FAQ
Dans cette rubrique, vous trouverez à terme différentes réponses à des questions récurrentes. Celle-ci est cependant toujours en construction, de sorte que nous vous invitons à revenir prochainement.
2. Protection des données
2.1. Quels sont les principes généraux relatifs à la protection des données ?
Le droit de la protection des données connaît quelques principes généraux qui doivent toujours dicter le comportement d’une autorité face à un traitement de données personnelles. Pour chaque traitement de données, l’autorité devra avoir en tête ces principes, qui lui permettront d’appliquer correctement la loi, même dans les cas où la loi n’apporterait pas une réponse univoque à la question ou une solution à un litige en la matière.
Le principe de la légalité (art. 17 LIPDA) prévoit que le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale.
Selon le principe de la bonne foi (art. 18 al. 1 lit. a LIPDA), les données personnelles doivent avoir été obtenues de manière loyale et reconnaissable pour les personnes concernées.
Le principe de la proportionnalité (art. 18 al. 1 lit. c, d et e LIPDA) prévoit que seules les données adéquates, pertinentes et non excessives pour atteindre le but déterminé peuvent faire l’objet d’un traitement qui ne dois pas excéder la durée nécessaire pour atteindre le but. Les données personnelles doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard de la finalité du traitement.
Le principe de finalité (art. 18 al. 1 lit. b LIPDA) exige que tout traitement doit viser un but qui est prévu par la loi ou exigé pour l’accomplissement d’une tâche légale. L’autorité ne peut donc pas collecter des données pour un hypothétique besoin futur, ni ratisser plus large que nécessaire. Elle ne peut pas non plus utiliser des données à une autre fin que le but initial, tel qu’il a été communiqué.
Le principe d’exactitude (art. 18 al. 1 lit. c LIPDA) exige que les données faisant l’objet d’un traitement soient exactes et corrigées si tel n’est pas le cas.
Le principe de sécurité (art. 21 LIPDA) impose que des mesures techniques (sécurité informatique, mots de passe, pare-feu, etc.) et organisationnelles (procédures d’identification et accès, par exemple) doivent être prises pour protéger les données contre les risques de falsification, de destruction, de vol, de perte, de copie et d’autres traitements illicites. L’autorité doit assurer la sécurité de l’information, notamment sa confidentialité, sa disponibilité et son intégrité.
Enfin, la LIPDA révisée a introduit deux nouveaux principes. Selon le principe de la protection des données dès la conception ou « privacy by design » (art. 18 al. 2 LIPDA), le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles respectant les prescriptions de protection des données personnelles dès la conception du traitement. En d’autres termes, pour être conforme à la protection des données, un traitement doit s’effectuer dans un système remplissant déjà les exigences légales, de manière à rendre impossible une violation de la protection des données ou d’en réduire la probabilité. Exemple : Une application est programmée afin que les données personnelles soient effacées régulièrement ou anonymisées systématiquement.
Le principe de la protection des données par défaut aussi appelé « privacy by default » (art. 18 al. 3 LIPDA) prévoit quant à lui que le responsable du traitement est tenu, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement.
2.2. Traitement de données personnelles par une autorité 2.2.1. Un conseiller communal peut-il accéder aux avis de taxation des habitants de la commune pour déterminer et informer ceux qui pourraient bénéficier d'une réduction des primes d'assurance ?
Non, le traitement n'étant pas fondé sur une base légale, il n’est pas autorisé.
Les avis de taxation contiennent des données personnelles, et leur consultation constitue un traitement de données personnelles. Selon le principe de la légalité (art. 17 LIPDA), le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale.
Les modalités de subventionnement des primes d’assurance-maladie sont déterminées par la loi cantonale sur l’assurance-maladie (LcAM ; RS 832.1) et par l’ordonnance cantonale concernant l’assurance-maladie obligatoire et les réductions individuelles des primes (OcRIP, RS 832.105). En particulier, la tâche de déterminer si une personne a droit à une réduction des primes revient à la Caisse de compensation du canton du Valais. Celle-ci détermine automatiquement, sur la base des données fiscales transmises par le Service des contributions, le cercle des bénéficiaires qui sont contactés personnellement. Cela n’est donc pas le rôle de la commune d’informer les particuliers sur leur éventuel droit à un subside.
2.2.2. Une commune peut-elle indiquer sur les certificats de capacité civique des précisions telles que l’état civil, la filiation ou d’autres informations, quand l’adressage « normal » ne suffit pas pour identifier le destinataire ?
Non, selon le principe de la légalité (art. 17 LIPDA), le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale.
L’art. 16 al. 3 let. a de la loi sur les droits politiques (LcDP ; RS 160.1) prévoit que le registre électoral contient les noms, prénoms, adresse, origine et date de naissance de chaque citoyen. Même si ces éléments ne suffisent pas à identifier clairement la personne concernée, la commune ne peut pas traiter d’autres données sans base légale.
2.2.3. Une commune peut-elle traiter des données personnelles afin de prévoir des exceptions à la perception de la taxe au sac (pour les jeunes parents ou les personnes souffrant d’incontinence par exemple) ?
Oui, mais une base légale prévoyant les modalités du traitement est nécessaire. S’il s’agit de données sensibles, une base légale au sens formel est nécessaire.
La gestion des déchets urbains, ainsi que le financement de leur élimination reviennent aux communes (art. 39 al. 1 et 3 de la loi sur la protection de l’environnement, LcPE, RS 814.1). Celles-ci doivent respecter le principe de causalité (art. 10 LcPE). Elles peuvent néanmoins décider, pour des raisons sociales, de réduire les taxes pour certaines catégories de personnes qui, du fait de leur situation, vont générer un certain nombre de déchets (jeunes parents ou personnes souffrant d’incontinence).
Selon le principe de la légalité (art. 17 LIPDA), le traitement des données personnelles par une autorité n’est possible que s’il repose sur une base légale. Par conséquent, une commune ne peut traiter les données personnelles nécessaires pour déterminer si une personne peut bénéficier de ces exonérations, que si ce traitement est prévu par une base légale. S’il s’agit de données sensibles, comme cela peut être le cas pour les personnes souffrant d’incontinence (exigence d’un certificat médical ou d’une attestation d’un CMS par exemple), une base légale au sens formel est nécessaire pour permettre le traitement (art. 17 al. 2 let. a LIPDA).
La commune devra donc prévoir les modalités du traitement dans un règlement communal (un renvoi général du règlement à une directive ne suffit pas). Le règlement devra prévoir précisément les catégories de personne pouvant bénéficier d’une réduction de la taxe au sac ainsi que les données personnelles qui pourront être traitées. En sus, le préavis du Préposé est nécessaire (art. 37 al. 1 let. h LIPDA).
2.2.4. Quelles données personnelles peuvent être traitées par le contrôle des habitants ?
L'art. 6 de la Loi fédérale sur l'harmonisation des registres du 23 juin 2006 (LHR ; RS 431.02) prévoit le contenu minimal des registres des habitants pour chaque personne établie ou en séjour.
Selon l’art. 3 al. 2 de la loi sur l’harmonisation des registres des habitants et d’autres registres de personnes (RS.VS 176.2), le contenu du registre des habitants se conforme à l'art. 6 LHR et aux identificateurs et caractéristiques définis par l'office fédéral de la statistique. Il y a lieu de tenir compte également de l’art. 7 LHR qui indique que pour les autres caractères, il convient de respecter le catalogue prévu à l’art. 4 al. 4 LHR.
A titre d’exemple, le numéro de téléphone des personnes concernées ne fait pas partie des données pouvant être traitées par le contrôle des habitants.
2.2.5. Quelles règles s’appliquent à l’utilisation d’outils d’IA générative par des autorités ?
Des études récentes révèlent que l’usage des outils d’intelligence artificielle générative (outils d’IA) est désormais largement répandu au sein des différentes administrations. Cependant, cette adoption se fait souvent de manière non officielle, par le biais de services web de traduction automatique, de chatbots, ou encore via des comptes et terminaux personnels. Ce phénomène soulève des risques importants concernant la qualité du travail, la sécurité et la protection des données, d’autant plus que les solutions standards proposées par les principaux fournisseurs reposent généralement sur des services cloud, offrant peu, voire aucun contrôle sur le traitement des données.
