cessent d'exister sans qu'une nouvelle demande soit requise (art. 16 al. 2 LIPDA).

Bien qu’il s’agisse de documents officiels, les procès-verbaux des séances du Conseil d’Etat et des organes exécutifs municipaux et bourgeoisiaux ne sont pas accessibles dans le cadre d’une demande d’accès (art. 15 al. 5 LIPDA). En effet, il s’agit d’une exception au principe de transparence voulue par le législateur.

Au regard de l’art. 3 al. 2 LIPDA, sont des documents officiels toutes les informations détenues par une autorité et relatives à l'accomplissement d'une tâche publique, qui ont atteint leur stade définitif d'élaboration, quel qu'en soit le support, notamment les dossiers, les messages, rapports, rapports d'audit, études, procès-verbaux approuvés, statistiques, registres, correspondances, directives, prises de position, préavis ou décisions. Ne sont par contre pas des documents officiels les documents destinés à l'usage personnel ou qui font l'objet d'une commercialisation ou encore ceux qui sont soustraits au droit de consultation du dossier dans une procédure non contentieuse ou contentieuse.

Au regard de cette définition, l’ordre du jour de l’exécutif serait un document officiel. Cependant, il est nécessaire de préciser que, selon les autorités, l’ordre du jour pouvant être modifié jusqu’à la séance, seul un ordre du jour d’une séance ayant déjà eu lieu pourrait être considéré comme un document officiel, sujet à transparence.

Dans ce cadre, l’art. 15 al. 5 LIPDA prévoit que ne sont pas accessibles les procès-verbaux des séances des exécutifs municipaux. Cet article reprend l’art. 101 al. 2 LCo (RS 175.1). Il y a ainsi lieu de se questionner si l’ordre du jour doit être compris comme partie intégrante du procès-verbal. Le Préposé considère, qu’au regard de la formulation dans la loi, seul le procès-verbal est exclu de la transparence. La loi est en effet muette pour ce qui concerne l’accès aux ordres du jour des exécutifs. Dès lors, l’ordre du jour n’entrerait, selon le Préposé, pas dans l’exception des art. 15 al. 5 LIPDA et 101 al. 2 LCo. Il ne serait ainsi pas automatiquement soustrait à la transparence. Il y a ainsi lieu d’appliquer les règles de la LIPDA pour traiter la demande d’accès à un ordre du jour.

En conséquence, l’ordre du jour devrait être caviardé de toute référence à des personnes tierces ou à des collaborateurs qui n’ont pas de fonction publique, ce en application de l’art. 13 LIPDA. Qui plus est, il appartient à l’autorité de s’assurer que les éléments se trouvant dans l’ordre du jour ne puissent pas être considérés comme confidentiels, à savoir qu’un intérêt public prépondérant pourrait être soulevé au sens de l’art. 15 al. 2 LIPDA, notamment si la divulgation de certains points pourrait par exemple entraver le processus décisionnel d’une autorité (art. 15 al. 2 let. c LIPDA). Il appartient également à l’autorité de s’assurer que l’ordre du jour ne révèle pas d’éléments qui pourraient porter atteinte à un intérêt privé prépondérant, tel que le prévoit l’art. 15 al. 3 LIPDA.

Dans le cas où l’exception d’accès pourrait être soulevée que temporairement, l’autorité devrait différer l’accès, ce en application de l’art. 16 LIPDA. Dans ce cadre, l’accès doit être accordé pour les éléments qui ne sont pas sujets à exception. Ceux qui seraient sujet à l’exception temporaire soulevée devraient être accessibles dès que ladite exception cesserait d’exister.

Le responsable du traitement, à savoir l’exécutif, doit ainsi procéder à une pesée des intérêts dans le cadre d’une demande d’accès à un ordre du jour d’une séance de l’exécutif. L’ordre du jour d’une séance déjà passée devrait ainsi être transmis dans le cadre d’une demande en transparence, charge à l’autorité de refuser ou différer l’accès à certains éléments, ce afin de respecter les art. 13 à 16 LIPDA.

