Skip to Main Content

Protection des données

Références

CNIL. Les durées de conservation : guide pratique. Version juillet 2020. [en ligne] [Consulté le 12.08.2021]

CEPD. Lignes directrices 4/2019 relatives à l'art. 25 Protection des données dès la conception et protection des données par défaut. Adoptées le 20 octobre 2020. Version 2.0 [en ligne] [Consulté le 12.08.2021]

CEPD. Guidelines on assessing the necessity and proportionnality of measures that limit the right to data protection. 25 février 2019. [en ligne] [Consulté le 19.08.2021]

CEPD. Evaluation de la nécessité des mesures limitant le droit fondamental à la protection des donnes à caractère personnel. 11 avril 2017 [en ligne] [Consulté le 19.08.2021]

DATA PROTECTION NETWORK. Data Retention Guidance : a practical Guide for Commercial and Non-Profit Organizations. 4th June 2020. [en ligne] [Consulté le 18.03.2022]

GROUPE DE TRAVAIL "Article 29" SUR LA PROTECTION DES DONNEES. Lignes directrices sur la transparence au sens du règlement (UE) 2016/679. (WP260 rev.01) Adoptées le 29 novembre 2017. Version révisée et adoptée le 11 avril 2018. [en ligne] [Consulté le 04.08.2021]. Version anglaise.

METILLE, Sylvain. ARASTEH, Yasmine. Le règlement général sur la protection des données et les assureurs privés suisses. In : Jahrbuch SGHVR 2018 / Annales SDRCA 2018, Stephan Führer (Hrsg.). Zürich : Schulthess, 2018. ISBN 978-3-7255-7860-3

Les acteurs

  • Les données personnelles : toutes les informations qui se rapportent à une personne identifiée ou identifiable. Définition large qui comprend : nom, adresse IP, photo, no avs, patrimoine génétique, empreintes digitales ... (art. 3 lit. a LPD, art. 5 lit. a nLPD, art. 4 RGPD. Aux Etats-Unis, la notion est plus restrictive et ne concerne que les personnes identifiées.
  • Les données sensibles : sont une catégorie de données personnelles. On entend par données sensibles les données sur les opinions ou activités religieuses, philosophiques, politiques ou syndicales ; la santé, la sphère intime ou l'appartenance à une race ; des mesures d'aide sociale ; des poursuites ou sanctions pénales et administratives (art. 3 lit. c LPD). La nLPD rajoute les données génétiques et les données biométriques (art. 5 lit. a nLPD). Le RGPD parle de "catégories particulières de données à caractère personnel" (art. 9 RGPD). Ces données représentent un risque particulier donc le traitement sera fait avec plus de précautions.
  • Les profils de personnalité : sont une catégorie particulière de données personnelles (art. 3 lit. d LPD). Il s'agit d'un assemblage de données qui permet d'apprécier les caractéristiques essentielles de la personne et que la personne n'est pas prête à révéler elle-même (ex. données accumulées sur une carte client). La nLPD remplace cette notion par le profilage (art. 5 lit. f nLPD), comme le RGPD (art. 4). En droit suisse, le profil de personnalité est assimilé aux données sensibles.
  • La personne concernée : la personne physique ou morale au sujet de laquelle des données sont traitées (art. 3 lit. b LPD). Selon la nLPD et le RGPD, la personne concernée est uniquement une personne physique (art. 5 lit. b nLPD, art. 4 RGPD)
  • Le traitement : toute opération relative à des données personnelles : collecte, tri, transmission, archivage, suppression...(art. 3 lit. e LPD, art. 5 lit. e nLPD, art. 4 RGPD)
  • Le responsable du traitement : appelé aussi maitre du fichier (art. 3 lit. i LPD). C'est celui qui décide du but et des moyens du traitement (art. 5 lit. j nLPD, art. 4 RGPD).
  • Le sous-traitant : celui qui traite des données pour le compte et selon les instruction du responsable du traitement (art. 5 lit. k nLPD, art. 4 RGPD). Il ne s'agit pas d'un tiers au nom de la loi.

Grands principes selon le RGPD

Les données ne peuvent être traitées que dans le but pour lequel elles ont été récoltées.

 

Ex : La collecte de l’adresse électronique des abonnés à une newsletter ne peut pas être détournée pour de la prospection commerciale.

 

La finalité d’un traitement doit être déterminée, légitime et explicite. Elle doit être respectée. Elle permet de déterminer la pertinence des données recueillies et de fixer leur durée de conservation. Tout détournement de finalité est passible de sanctions pénales.

 

Le traitement ultérieur à des fins archivistiques, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales.

On parle aussi de minimisation des données. La récolte des données doit être limitée à ce qui est nécessaire pour réaliser la finalité définie pour le traitement.

Ce principe s’applique au regard de la finalité du traitement et de la nature des informations collectées.

 

Ex : données qui ne respectent pas le principe de proportionnalité tels que commentaires personnels dans des zones de notes ou données récoltées dans le but d’anticiper des besoins futurs.