L'utilisation d’outils d’IA implique le traitement d'un grand nombre de données, qu'il s'agisse de textes, de fichiers audio ou d'images. Il s'agit régulièrement de données personnelles et de données personnelles sensibles au sens de l’art. 3 al. 3 et 7 LIPDA.
Des données personnelles sont traitées par un outil d’IA dans les cas suivants :
- Des données personnelles peuvent être présentes dans les instructions données à un outil d’IA (appelées prompts).
- Des données personnelles peuvent également être contenues dans des documents transmis à l’IA pour traitement ou dans des banques de données auxquelles l'application a accès.
- Les outils d’IA permettent de traiter des données personnelles, par exemple de les modifier, de les évaluer ou de les compléter. Ainsi, des données personnelles peuvent également apparaître dans des contenus générés par l'IA.
- Les fournisseurs d’outils d'IA (fournisseurs d'IA) peuvent utiliser des données personnelles, telles que des photos, pour améliorer l’outil d’IA (ce qu'on appelle l'entraînement). Lorsque des documents entiers sont utilisés à des fins d'entraînement, des données personnelles sont régulièrement incluses.
- Les données saisies permettent d'établir des conclusions sur la personne de l'utilisateur ou de l'utilisatrice. Cela peut également permettre d'évaluer des aspects essentiels de la personnalité de l'utilisateur ou de l'utilisatrice. Du point de vue de la protection des données, l'utilisation d’outils d’IA peut donc également donner lieu à du profilage au sens de l’art. 3 al. 8 LIPDA. Cela est possible même si l'utilisateur ne s'est pas connecté ou s'il utilise un identifiant anonyme.
Attention : Sans mesures techniques et organisationnelles adaptées, aucune donnée personnelle et aucune information confidentielle (p. ex. soumise au secret de fonction ou professionnel) ne doit être traitée avec des outils d’IA.
Nous recommandons aux autorités d’adopter des directives internes claires et de former les collaborateurs aux bonnes pratiques, afin de garantir une utilisation responsable et conforme des outils d’IA.
Si une autorité souhaite utiliser des outils d’IA dans l’accomplissement de ses tâches légales, les exigences de la LIPDA doivent être respectées en tout temps. Voici les principales règles et considérations à prendre en compte :
- Elaboration et évaluation des cas d’application : Avant de choisir un outil d’IA ou d’opter pour son utilisation, l’autorité définit précisément les modalités d’utilisation dans une directive interne. Pour ce faire, il peut être utile de définir des cas d'utilisation concrets et de clarifier les questions suivantes :
- Quel est la finalité de l'utilisation de l’outil d’IA?
- Quels sont les utilisateurs de cet outil ? (p. ex. enseignants, les élèves, les collaborateurs d'un certain service, etc.)
- Des données personnelles sont-elles impliquées ?
- Les données saisies comprennent-elles des informations sensibles, soumises au secret de fonction ou au secret professionnel ?
- Les données saisies sont-elles limitées au strict nécessaire pour atteindre la finalité définie (principe de minimisation) ?
- L’outil IA est-il proposé par des prestataires de services externes (tiers) ?
- Les données personnelles saisies sont-elles utilisées pour améliorer l'outil d'IA (données d'entraînement) ?
Il convient en outre de vérifier s'il existe une base légale suffisante pour les traitements de données découlant des cas d’application envisagés (art. 17 LIPDA). Si des données personnelles sensibles sont traitées avec l’outil d'IA, une réglementation suffisamment précise dans une loi formelle est nécessaire. Il convient de documenter les cas d’application identifiés et les vérifications faites.
- AIPD : En application de l’art. 30b LIPDA, tout traitement de données envisagé entraînant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, doit faire l’objet d’une analyse d’impact sur la protection des données (AIPD). L’utilisation d’outils d’IA peut comporter des risques potentiellement élevés en raison de la nature, de l’ampleur et des circonstances du traitement, en particulier lorsque l’utilisation des outils d’IA n’est pas autorisée mais techniquement possible. C’est pourquoi nous recommandons toujours de procéder à une AIPD dans de tels projets.
Vous trouverez plus d’informations et d’outils concernant l’AIPD en cliquant sur le lien suivant : Analyse d’impact en matière de protection des données.
- Sous-traitance : Les outils d’IA sont généralement proposés par des prestataires de services externes, reposant souvent sur des services cloud. Il s’agit par conséquent de sous-traitance au sens de l’art. 29 LIPDA, qui doit être prévue par la loi ou dans un contrat écrit. Le sous-traitant peut uniquement effectuer les traitements que le responsable du traitement serait en droit d’effectuer lui-même. L’autorité reste responsable du traitement de données confié à un sous-traitant. Le responsable du traitement doit en particulier s’assurer que le sous-traitant est en mesure de respecter les principes généraux énoncés à l’art. 18 LIPDA, ainsi que de garantir la sécurité des données personnelles au sens de l’art. 21 LIPDA. Dans la pratique, la sous-traitance pose souvent problème. En effet, l'utilisation d'outils d'IA implique fréquemment une cascade de sous-traitants, qui sont difficiles à identifier et donc à vérifier.
Pour plus d’informations, veuillez consulter les informations sur le site internet du PCPDT : Sous-traitance.
- Communication transfrontière: L’utilisation des outils d’IA implique régulièrement la communication transfrontière de données personnelles au sens de l’art. 25 LIPDA, car les prestataires de services externes et / ou leur sous-traitants se situent en grande majorité à l’étranger. Il convient donc de vérifier si les destinataires sont soumis à la juridiction d’un État qui assure un niveau de protection adéquat ou, si nécessaire, d’assurer un niveau de protection adéquat moyennant des garanties (contractuelles) suffisantes.
- Biais et inexactitude des résultats : Les outils d’IA sont entraînés sur des volumes de données très importants, qui peuvent contenir des biais culturels ou éthiques ne reflétant pas toujours les valeurs locales. En conséquence, leurs réponses peuvent être biaisées, inexactes ou véhiculer des stéréotypes. Par ailleurs, ces modèles intègrent parfois des informations obsolètes et ne sont pas toujours à jour. Un risque supplémentaire majeur est celui des « hallucinations » : l’IA peut générer des réponses factuellement incorrectes ou inventer des faits, ce qui nécessite une vigilance constante et une validation humaine des résultats.
2.3. Communication de données personnelles par une autorité 2.3.1. A quelles conditions une autorité peut-elle communiquer des données non sensibles à des tiers ?
En vertu de l’art. 22 al. 1 LIPDA, une communication de données personnelles non sensibles à des tiers (p.ex. est-ce que la personne est propriétaire d’un chien, son rôle dans une association, sa profession, etc.) par une autorité est possible lorsqu’une des trois conditions suivantes est remplie (art. 22 al. 1 LIPDA):
- une base légale le prévoit ;
- la personne concernée y a consenti par écrit ou par voie électronique ;
- la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant.
Pour que le consentement donné soit valable, la personne concernée doit disposer de tous les éléments du cas d’espèce, ce qui signifie qu’elle doit être informée des conséquences ou des désavantages qui pourraient résulter pour elle d’un refus. Un consentement éclairé est donc requis.
Il convient de préciser que la communication par une autorité du nom, du prénom, de l’adresse ou de la date de naissance d’une personne à des tiers est soumise à des conditions moins exigeantes. En effet, il suffit que le requérant en fasse la demande en faisant valoir un intérêt légitime (art. 22 al. 1bis LIPDA).
Un intérêt légitime sera, par exemple, admis si la demande n’intervient pas à des fins commerciales et que le requérant n’a pas d’autres moyens de se procurer les informations souhaitées (p.ex. : la nouvelle adresse d’un client qui n’a pas annoncé son déménagement alors qu’il a des factures impayées, les coordonnées du propriétaire d’un terrain que l’on souhaite acquérir, etc.).
Il appartient à l’autorité détentrice des données personnelles de décider de la communication, ou non, des données. En cas de refus, une médiation peut être demandée auprès du Préposé cantonal à la protection des données (art. 52 LIPDA).
2.3.2. A quelles conditions une autorité peut-elle communiquer des données sensibles à des tiers ?
La communication de données personnelles sensibles (p.ex. des données médicales) à des tiers par une autorité est soumise à des conditions plus exigeantes. Elle est possible lorsqu’une des conditions suivantes est remplie (art. 22 al. 2 LIPDA) :
- une base légale dans une loi au sens formel le prévoit ;
- la personne concernée y a consenti expressément par écrit, y compris la forme électronique ;
- la communication est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers.
2.3.3. A quelles conditions une autorité peut-elle communiquer des données personnelles à une autre autorité ?
Les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales (art. 22 al. 3 LIPDA).
Il convient de préciser que les autorités fédérales ainsi que les autorités des autres cantons ne sont pas considérées comme des autorités au sens de l’art. 3 al. 2 LIPDA. Par conséquent, la transmission de données à ces autorités se fait aux conditions prévues aux al. 1, 1bis et 2 de l’art. 22 LIPDA.
2.3.4. Est-il possible de communiquer des données personnelles classées de manière systématique par le contrôle des habitants ?
Sur demande écrite (y compris la forme électronique), le conseil municipal peut autoriser le contrôle des habitants à communiquer à une personne, une organisation privée ou une autorité les nom, prénom, sexe, adresse et date de naissance selon un classement systématique, si le requérant fait valoir un intérêt légitime (art. 23 al. 1 LIPDA). La LIPDA ne prévoit pas la possibilité de transmettre d’autres données personnelles que celles prévues à l’art. 23 al. 1 LIPDA dans le cadre d’un classement de manière systématique.
La communication de données personnelles classées de manière systématique par le contrôle des habitants concerne des listes de données dont le classement peut s’obtenir de manière automatisée (p.ex. toutes les personnes nées en 2004, toutes les personnes habitant le quartier X, les possesseurs de chiens, etc.) par opposition à la communication individuelle de données (p.ex. l’adresse d’une certaine personne, etc.) qui est soumise à d’autres conditions (art. 22 LIPDA).
L’intérêt légitime sera, en principe, reconnu si la personne, l’organisation privée ou l’autorité n’a pas d’autre moyen pour obtenir ces informations et qu’elle les nécessite pour l’accomplissement d’un but idéal (p.ex. communiquer une liste d’enfants à un groupe formé de mères bénévoles qui ont mis sur pied une garderie destinée aux enfants de leur commune). Il ne pourra cependant jamais être admis en cas d’utilisation à des fins commerciales (p.ex. fournir une liste de personnes à des entreprises pour leur faire parvenir de la publicité)
Il s’agit dans tous les cas d’une possibilité et non d’une obligation pour le contrôle des habitants de communiquer ces données. En cas de refus, une médiation pourra être demandée auprès du PCPDT (art. 52 LIPDA).
2.3.5. Est-ce que je peux m’opposer à la communication de mes données personnelles ?
La personne concernée qui rend vraisemblable un intérêt légitime peut s’opposer à ce que l’autorité communique des données personnelles déterminées à un tiers ou à une autre autorité (art. 22 al. 4 LIPDA). Il appartient ainsi à l’autorité de consulter la personne concernée lorsque l’accès à ses données personnelles pourrait porter atteinte à un de ses intérêts privés, ce en application de l’art. 51 al. 1 LIPDA.
Si l’autorité est juridiquement tenue de communiquer les données personnelles ou si le défaut de communication risque de compromettre l’accomplissement de ses tâches légales, l’autorité rejette alors l’opposition formulée par la personne concernée (art. 22 al. 5 LIPDA). Dans ce cas, l’autorité doit informer la personne concernée de sa décision et l’informer qu’elle a la possibilité de demander l’ouverture d’une procédure de médiation auprès du PCPDT (art. 52 LIPDA).
Il convient de préciser que toute personne peut s’opposer à la communication de ses données personnelles classées de manière systématique par le contrôle des habitants. Une telle opposition ne requiert pas une forme particulière et la personne concernée n’a pas besoin de motiver son opposition respectivement de faire valoir un intérêt légitime (art. 23 al. 2 LIPDA).
Par conséquent, une telle opposition pourra par exemple être formulée de manière orale au guichet, par courrier ou dans un formulaire mis à disposition par le contrôle des habitants.
Un formulaire d’opposition de communication de ses propres données personnelles à d’autres autorités ou à des tiers est disponible sur le site internet du PCPDT.
2.3.6. Une commune peut-elle communiquer le revenu imposable d’un administré à une autre commune qui en fait la demande en qualité de créancière ?
Non, le revenu imposable d’un administré est soumis au secret fiscal. Aucune base légale ne permet sa communication à une commune agissant en qualité de créancière. Seuls le nom, le prénom, l’adresse et la date de naissance de la personne concernée peuvent être communiqués par la commune si la commune requérante justifie qu’elle détient une créance envers la personne concernée.
La demande d'une commune concernant le revenu imposable d'un administré implique la communication de données personnelles, protégées par le secret fiscal en vertu de l’art. 120 de la loi fiscale (LF, RS 642.1). Les communes sont tenues de garder confidentiels tous les documents et renseignements qui leur sont remis en vue du prélèvement d’impôts, dont le revenu imposable.
L’art. 122 LF prévoit l’obligation pour les communes de communiquer tous renseignements nécessaires à l'application de la loi fiscale aux autorités chargées de son exécution qui en font la demande. Dans des cas ou les renseignements demandés sont nécessaires à l’application de la loi fiscale, cette disposition peut donc servir de base légale pour communiquer des renseignements à d’autres communes.
En l’espèce, la commune n’agit pas en qualité d’autorité chargée de l’application de la loi fiscale, à savoir en lien avec la perception des impôts communaux, mais en qualité de créancière. Dans ce cas, l’art. 122 LF ne constitue pas une base légale permettant de transmettre le revenu imposable d’un administré à une commune.
Selon l’art. 22 al. 3 LIPDA, les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales.
En l’espèce, le secret fiscal interdit la communication du revenu imposable d’un administré. La transmission n’est donc pas autorisée par la loi. De plus, les informations sollicitées n’apparaissent pas nécessaires au recouvrement de la créance de la commune, cette dernière pouvant introduire une nouvelle réquisition de poursuite à l’encontre du débiteur sans qu’il soit nécessaire qu’elle sache en amont si le débiteur est revenu à meilleure fortune.
En application de l’art. 22 al. 1bis LIPDA, lorsque le demandeur est un créancier (y compris les sociétés de recouvrement et de renseignement, ainsi que les autorités étrangères ne passant pas par l’entraide judiciaire ou administrative internationale), seuls le nom, le prénom, l’adresse et la date de naissance de la personne concernée peuvent être communiqués par la commune, si le demandeur justifie qu'il détient une créance envers elle (contrat de bail, un acte de défaut de bien, une reconnaissance de dette, un jugement condamnatoire, un contrat de leasing, des titres de mainlevée provisoire et définitive, un commandement de payer, une réquisition de poursuite, etc.). En revanche, aucun renseignement couvert par le secret fiscal ne peut être porté à la connaissance d’un tiers qui en fait la demande, en dehors des exceptions prévues aux art. 121 s. LF.
2.3.7. Une autorité est-elle autorisée à communiquer les relevés électriques des anciens habitants d’un immeuble au nouveau propriétaire, si ce dernier en fait la demande ?
Les données relatives à la consommation d’électricité sont des données personnelles des habitants, du moins dans la mesure où il est possible de tirer des conclusions à leur sujet, notamment concernant leur mode de vie. C’est le cas pour les villas individuelles et les immeubles au sein desquels un compteur d’électricité correspond à un appartement. La communication des relevés électriques est donc soumise aux conditions de l’art. 22 al. 1 LIPDA.
L’art. 22 al. 1 LIPDA retient que des données personnelles peuvent être communiquées à des tiers par des autorités lorsqu'une des trois conditions alternatives suivantes est remplie:
-
- une disposition légale les y autorise;
- la personne concernée a donné son consentement par écrit, y compris la forme électronique;
- la communication est indispensable à la sauvegarde d'un intérêt public ou privé prépondérant.
En l’occurrence, ni la loi fédérale sur l’approvisionnement en électricité (LApEl ; RS 734.7) et son ordonnance, ni la loi cantonale sur l'approvisionnement en électricité (LcApEl, RS 734.1) semblent prévoir de base légale autorisant les fournisseurs d’électricité à transmettre les relevés d’électricité à des tiers. Il convient donc soit d’obtenir le consentement écrit de la personne concernée, soit de démontrer que la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant.
2.3.8. Une commune peut-elle publier, dans le bulletin communal ou sur son site internet, la liste des habitants nouvellement naturalisés ?
Non, sous réserve du consentement de la personne.
La liste des habitants nouvellement naturalisés contient des données personnelles. La publication de cette liste constitue une communication de données personnelles à des tiers. Selon l’art. 22 al. 1 LIPDA, les données personnelles peuvent être communiquées à des tiers par les autorités lorsqu'une des trois conditions suivantes est remplie:
- une disposition légale les y autorise;
- la personne concernée a donné son consentement par écrit, y compris la forme électronique;
- la communication est indispensable à la sauvegarde d'un intérêt public ou privé prépondérant.
En l’occurrence, aucune base légale ne prévoit la possibilité de communiquer à des tiers le nom des personnes nouvellement naturalisées. La communication n’est pas non plus indispensable à la sauvegarde d'un intérêt public ou privé prépondérant. Seul le consentement de la personne permettrait la communication. La commune devrait donc obtenir le consentement écrit de chaque personne nouvellement naturalisée avant de publier la liste.
2.3.9. Une commune peut-elle publier dans le bulletin communal ou sur son site internet une liste des naissances et mariages / des décès / des arrivées et départs / des lieux de provenance et de destination ?
Non, sous réserve du consentement de la personne.
Selon l’art. 22 al. 1 LIPDA, les données personnelles peuvent être communiquées à des tiers lorsqu’une base légale l’autorise, lorsque la personne concernée y a, en l’espèce, consenti par écrit ou lorsque la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant. L’art. 59 de l’Ordonnance sur l’état civil (OEC, RS 211.112.2) permet la divulgation de données personnelles à des particuliers lorsqu’un intérêt direct et digne de protection est établi et que l’obtention des données auprès des personnes concernées est impossible. En outre, l’art. 23 al. 1 LIPDA prévoit que le conseil municipal peut autoriser le contrôle des habitants à communiquer, sur demande, à des tiers certaines données personnelles classées de manière systématiques si un intérêt légitime est établi.
Aucune base légale ne prévoit donc une communication systématique, par exemple par publication dans le bulletin communal, de données personnelles sur les habitants d’une commune. Seul le consentement écrit de la personne permettrait la communication. La commune devrait donc demander, pour chaque cas d’espèce, si la personne consent à ce que les données soient publiées.
2.3.10. Une commune peut-elle publier sur son site internet de photos d’enfants prises par des écoles lors d’un événement scolaire ?
Le but de ce traitement serait d’informer la population de la vie communale.
Toute communication de données personnelles nécessite une base légale, le consentement de la personne ou un intérêt public ou privé prépondérant (art. 22 al. 1 LIPDA). Comme il n’y a ni base légale, ni intérêt prépondérant, la commune devrait donc, pour chaque cas d’espèce, recueillir le consentement écrit des personnes concernées ou des représentants légaux.
2.3.11. Une commune peut-elle transmettre une liste des personnes disparues à un consulat ?
Oui, elle en a même l’obligation dans certains cas.
Dans le cadre de la transmission d’une liste de personnes disparues à un consulat, il y a lieu d’appliquer la Convention de Vienne sur les relations consulaires (RS 0.191.02) qui est de droit supérieur et prime sur l’application des lois fédérales et cantonales, dont la LIPDA. Selon l’art. 37 de cette convention, les autorités compétentes de l’État de résidence doivent dans certains cas, et notamment en cas de décès d’un ressortissant étranger, ou en cas de naufrage ou d’accident aérien, informer sans retard le poste consulaire de l’État d’envoi. Un contrôle devra toutefois être opéré préalablement à la délivrance des informations pour déterminer si la personne concernée n’a pas été admise en Suisse en raison de persécutions dont elle aurait été victime du fait des autorités de son pays d’origine (cf. notamment la Convention relative au statut des réfugiés et la LAsi).
2.3.12. Une commune peut-elle transmettre aux offices du tourisme des données personnelles sur la base du cadastre et du contrôle des habitants ?
Selon la loi sur le tourisme (LTour; RS 935.1), les communes sont chargées de l’encaissement des taxes de séjour et d’hébergement. Elles peuvent déléguer cette tâche à la société de développement ou à l’entreprise de tourisme communale ou intercommunale (art. 21 al. 3ter et 25 al. 3ter LTour). Selon l’art. 13 al. 1 LTour, la société de développement est une association de droit privé d’intérêt général. La commune est membre de droit de la société de développement et représentée au sein de son comité (art. 13 al. 3 LTour). L’entreprise de tourisme communale ou intercommunale est une société anonyme (art. 16a al. 1 LTour). Les modalités de collaboration entre les communes et les entreprises de tourisme communales ou intercommunales sont réglées dans un contrat de prestations (art. 16b al. 1 LTour).
Selon ces définitions, ces entités doivent être considérées comme des autorités au sens de l’art. 3 al. 1 LIPDA, ce qui signifie qu’elles doivent respecter les règles relatives à la communication des données entre autorités (art. 22 al. 3 LIPDA). Selon cet article, les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales.
En outre, tout traitement de données doit reposer sur une base légale et respecter les principes généraux de la protection des données (art. 17 al. 1 et 2 LIPDA). L’art. 9 OTour précise d’ailleurs qu’en cas de délégation au sens des art. 21 al. 3ter et 25 al. 3ter LTour, le règlement communal sur la taxe de séjour et/ou la taxe d’hébergement doit également préciser les modalités d’encaissement et de surveillance.
Ainsi, la communication de données personnelles entre ces autorités est possible sur demande, à condition qu’elle respecte les principes généraux de protection des données, notamment le principe de proportionnalité, selon lequel seules les données strictement nécessaires à l’accomplissement de la tâche légale doivent être traitées.
2.3.13. Le contrôle des habitants peut-il communiquer à un tiers une liste des personnes ayant terminé leur scolarité à une date précise afin d’organiser un souper de classe ?
La « liste des personnes ayant terminé leur scolarité à une date précise » constitue des données personnelles classées de manière systématique par le contrôle des habitants au sens de l’art. 23 LIPDA.
L’art. 23 al. 1 LIPDA prévoit la possibilité pour le contrôle des habitants de communiquer des données personnelles classées de manière systématique. Sur demande écrite, y compris la forme électronique, le conseil municipal peut autoriser le contrôle des habitants à communiquer à une personne, une organisation privée ou une autorité les nom, prénom, sexe, adresse et date de naissance selon un classement systématique, si le requérant fait valoir un intérêt légitime. Ces données personnelles ne peuvent pas être utilisées à des fins commerciales.
Dans le cadre de sa demande, le requérant doit faire valoir un intérêt légitime. Il appartient à la commune de déterminer l’existence d’un intérêt légitime.
Dans ce cas, on peut considérer qu’il existe un intérêt légitime à obtenir les données des personnes ayant effectivement effectué leur scolarité dans la commune, car elles sont nécessaires à l’organisation d’un souper de classe ayant pour objectif de raviver les souvenirs et de renforcer les liens d'amitié. Le contrôle des habitants peut donc communiquer cette liste sur décision du Conseil municipal, sans toutefois communiquer les données des personnes n’ayant pas accompli leur scolarité dans la commune. La commune doit ainsi obtenir une décision du Conseil municipal pour transmettre la liste « des personnes ayant terminé leur scolarité à une date précise ».
Par contre, le contrôle des habitants ne transmettra que les catégories de données prévues à l’art. 23 al. 1 LIPDA et se limitera aux informations nécessaires au regard de la finalité du traitement, à savoir, en l’espèce, le nom, prénom et l’adresse des personnes concernées.
Finalement, cette liste devra être transmise par papier ou, si par courriel, par l’envoi d’un courriel sécurisé. Dans le cas contraire, l’envoi d’un courriel standard contenant cette liste serait une violation des normes de sécurité en matière de données personnelles au sens de l’art. 21 LIPDA. La commune peut également transmettre la liste au moyen d’une clef USB, pour autant qu’elle soit cryptée si envoi par poste, ou que le requérant vienne la chercher dans les locaux de la commune.
2.3.14. Une commune peut-elle communiquer la liste des personnes possédant un chien à une entreprise qui vend de la nourriture pour chien ou à une association qui propose de l’aide et des conseils aux nouveaux détenteurs de chiens ?
La « liste des personnes possédant un chien » constitue des données personnelles classées de manière systématique par le contrôle des habitants au sens de l’art. 23 LIPDA.
L’art. 23 LIPDA prévoit la possibilité pour le contrôle des habitants de communiquer des données personnelles classées de manière systématique. Sur demande écrite, y compris la forme électronique, le conseil municipal peut autoriser le contrôle des habitants à communiquer à une personne, une organisation privée ou une autorité les nom, prénom, sexe, adresse et date de naissance selon un classement systématique, si le requérant fait valoir un intérêt légitime. Ces données personnelles ne peuvent pas être utilisées à des fins commerciales.
Conformément à l'art. 23 al. 1 LIPDA, l'utilisation commerciale des données obtenues est interdite. Par conséquent, la communication de ces données à une entreprise vendant de la nourriture pour chiens n'est pas autorisée. En ce qui concerne la communication à une association, l'intérêt légitime n’est pas donné, car l'association peut recourir à d'autres moyens pour sa publicité. Ainsi, la communication de ces données à une association n'est pas autorisée dans ce cas.
2.3.15. Le contrôle des habitants peut-il transmettre à un tiers des données sur une personne domiciliée dans la commune ou ayant quitté la commune ? Quelles conséquences si la personne a fait usage de son droit de blocage ?
Les données personnelles peuvent être communiquées à des tiers par les autorités lorsqu’une disposition légale les y autorise, lorsque la personne concernée y a, en l’espèce, consenti par écrit, ou lorsque la communication est indispensable à la sauvegarde d’un intérêt public ou privé prépondérant (art. 22 al. 1 LIPDA).
En l’absence d’une base légale, la commune devra donc obtenir le consentement de la personne concernée ou démontrer l’intérêt public ou privé prépondérant. Si le requérant démontre qu’il cherche p. ex. à actionner la personne concernée en justice, un intérêt privé prépondérant sera régulièrement donné.
Si la personne a fait usage de son droit de blocage (art. 34 LIPDA), le contrôle des habitants (avec l’autorisation du conseil municipal) ne pourra communiquer les données que s’il y est obligé par la loi ou si le requérant rend vraisemblable que le blocage l’empêche, en l’espèce, de faire valoir des prétentions juridiques ou d’autres intérêts légitimes. Dans la mesure du possible, la personne concernée devra être entendue auparavant.
2.3.16. Une commune peut-elle transmettre aux paroisses la liste des contribuables bénéficiant d’une réduction de l’impôt communal en raison de leur non-adhésion à une Église reconnue ?
Selon l’art. 15 al. 2 de la loi sur les rapports entre les Eglises et l'Etat dans le canton du Valais (LREE ; RS 180.1), les communes, sur la base du contrôle des habitants, établissent à l’intention de la seule autorité de perception de l’impôt la liste des personnes ayant demandé une exonération de l’impôt de culte ou une réduction de l’impôt ordinaire.
Par conséquent une commune ne peut pas transmettre cette liste aux paroisses.
2.3.17. Le contrôle des habitants d’une commune peut-il communiquer au Service social d’une autre commune des données personnelles concernant le père d’une personne qui requiert une aide sociale auprès de ce service ?
Les données personnelles ainsi que les données personnelles sensibles peuvent, dans des cas concrets, être transmises aux autorités qui en font la demande si la transmission est autorisée par la loi ou si les informations sollicitées sont nécessaires à l'accomplissement de leurs tâches légales (art. 22 al. 3 LIPDA).
Dans ce contexte, le but de la communication des données serait d’aider le Service social d’une autre commune à déterminer si elle peut octroyer une aide sociale. Selon l’art. 34 de la loi sur l’intégration et l’aide sociale (LIAS ; RS 850.1), la personne qui recourt à l’aide sociale doit fournir des renseignements complets sur sa situation personnelle, familiale, financière et professionnelle. L’instance saisie est autorisée à recueillir les informations nécessaires pour établir le droit à des prestations.
L’art. 61 LIAS précise que les informations nécessaires sont en principe recueillies auprès de la personne concernée. Cependant, les tiers définis à l’art. 62 LIAS sont tenus de fournir des renseignements si cela s’avère impossible. Parmi les tiers tenus de fournir des renseignements figurent notamment les autorités de contrôle des habitants et de l’état civil (art. 62 al. 2 let. b LIAS).
Ainsi, si les informations nécessaires ne peuvent être obtenues après de la personne concernée, le contrôle des habitants d’une commune est obligé de fournir des informations concernant le père de la personne au Service social d’une autre commune dans la mesure nécessaire à l’exécution de la LIAS.
2.3.18. Le contrôle des habitants peut-il, sur demande, communiquer à la police judiciaire une liste des ressortissants étrangers inscrits dans la commune ?
Avant de répondre à la demande de la police judiciaire, il faut d’abord déterminer si la demande intervient dans le cadre d’une procédure préliminaire au sens du Code de procédure pénale (art. 299 à 327 CPP). Selon l’art. 300 CPP, une procédure préliminaire peut être introduite soit par la police (par une procédure d’investigation policière) ou par le Ministère public (par l’ordonnance d’une instruction formelle).
Si la demande intervient lors d’investigations dans le cadre d’une procédure préliminaire au sens du CPP, ce n’est plus la LIPDA mais le CPP qui s’applique. Avant d’accéder à la demande de la police judiciaire, le contrôle des habitants devra cependant inviter cette dernière à démontrer qu’une procédure préliminaire a effectivement été introduite. A noter, qu’en principe, une procédure préliminaire devrait concerner une personne ou un cercle de personnes déterminées et non pas « l’ensemble des ressortissants étrangers » d’une commune.
Si la demande intervient dans le cadre d’investigations qui ont lieu en dehors d’une procédure préliminaire, ce n’est pas le CPP mais la LIPDA qui s’applique. La « liste des ressortissants étrangers inscrits dans la commune » constitue des données personnelles classées de manière systématique par le contrôle des habitants au sens de l’art. 23 LIPDA. Dans ce cas, la police judiciaire doit alors faire valoir un intérêt légitime (art. 23 al. 1 LIPDA). Il appartient à la commune de déterminer l’existence d’un intérêt légitime. En l’occurrence, il est assez difficile d’admettre l’existence d’un intérêt légitime puisque la police judiciaire dispose d’autres moyens pour obtenir ces données. Elle pourrait notamment les demander auprès du Service de la Population et des Migrations (SPM).
Pour ce qui concerne le traitement de la demande, si l’on considère que le logiciel de la commune permet de classer les administrés par nationalités, et que la commune peut en extraire une liste, ce doit être considéré comme un classement de manière systématique au sens de l’art. 23 al. 1 LIPDA. Dès lors, dans un tel cadre, le contrôle des habitants peut communiquer cette liste sur décision du Conseil municipal. La commune doit ainsi obtenir une décision du Conseil municipal pour transmettre la liste des habitants de nationalité étrangère. Qui plus est, la commune ne peut transmettre que les nom, prénom, sexe, adresse et date de naissance. Elle n’est pas autorisée à transmettre le numéro de téléphone (donnée qu’un contrôle des habitants n’est d’ailleurs pas en droit de traiter selon la Loi fédérale sur l’harmonisation des registres).
Finalement, cette liste devra être transmise par papier ou, si par courriel, par l’envoi d’un courriel sécurisé. Dans le cas contraire, l’envoi d’un courriel standard contenant cette liste serait une violation des normes de sécurité en matière de données personnelles au sens de l’art. 21 LIPDA. La commune peut également transmettre la liste au moyen d’une clef USB, pour autant qu’elle soit cryptée si envoi par poste, ou que l’Inspecteur vienne la chercher dans les locaux communaux.
2.3.19. Une commune peut-elle fournir l’avis de taxation ou d’autres informations concernant la solvabilité d’un administré à une banque privée ?
Il n’existe pas de base légale qui permette à l’autorité communale de fournir un avis de taxation d’un particulier à une entreprise privée. Au contraire, l’art. 120 LF prévoit le secret fiscal. En outre, ce n’est pas le rôle de la commune d’aider une entreprise privée à se renseigner sur la solvabilité d’un administré.
Quant à d’autres information que pourrait fournir, par exemple, le contrôle des habitants (art. 23 al. 1 LIPDA), la banque n’a pas un intérêt légitime à se voir fournir de telles informations. Elle doit s’adresser directement à la personne concernée ou consulter le registre des poursuites.
2.3.20. Quelles mesures de sécurité doivent être prises par une autorité lors de la communication de données personnelles ?
L’art. 21 al. 1 LIPDA prévoit que le responsable du traitement et le sous-traitant, doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. L’al. 2 précise que lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à des données personnelles, de manière accidentelle ou illicite. Il est donc nécessaire d’évaluer le risque encouru au cas par cas afin d’adapter les mesures de sécurité, si nécessaire.
Sauf risque particulier, les données personnelles peuvent être communiquées par une autorité soit par courrier ou par courriel sécurisé. L’envoi d’un courriel standard, non sécurisé, contenant des données personnelles constitue en revanche une violation des normes de sécurité en matière de données personnelles au sens de l’art. 21 LIPDA.
Il est également possible de communiquer les données personnelles au moyen d’une clé USB, à condition qu’elle soit cryptée en cas d’envoi par poste, ou qu’elle soit remise en main propre.
2.4. Qu’est-ce qu’une loi au sens formel ?
Une « loi au sens formel » est un texte de loi qui a été adopté par le pouvoir législatif selon la procédure prévue à cet effet.
Au niveau fédéral, les lois fédérales adoptées par l’Assemblée fédérale sont des lois au sens formel. Au niveau cantonal, les lois cantonales adoptées par le Grand Conseil sont considérées comme des lois au sens formel. Au niveau communal, un règlement adopté par le Conseil général (ou l’Assemblée primaire) puis homologué par le Conseil d’Etat a la qualité de loi au sens formelle.
Les textes légaux adoptés par le pouvoir exécutif, telles que les ordonnances fédérales adoptées par le Conseil fédéral ou les règlements cantonaux adoptés par le Conseil d’Etat sont considérées comme des lois « au sens matériel ».
2.5. Qu’est-ce que « la communication transfrontalière des données personnelles » ?
La communication transfrontalière des données personnelles désigne la communication des données à l’étranger. Selon le Préposé fédéral à la protection des données il y a une « communication de données à l’étranger quand des données personnelles quittent le territoire suisse car elles sont communiquées par le responsable du traitement ». A ce sujet, il convient de préciser que la publication de données sur Internet à des fins d’information du public ne doit pas être assimilée à une communication de données à l’étranger, même si les données sont accessibles dans d’autres pays.
Les données personnelles peuvent être communiquées à un destinataire soumis à la juridiction d’un Etat ou d’une organisation qui assure un niveau de protection adéquat pour le transfert considéré (art. 25 al. 1 LIPDA).
A défaut, il est nécessaire de prévoir des garanties suffisantes, notamment contractuelles, afin d’assurer un niveau de protection adéquat à l’étranger. Ces dernières doivent être approuvées, établies ou reconnues par le PCPDT (art. 25 al 1bis LIPDA).
Malgré l'absence de protection adéquate et de garanties suffisantes, des données personnelles peuvent être communiquées à l'étranger uniquement si l’une des conditions suivantes est remplie (art. 25 al. 2 LIPDA):
- la personne concernée a donné son consentement par écrit, y compris la forme électronique, après avoir été informée des risques introduits par l’absence de protection adéquate;
- la communication est indispensable à la sauvegarde d'un intérêt public prépondérant;
- la communication est indispensable à la constatation, à l'exercice ou à la défense d'un droit en justice;
- la communication est nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ou d'une tierce personne;
- la communication est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable du traitement et la personne concernée ou entre le responsable du traitement et son cocontractant dans l’intérêt de la personne concernée.
2.6. A quelles conditions peut-on procéder à une « communication de données à des fins de recherche, de planification ou de statistique » ?
Les autorités sont en droit de traiter des données personnelles à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si les conditions cumulatives suivantes sont réunies (art. 26 al. 1 LIPDA) :
- les données personnelles sont rendues anonymes dès que la finalité du traitement le permet ;
- l’autorité ne communique des données personnelles sensibles à des personnes privées que sous une forme ne permettant pas d’identifier les personnes concernées ;
- le destinataires ne communique les données personnelles à des tiers qu’avec le consentement de l’autorité qui les lui a transmises ;
- les résultats du traitement sont publiés sous une forme ne permettant pas d’identifier les personnes concernées.
En matière de recherche, il est récurrent qu’un étudiant qui écrit une thèse de doctorat ait besoin de données notamment statistiques. Pour les obtenir, il pourra les demander à l’autorité responsable du traitement. L’autorité détentrice de ces données pourra les communiquer, pour autant que la personne requérante fasse une demande qui remplit les exigences de forme, et qu’elle s’engage à respecter certaines obligations. Il est possible que, lors de la procédure qui précède la communication des données, le ou la requérant(e) doive apporter des preuves que sa demande est légitime, notamment en fournissant une lettre de son ou sa professeur(e) de thèse, attestant qu’il ou elle a véritablement besoin de ces données afin de rédiger un doctorat.
En pratique, il arrive fréquemment que le chercheur, le planificateur ou le statisticien, bien qu’il utilise des données dépourvues de références à des personnes déterminées, n’entende néanmoins pas les rendre d’emblée anonymes, car il doit conserver la possibilité de vérifier exceptionnellement l’identité d’une personne. Lorsqu’elle est confrontée à de telles situations, l’autorité se doit de pseudonymiser les données.
2.7. Est-ce qu’en tant que particulier, on peut surveiller le domaine privé à l’aide d’appareils de prise de vue et d’enregistrement d’images ?
L’installation de dispositifs de vidéosurveillance par des particuliers relève de la compétence du Préposé fédéral à la protection des données et à la transparence (PFPDT).
Vous trouverez plus d’informations à ce sujet sur le site internet du PFPDT.
2.8. Est-ce qu’un privé peut surveiller le domaine public à l’aide d’appareils de prise de vue et d’enregistrement d’images en tant que particulier ?
Non, seules les autorités sont habilitées à installer des appareils de vidéosurveillance sur le domaine public pour autant qu’elles respectent les conditions y relatives (art. 28 al. 1 LIPDA).
2.9. A quelles conditions une autorité peut-elle surveiller le domaine public à l’aide d’appareils de prise de vue et d’enregistrement d’images ?
L’installation d’appareil de prise de vues et d’enregistrement d’images sur le domaine public par une autorité requiert le respect des conditions cumulatives suivantes (art. 28 LIPDA) :
- Une loi au sens formel doit permettre à l’autorité en question de procéder à l’installation d’appareils de vidéosurveillance (art. 28 al. 1 lit. a LIPDA).
- Par conséquent, l'installation d’appareils de prise de vue et d'enregistrement d'images dans l’espace public communal à des fins de sécurité et d'ordre public nécessitera des dispositions dans un règlement communal ou intercommunal, avalisé par le conseil général ou l’assemblée primaire et homologué par le Conseil d’Etat.
- L'installation d’appareils de prise de vue et d'enregistrement d'images dans l’espace public cantonal à des fins de sécurité et d'ordre public est quant à elle prévue dans la Loi sur la vidéosurveillance dans les lieux publics (LVid), acceptée en lecture unique par le Grand Conseil le 8 mai 2025.
- L’autorité doit prendre toutes les mesures nécessaires pour limiter les atteintes aux personnes concernées (p.ex. floutage, minimisation de l’angle de prise de vue, limitation des plages horaires lors desquelles le système est activé, etc.).
- Les informations enregistrées ne peuvent être utilisées qu'aux fins fixées dans la loi qui institue le système de surveillance.
- La mesure de surveillance ainsi que l'autorité responsable doivent être indiquées de manière claire et adéquate au public. Cette condition pourra, par exemple, être respectée en apposant un panneau visible avant d’entrer dans la zone surveillée.
- La durée de conservation des données enregistrées ainsi que les autorités habilitées à visionner les images sont fixées dans la base légale en fonction des besoins et des objectifs.
- Les enregistrements sonores dans l’espace public communal ne sont pas autorisés lors de l’utilisation d’appareils de prise de vue et d’enregistrement d’images au sens de l’art. 28 LIPDA.
En plus de ces conditions spécifiques à la vidéosurveillance, l’installation d’appareils de prise de vue et d’enregistrement d’images par une autorité doit également respecter les autres principes généraux de la protection des données comme, par exemple, la proportionnalité. Ainsi, si la vidéosurveillance peut être évitée par des mesures telles que le renforcement de l’éclairage, la multiplication des rondes par la police de proximité, la mise à ban d’un endroit, alors aucune vidéosurveillance ne doit être installée dans ce cadre.
Finalement, il convient de rappeler que l’installation d’appareils de vidéosurveillance est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Par conséquent, l’autorité a l’obligation de procéder à une analyse d’impact relative à la protection des données (AIPD ; art. 30b LIPDA) avant de procéder à l’installation d’appareils de vidéosurveillance.
Des informations détaillées relatives à la vidéosurveillance, un aide-mémoire sur les règlements de vidéosurveillance ainsi qu’un modèle d’articles de vidéosurveillance sont disponibles sur le site internet du PCPDT.
2.10. Qu’est-ce qu’un « sous-traitant »? A quelles conditions est-il possible de « sous-traiter » un traitement de données personnelles ?
Un « sous-traitant » au sens de la LIPDA est la personne privée ou l’autorité qui traite des données personnelles pour le compte du responsable de traitement (art. 3 al. 6bis LIPDA).
La sous-traitance d’un traitement de données personnelles est possible aux conditions (cumulatives) suivantes (art. 29 al. 1 et 3 LIPDA) :
- Elle est prévue par la loi ou, à défaut, par un contrat.
- La sous-traitance se limite aux traitements que le responsable du traitement serait en droit d’effectuer lui-même.
- Aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
- Le responsable du traitement doit s’assurer que le sous-traitant est en mesure de respecter les principes généraux de la protection des données et de garantir la sécurité des données personnelles (art. 18 et 21 LIPDA).
Si la sous-traitance est prévue par un contrat, ce dernier doit revêtir la forme écrite (ou électronique) et au minimum contenir les éléments suivants (art. 29 al. 2 LIPDA) :
- l’objet du traitement ;
- la durée du traitement ;
- la nature et la finalité du traitement ;
- le type de données personnelles
- les catégories de personnes concernées ;
- les obligations et les droits du responsable du traitement.
De plus, le contrat doit également prévoir que le sous-traitant (art. 29 al. 2 LIPDA) :
- n’agit que sur les instructions du responsable du traitement ;
- s’engage à respecter la confidentialité :
- supprime et renvoie au responsable du traitement, selon le choix de ce dernier, toutes les données personnelles au terme de la prestation de services de traitement de données personnelles;
- met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect de ses obligations.
Un modèle de contrat de sous-traitance ainsi qu’un aide-mémoire y relatif sont disponibles sur le site internet du PCPDT.
Un des principaux risques consécutifs à une sous-traitance de données est « la sous-traitance en cascade », c’est-à-dire quand un sous-traitant pratique à son tour une sous-traitance. La LIPDA autorise uniquement la « sous-traitance de deuxième rang » pour autant que le responsable du traitement ait donné son accord par écrit ou sous forme électronique (art. 29 al. 4 LIPDA). Il est recommandé de donner son accord pour chaque sous-traitant subséquent actuel ou futur. Néanmoins, un accord global, avec une possibilité de sortie du contrat lorsqu’un nouveau sous-traitant subséquent serait ajouté, pourrait convenir.
Il convient encore de mentionner que le sous-traitant doit tenir un répertoire de tous les traitements effectués pour le compte du responsable du traitement qui doit contenir (art. 29 al. 6 LIPDA) :
- l’identité et les coordonnées du sous-traitant et du responsable du traitement;
- les catégories de traitements effectués pour le compte du responsable du traitement;
- les destinataires ou les catégories de destinataires des données personnelles, y compris les destinataires dans des pays tiers ou des organisations internationales, pour autant que la communication des données personnelles soit expressément demandée par le responsable du traitement;
- les mesures visant à garantir la sécurité des données personnelles.
Des informations supplémentaires relatives à la sous-traitance sont disponibles sur le site internet du PCPDT.
2.11. Qu’est-ce qu’un « registre des traitements de données » ? Quelles sont ses finalités ? Qui doit en établir ?
Le PCPDT doit tenir un registre des activités de traitement à disposition des autorités. Lesdites autorités doivent ainsi compléter et annoncer toute modification de leurs registres des activités de traitement par le biais de celui-ci. Qui plus est, le registre est public, de sorte qu’il doit être librement accessible par tout un chacun (art. 30 al. 1LIPDA).
Le registre contient pour chaque activité de traitement des informations sur (art. 30 al 2 LIPDA) :
a) l'identité et les coordonnées du responsable du traitement ;
b) la base légale du traitement ;
c) les finalités du traitement ;
d) les personnes concernées ou les catégories de personnes concernées ;
e) les données personnelles ou les catégories de données personnelles traitées ;
f) les destinataires ou les catégories de destinataires des données personnelles si la communication des données personnelles est envisagée, y compris les destinataires dans des pays tiers ou des organisations internationales ;
g) la durée de conservation ou, si cela n’est pas possible, les critères pour déterminer cette durée ;
h) les mesures visant à garantir la sécurité des données personnelles.
Il permet aux autorités qui traitent des données de documenter leurs traitements de données, et de se poser les bonnes questions, qui sont :
- Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
- Est-ce qu’une base légale m’autorise à traiter cette donnée ?
- Est-il pertinent de conserver toutes les données aussi longtemps ?
- Les données sont-elles suffisamment protégées ?
- Est-ce que la transmission de données dans le cadre du traitement est conforme à la protection des données ?
La création et la tenue à jour du registre des activités de traitement est ainsi l’occasion d’identifier et de hiérarchiser les risques au regard de la LIPDA.
Des informations supplémentaires, une plateforme d’annonce des traitements de données, le catalogue des registres ainsi qu’un aide-mémoire sont disponibles sur le site internet du PCPDT.
2.12. Qu’est-ce qu’une « analyse d’impact » et dans quelle mesure est-il nécessaire d’y procéder ?
Les responsables du traitement des données doivent effectuer une analyse d’impact relative à la protection des données personnelles (AIPD), lorsque le traitement de données personnelles est susceptible d’entraîner un risque potentiellement élevé pour la personnalité ou les droits fondamentaux des personnes concernées, dont les données sont en jeu (art. 30b LIPDA).