La loi prévoit une procédure de médiation devant le PCPDT afin de résoudre les situations où les intérêts d’un particulier et d’une autorité sont en conflit, ou lorsque qu’un tiers est impliqué.

En matière de protection des données, un conflit d’intérêts peut se matérialiser, par exemple, par une demande en communication de données, formulée par un requérant, qu’une commune refuse.

En matière de transparence cela peut concerner, par exemple, une requête d’accès à un document officiel, que l’autorité attaquée refuse, en soulevant une exception de la loi.

Dans ces cas de figure, l’autorité, le demandeur ou le tiers concerné peuvent demander au Préposé une médiation. A cette fin, il lui adresse, par voie postale, une requête écrite sommairement motivée avec pièces à l'appui (art. 53 al. 1^bis LIPDA).

Le but de la procédure de médiation est de trouver un compromis entre les intérêts invoqués par l’autorité, par l’auteur de la requête ainsi que par le tiers concerné (art. 53 al. 2^bis LIPDA). Pour y parvenir, le PCPDT peut également tenir une séance de médiation (art. 53 al. 2^ter LIPDA).

En premier lieu, la confidentialité de la procédure est garantie (art. 53 al. 4 LIPDA).

Ensuite, il convient de préciser que si l’une de parties ne comparaît pas, la médiation est réputée avoir échoué (art. 53 al. 2^ter LIPDA).

Si un accord est trouvé, c’est-à-dire lorsque la médiation aboutit, l’affaire est classée (art. 53 al. 3 1^ère phrase LIPDA). Dans le cas contraire, le Préposé formule des recommandations écrites qu’il adresse aux parties à la procédure de médiation, recommandations qui doivent intervenir dans les 10 jours à compter de l’échec de la médiation (art. 53 al. 3 2^ème phrase LIPDA).

Dans la suite de la procédure, la Commission cantonale de protection des données et de transparence peut être saisie par le PCPDT, l’autorité, le demandeur ou le tiers concerné si la médiation n’a pas abouti ou que l’accord trouvé n’est pas respecté (art. 54a al. 1 LIPDA). La Commission rend une décision qui peut faire l’objet d’un recours auprès du tribunal cantonal (art. 56 al. 1 LIPDA).

Le bilan et les comptes d’une société dans laquelle une collectivité publique a investi correspondent à la définition de document officiel (art. 3 al. 2 LIPDA). Si ces documents sont en mains de la commune, ils font l’objet d’un droit d’accès. Ils sont donc, a priori, publics, sous réserve des dispositions concernant les données personnelles (art. 13 LIPDA) et les exceptions au droit d’accès (art. 15 LIPDA).

On peut, par exemple, imaginer que le bilan et les comptes puissent révéler des secrets d’affaires ou de fabrication, mais il ne faut admettre cette exception qu’à des conditions restrictives. Il ne suffit pas d’estimer que des secrets d’affaires ou de fabrication figurent dans les documents. L’autorité devra prendre contact avec la société afin que celle-ci lui explique quelles données sont des secrets d’affaires ou de fabrication (art. 15 al. 7 LIPDA). Elle devra, ensuite analyser et prendre position de manière indépendante sur l’existence d’un intérêt de la société justifiant le maintien du secret. L’autorité tranchera en gardant en tête que le principe est celui de la transparence et que le fardeau de la preuve est à sa charge. Si elle estime qu’une exception au droit d’accès trouve application, c’est à elle de le prouver.

La commune devra donc, a priori, accorder l’accès, si elle est en possession des documents. Un droit d’accès pourrait être demandé directement à la société si la collectivité détient une participation majoritaire ou exerce une influence prépondérante dans la société (art. 3 al. 1 let. c LIPDA).

Pour être considéré comme « officiel », le document doit avoir atteint son stade définitif d’élaboration. Pour déterminer si c’est le cas, il ne faut pas s’arrêter au titre donné au document. Ainsi, même un document estampillé « projet » peut être considéré comme un document officiel. Un document a atteint son stade définitif d’élaboration lorsque l’autorité dont il émane l’a signé ou lorsque son auteur l’a définitivement remis à son destinataire (art. 13 al. 1 RELIPDA). Dans le cas d’un projet de budget ou de compte (qui sont des informations détenues par une autorité et relatives à l’accomplissement d’une tâche publique au sens de l’art. 3 al. 2 LIPDA) qui a été transmis au Conseil général, il faut considérer que le document a atteint son stade définitif d’élaboration. Il s’agit donc d’un document officiel au sens de la LIPDA.

Les autres séances que celles prévues à l’art. 6 LIPDA ne sont pas publiques (art. 7 al. 1 LIPDA), à moins que, en raison d’un intérêt prépondérant public ou privé, les autorités compétentes aient décidé de l’ouverture de ces séances au public ou aux médias (art. 7 al. 2 LIPDA). En outre, les procès-verbaux des séances du Conseil d’État et des exécutifs municipaux et bourgeoisiaux ne sont pas accessibles (art. 15 al. 5 LIPDA). La commune n’a donc pas à accorder l’accès aux procès-verbaux des séances du conseil municipal.

La commune doit accorder l’accès aux documents officiels selon l’art. 12 al. 1 LIPDA. Sont des documents officiels les informations détenues par l’autorité relatives à l’accomplissement d’une tâche publique qui ont atteint leur stade définitif d’élaboration et qui ne sont pas uniquement destinées à l’usage personnel ou qui font l’objet d’une commercialisation (art. 3 al. 2 LIPDA). Un contrat de location et de maintenance est un document ayant atteint son stade définitif d’élaboration. Il est en mains de l’autorité puisqu’elle est partie au contrat. Il faut déterminer, d’après la teneur du contrat, s’il concerne l’accomplissement d’une tâche publique. Comme il s’agit d’un contrat concernant la location et la maintenance de voitures électriques que la commune va mettre à la disposition de ses employés dans l’exercice de leur fonction, il y a lieu de considérer qu’il est relatif à l’accomplissement d’une tâche publique (les voitures sont utilisées par les employés de la commune dans leur travail). Le contrat est donc un document officiel au sens de la LIPDA et l’accès doit être accordé, sous réserve d’un intérêt prépondérant privé de la société (art. 15 al. 3 LIPDA) auquel cas celle-ci doit pouvoir se prononcer (art. 15 RELIPDA) et la commune devra procéder à une pesée des intérêts. Par ailleurs, les données personnelles doivent être séparées des autres informations ou rendues anonymes (art. 13 al. 1 LIPDA).

Dans le cas d’espèce, l’autorité détient les informations qui ont atteint leur stade définitif d’élaboration (puisque l’avis de droit commandé par la commune lui a été livré). Il s’agit de toute évidence d’informations relatives à l’accomplissement d’une tâche publique puisque la commune a commandé l’avis de droit dans le cadre d’un dossier qu’elle traite. Le document n’est pas uniquement destiné à l’usage personnel puisqu’il a été commandé dans le but de traiter un dossier. Il s’agit donc d’un document officiel au sens de la LIPDA auquel l’accès doit être accordé.

L’ouverture d’une procédure, civile ou pénale, ne soustrait pas d’office l’avis de droit à une requête d’accès. Encore faut-il que le document en question ait spécifiquement été élaboré dans le cadre de la procédure sur demande de l’autorité et qu’il fasse partie intégrante du dossier constitué devant l’autorité judiciaire (art. 12 al. 2 LIPDA). Dans ce cas, l'accès aux documents officiels est régi par les lois spéciales et les codes de procédure applicables.

En revanche, s’il s’agit d’un document qui gravite autour de la procédure mais qui n’est pas concerné à proprement parler par la procédure, il n’échappe pas à la LIPDA et au droit d’accès. Au demeurant, si le document échappe à la LIPDA en raison de d’une procédure en cours, il redevient public dès que la procédure est close.

Si la procédure d’octroi est close :

Lorsqu'une autorité est sollicitée pour autoriser l'accès aux documents d'une autorisation de construire, elle doit traiter la question sous l'angle du droit d’accès aux documents officiels (art. 12 ss LIPDA), sauf si le requérant est le bénéficiaire du permis construire qui a un droit d'accès à ses données personnelles (art. 31 LIPDA).

La demande d’accès est soumise à la forme écrite et doit contenir des indications suffisantes pour permettre l’identification de l’objet de la demande (art. 12a al. 1 et 2 LIPDA).

Il convient de vérifier, dans un premier temps, si des exceptions figurant à l’art. 15 LIPDA sont réalisées. Par exemple, l'accès aux permis de construire d'une prison, d'un musée, d'une banque ou autres endroits sensibles d'un point de vue de la sécurité, doit être restreint, voire refusé (art. 15 al. 2 let. a LIPDA).

Si aucune exception de l'art. 15 n'est remplie, l’accès doit être accordé. Dans un second temps, il convient de caviarder ou d’anonymiser les documents (art. 13 LIPDA). Si les documents peuvent être anonymisés, cela doit être fait pour garantir qu'aucune information ne permette d’identifier le bénéficiaire de l’autorisation de construire. Cependant, il est rarement possible d'anonymiser totalement des permis de construire, en particulier en raison des plans. Si l'anonymisation n'est pas suffisante, la procédure du droit d'être entendu doit être appliquée (art. 15 al. 7 LIPDA).

Dans le cas où la demande porte sur un permis spécifique ou des documents difficiles à anonymiser (comme les plans), l'autorité doit consulter les tiers concernés si elle considère qu’un intérêt privé prépondérant peut être invoqué. En général, les intérêts privés pouvant être invoqués sont assez limités, mais des problèmes de sécurité peuvent notamment être soulevés. En revanche, l’autorité peut en principe renoncer à consulter les tiers concernés si les documents concernés ont déjà été mis à l’enquête publique, à moins qu’une exception de l’art. 15 LIPDA soit réalisé exceptionnellement.

Dans tous les cas, Certains plans étant protégés par des droits de propriété intellectuelle, l'autorité doit prendre des mesures pour éviter toute responsabilité en cas de violation. Cela peut inclure la restriction de l'accès à une consultation sur place ou, si des copies sont demandées, l'exigence d'un engagement écrit assurant le respect des règles de propriété intellectuelle.

Si la procédure d’octroi est en cours :

L’art. 12 al. 2 LIPDA prévoit que l'accès aux documents officiels ayant trait aux procédures judiciaires, administratives et d'arbitrage pendantes est régi par les lois spéciales et les codes de procédure.

Dans le cadre d'une procédure de permis de construire en cours, ce sont donc les règles de cette dernière qui fixent les modalités d'accès au dossier (voir notamment, les art. 42 ss de la loi sur les constructions (LC; RSVS 705.1)).

L’autorité doit en principe traiter les demandes d’accès avec diligence et rapidité, mais au plus tard dans un délai de 10 jours ouvrables à compter de la date de réception de la demande (art. 12a al. 1 LIPDA). En cas de demande portant sur un grand nombre de documents ou des documents complexes, ce délai peut être prolongé. L’autorité soutient le demandeur dans l'identification précise du document demandé et prend en compte les besoins spécifiques des médias.

Si l’autorité ne traite pas la demande dans un délai raisonnable, le demandeur peut demander au Préposé l’ouverture d’une procédure de médiation. A cette fin, il lui adresse par voie postale une requête écrite sommairement motivée avec pièces à l'appui.