Pour qu’un traitement de données à caractère personnel soit licite, il faut qu’il repose sur un motif justificatif appelé « base légale ». Il en existe 6 selon le RGPD :

  1. la personne concernée a donné son « consentement » au traitement de ses données pour une ou plusieurs finalités spécifiques
  2. le traitement est nécessaire à l’ « exécution d’un contrat ». Dans ce cas, le responsable du traitement ne peut traiter que les données strictement nécessaires à l’exécution du contrat    
  3. le traitement est nécessaire au respect d’une « obligation légale» à laquelle est soumis le responsable du traitement
  4. le traitement est nécessaire à la «sauvegarde des intérêts vitaux» de la personne concernée ou d’une autre personne physique
  5. le traitement est nécessaire à l’exécution d’ «mission d'intérêt public»
  6. le traitement est nécessaire aux fins des « intérêts légitimes » poursuivis par le responsable du traitement

 

Le responsable du traitement définit la base légale sur laquelle repose le traitement avant sa mise en place et pour toute sa durée. Il informe la personne concernée de la base légale choisie avant la récolte des données à caractère personnel.

 

Un traitement est transparent si le responsable du traitement fournit à la personne concernée toutes les informations préalables au traitement et s’il communique par écrit à propos de l’exercice de ses droits ou d’une violation de ses droits.

Les informations communiquées doivent être compréhensibles et formulées dans des termes clairs et simples.

Toutes les mesures raisonnables doivent être prises par le responsable du traitement pour maintenir les données à caractère personnel à jour au regard des finalités pour lesquelles elles ont été récoltées.

Dans le cas contraire, elles doivent être effacées.

La conservation des données ne doit pas excéder la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, à moins qu’il n’existe une obligation légale..

La durée de conservation des données doit être communiquée aux personnes concernées lors de leur collecte.

 

Toutefois les données à caractère personnel peuvent être conservées plus longtemps dans le cadre d’un traitement à des fins archivistiques, à des fins de recherche scientifique ou à des fins statistiques, pour autant que soient mises en place les mesures techniques garantissant les droits des personnes concernées.

 

La conservation des données comprend trois phases :

  • la phase courante : les données sont actives et utilisées
  • la phase intermédiaire durant laquelle le responsable du traitement doit conserver les données pour des raisons légales ou pour une utilisation dans le cadre d’un contentieux
  • la phase d'archivage : le responsable du traitement doit se poser la question de la suppression des données, des procédés de destruction, d’effacement, d’anonymisation ou de pseudonymisation.

 

Ce principe implique la formalisation d’une politique de conservation, d’archivage et de purge des données.

 

la CNIL a élaboré quelques recommandations de durées de conservation qui peuvent servir de modèle en cas d’absence de durées légales : un mois pour des enregistrement de vidéosurveillance, 13 mois pour les cookies et la suppression les coordonnées d’un contact qui ne répond à aucune sollicitation depuis 3 ans, entre autres..

Privacy by design and by default : art. 25 RGPD

 

Le responsable du traitement doit mettre en place au moment de la détermination des moyens du traitement et au moment du traitement, des mesures techniques et organisationnelles qui permettent le respect du RGPD (Privacy by Design).

Ex : pseudonymisation, minimisation des données

 

Le responsable du traitement doit mettre en place des mesures qui permettent de garantir par défaut que le traitement est limité à ce qui est nécessaire (Privacy by Default). Cela s’applique à la quantité de données collectées, à leur utilisation, à leur durée de conservation et à leur accessibilité.

Appelé aussi principe de responsabilité.

Le responsable du traitement doit être capable de démontrer qu’il a mis en place des mesures techniques et organisationnelles pour assurer la conformité de tous les traitements.

Les principales obligations pour l’entreprise qui découlent de ce principe sont :

  • la nomination d'un délégué à la protection des données
  • l'établissement de règles internes assurant la conformité au RGPD
  • l'établissement d'un registre de tous les traitements
  • la réalisation d'analyses d'impact, si nécessaire
  • le respect des principes de Privacy by Design et Privacy by Default
  • la réalisation d'une politique de sécurité des données
  • la notification en cas de violation de données personnelles

Le responsable du traitement comme le sous-traitant doivent mettre en place des techniques de protection (pseudonymisation, chiffrement des données) afin de garantir la sécurité des données.

 

Les risques pour la sécurité des données peuvent être la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées, ou l’accès non autorisé à ces données de manière accidentelle ou illicite.

 

Cette obligation de sécurité nécessite un contrôle régulier et une anticipation de scénarios éventuels.