Les autorités au sens de la LIPDA (art. 3 al. 1 LIPDA), doivent déterminer si leur nouveau traitement de données doit faire l’objet d’une AIPD ou non. Un nouveau traitement de données peut, par exemple, être un nouveau logiciel, une plateforme en ligne, ou une application utilisée sur un smartphone, ainsi que lorsque de nouvelles caméras seraient installées, ou si le champ de vision de celles-ci venait à changer, ou encore si la technologie installée n’était plus la même. La mise à jour d’un système existant peut être considéré comme un nouveau traitement lorsque celle-ci modifie les modalités du traitement de données. Qui plus est, si le traitement des données nécessite une nouvelle base légale ou l’adaptation d’une base légale existante, il y a également lieu de réaliser une AIPD.
En tant qu’instrument de travail du droit moderne de la protection des données, l’AIPD vise à préserver les droits des personnes concernées dans la réalité sociale de l’ère du numérique. L’AIPD concerne ainsi tant les nouveaux traitements de données personnelles que le développement ou l’extension d’un traitement préexistant.
Le but d’une AIPD est d’identifier à un stade préalable les risques élevés associés à un projet, qui se caractérisent par leur probabilité de survenance et, du fait du qualificatif « élevés », par la gravité de leurs conséquences.
Afin d'accompagner les autorités publiques dans le cadre de ces démarches, le PCPDT a développé certains documents dans ce cadre qui peuvent librement être repris, et que celles-ci peuvent trouver sur le site internet du PCPDT.
2.13. Quel est le rôle du délégué à la protection des données au sens de la LIPDA ?
Toute autorité soumise à la LIPDA doit disposer d’un délégué à la protection des données (art. 30c al.1 LIPDA).
Le délégué à la protection des données peut être la même personne pour plusieurs responsables du traitement. Un collaborateur ou un tiers peut être nommé. Il doit cependant exercer sa fonction de manière indépendante dans son organisation et sans recevoir d’instruction du responsable du traitement dans sa manière d’exercer ses tâches, ce afin de pouvoir exercer correctement ses tâches de conseil.
Le délégué à la protection des données doit disposer des compétences métier nécessaire. Ces connaissances doivent notamment porter sur la législation en matière de protection des données et sur les normes techniques relatives à la sécurité des données (art. 30c al. 2 let. a LIPDA).
De plus, le délégué à la protection des données ne peut pas exercer d’activités incompatibles avec sa fonction (art. 30c al. 2 let. b LIPDA). Il ne doit par exemple pas avoir de rôle dans les domaines de la conduite du personnel ou de la gestion des systèmes informatiques. Par ailleurs, le délégué à la protection des données doit obligatoirement exercer sa fonction de manière indépendante et sans recevoir d’instructions de la part du responsable du traitement. L’indépendance doit surtout être garantie par le biais de mesures organisationnelles (hiérarchie stricte par exemple, non-ingérence dans les dossiers du DPO).
Le délégué à la protection des données est le point de contact privilégié pour les personnes concernées et pour les autorités de surveillance en matière de protection des données. Il promeut l’information et la formation des collaborateurs et veille au respect des prescriptions de protection des données au sein d’une autorité et prodigue au responsable du traitement des conseils en matière de protection des données (art. 30c al. 2 LIPDA). Le responsable du traitement reste cependant le seul responsable en cas de violations des prescriptions légales.
Attention : Les autorités soumise à la LIPDA disposent d’un délai transitoire jusqu’au 1er janvier 2026 pour désigner leur délégué à la protection des données.
2.14. Quelles sont les conditions pour accéder à des données personnelles qui nous concernent directement ?
Toute personne concernée a le droit d’obtenir gratuitement, à sa demande, la confirmation d’un traitement de ses données personnelles et la communication sous une forme intelligible (art. 31 LIPDA) :
- de l’identité et des coordonnées du responsable du traitement ;
- de la base légale du traitement ;
- des finalités du traitement ;
- des données personnelles traitées ;
- de toute information disponible sur leur origine;
- des destinataires ou des catégories de destinataires des données personnelles si la communication des données personnelles est envisagée;
- de la durée de conservation ou, si cela n’est pas possible, les critères pour déterminer cette durée;
- le cas échéant, de l’existence d’une décision individuelle automatisée ainsi que de la logique sur laquelle se base la décision.
La demande doit être soumise à l’autorité par écrit ou sous la forme électronique et n’a pas besoin d’être motivée (art. 31 al. 3 LIPDA). Dans ce cadre, l’autorité a le devoir de s’assurer de l’identité de la personne qui a formulé la demande. L’autorité traite ensuite la demande avec rapidité, mais au plus tard dans un délai de 30 jours à compter de la date de réception de la demande (art. 31 al. 4 LIDPA). Ce délai peut exceptionnellement être prolongé si la demande d’accès porte sur un grand nombre de documents ou des documents complexes à se procurer (art. 31 al. 5 LIPDA).
Si l’accès à des données personnelles peut porter atteinte à des tiers, ces derniers doivent être consultés afin d’avoir la possibilité de faire valoir leur éventuelle opposition à la communication des données personnelles par écrit (ou sous forme électronique) dans un délai de 10 jours dès la consultation (art. 31 al. 6 LIPDA).
Un formulaire de demande d’accès à ses propres données personnelles est disponible sur le site internet du PCPDT.
2.15. Quelles sont les conditions pour rectifier ou faire supprimer des données personnelles qui nous concernent directement ?
Toute personne concernée a le droit d’obtenir du responsable du traitement la rectification ou la destruction des données personnelles incorrectes; la cessation d’un traitement illicite; la suppression des effets d'un traitement illicite ou le constat du caractère illicite d'un traitement (art. 33 al. 1 LIPDA). Le requérant doit indiquer les faits et motifs sur lesquels il fonde sa demande et préciser les preuves qu'il entend faire valoir; les moyens de preuve en sa possession sont joints à la demande (art. 33 al. 2 LIPDA). Si le responsable du traitement est en mesure de démontrer des motifs légitimes justifiant le traitement qui prévalent sur les intérêts ou les droits et libertés fondamentales de la personne concernée, alors ce dernier est en droit de refuser la demande du requérant (art. 33 al. 3quater LIPDA).
Lorsque le responsable du traitement ne peut pas apporter la preuve immédiate de l'exactitude des données personnelles contestées, la personne concernée peut exiger la mention du caractère contesté des données personnelles et s’opposer à leur communication (art. 33 al. 3 LIPDA).
Au lieu d’effacer ou de détruire les données personnelles, le responsable du traitement limite le traitement dans les cas suivants (art. 33 al. 3bis LIPDA):
- l’exactitude des données personnelles est contestée par la personne concernée et leur exactitude ou inexactitude ne peut pas être établie;
- des intérêts prépondérants d’un tiers l’exigent;
- un intérêt public prépondérant l’exige;
- l’effacement ou la destruction des données personnelles est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire.
2.16. Dans quelle mesure peut-on consentir ou s’opposer à un traitement de données personnelles ? A quel moment est-ce qu’une tierce personne peut intervenir dans certains processus de communication ?
La personne concernée qui rend vraisemblable un intérêt digne de protection peut s’opposer à tout moment à ce que des données personnelles la concernant fassent l’objet d’un traitement (art. 34 al. 1 LIPDA).
Cette opposition n’a pas besoin de concerner un traitement de données particulier. Elle peut être faite en amont pour les éventuels traitements de données à venir.
Il appartient ensuite à l’autorité concernée de décider de la suite à donner à cette opposition, en procédant, en principe, à une pondération des intérêts en présence.
Si l’autorité décide de ne pas donner suite à l’opposition, la personne concernée peut demander l’ouverture d’une procédure de médiation auprès du PCPDT (art. 52 et 53 LIPDA).