Grands principes selon la LPD

  • Tout traitement de données doit être licite et pour cela il doit respecter les règles destinées à protéger la personnalité (art. 4 al.1 LPD)
  • Le traitement de données doit être effectué selon le principe de la bonne foi (i.e. ne pas tromper la personne concernée sur le but et le traitement de ses données) (art. 4 al. 2 LPD)
  • Le traitement de données doit être nécessaire pour le but indiqué et raisonnable en lien avec l'atteinte à la personnalité (art. 4 al. 2 LPD). On peut diviser ce principe en sous-principes : le principe de nécessité et d'aptitude à atteindre le but visé, la proportionnalité au sens étroit et la minimisation des données (faire avec aussi peu de données que nécessaire). Le responsable du traitement doit récolter aussi peu de données que nécessaire que ce soit sur la durée, sur le type de données sélectionnées, sur les personnes qui ont accès à ces données. Ce principe est très souvent violé.
  • Le principe de la conservation limitée des données en découle.
  • En droit suisse, le principe de transparence est défini par le principe de reconnaissabilité (art. 4 al. 4 LPD). Le traitement de données doit être reconnaissable, il n'y a pas une obligation d'informer, sauf pour les données sensibles (devoir d'information active) (art. 14 LPD)
  • La reconnaissabilité doit porter sur le fait que les données sont collectées, sur les buts visés par le traitement et sur la personne qui traite ces données. Si ce n'est pas le cas, il faut donner une information à la personne concernée.
  • En cas de devoir d'information active (données sensibles), les informations à communiquer sont l'identité du maître du fichier, les finalités du traitement, les catégories de destinataires.
  • les données collectées ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par la loi ou qui ressort des circonstances (art. 4 al. 3 LPD)
  • Le maître du fichier doit traiter des données exactes et à jour. (art. 5 LPD)
  • La personne concernée a le droit de demander une rectification des données inexactes et le maître du fichier doit apporter les mesures de correction nécessaires pour que les données soient correctes.
  • Le maitre du fichier indique au destinataire l'actualité et la fiabilité des données personnelles qu'il communique, dans la mesure où ces informations ne ressortent pas des données elles-mêmes ou des circonstances (art. 12 OLPD)
  • Le maître du fichier doit prendre des mesures techniques et organisationnelles pour protéger les données contre un traitement inapproprié (art. 7 LPD)
  • Voir aussi les articles suivants de l'Ordonnance : les mesures générales (art. 8 OLPD), les mesures en cas de traitement automatisé (art. 9 OLPD), la journalisation (art. 10 OLPD)
  • Le Conseil fédéral édicte des dispositions plus détaillées sur les exigences minimales en matière de sécurité des données.

Grands principes selon la nLPD

  • Tout traitement de données doit être licite et pour cela il doit respecter les règles destinées à protéger la personnalité (art. 6 al. 1 nLPD)
  • Le traitement de données doit être effectué selon le principe de la bonne foi (i.e. ne pas tromper la personne concernée sur le but et le traitement de ses données) (art. 6 al. 2 nLPD)
  • Le traitement de données doit être nécessaire pour le but indiqué et raisonnable en lien avec l'atteinte à la personnalité (art. 6 al. 2 nLPD) On peut diviser ce principe en sous-principes : le principe de nécessité et d'aptitude à atteindre le but visé, la proportionnalité au sens étroit et la minimisation des données (faire avec aussi peu de données que nécessaire). Le responsable du traitement doit récolter aussi peu de données que nécessaire que ce soit sur la durée, sur le type de données sélectionnées, sur les personnes qui ont accès à ces données. Ce principe est très souvent violé.
  • Le principe de la conservation limitée des données en découle.
  • Le principe de reconnaissabilité a fait place à un devoir d'information active (art. 19 nLPD)
  • Le responsable du traitement (RT) doit communiquer : l'identité et les coordonnées du RT, la finalité du traitement, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises. Si les données sont communiquées à l'etranger, le nom de l'Etat auquel elles sont communiquées.
  • Il existe des exceptions (art. 20 nLPD) : la personne concernée a déjà les informations, le traitement est prévu par la loi, le traitement de données est soumis au secret ou les conditions de l'art. 27 nLPD sont remplies (Restrictions au droit d'accès applicables aux médias)
  • Il existe également un devoir d'informer en cas de décision individuelle automatisée (art. 21 nLPD)
  • Les données ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités (art. 6 al 3 nLPD)
  • Le maître du fichier doit traiter des données exactes et à jour. (art. 6 al 5 nLPD)
  • La personne concernée a le droit de demander une rectification des données inexactes et le maître du fichier doit apporter les mesures de correction nécessaires pour que les données soient correctes.
  • Le responsable du traitement et le sous-traitant doivent prendre des mesures techniques et organisationnelles pour protéger les données contre un traitement inapproprié (art. 8 nLPD)
  • Le Conseil fédéral édicte des dispositions sur les exigences minimales en matière de sécurité des données.
  • Protection des données dès la conception et par défaut (art. 7 nLPD) : nouveau principe en droit suisse. Le principe est de prévoir dès le moment où le responsable du traitement envisage un traitement, la prise en compte des principes de la protection des données. (ex. en prévoyant des limitations d'accès aux données), en mettant en oeuvre les mesures techniques et organisationnelles appropriées.
  • Cela s'applique à la quantité de données collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité.