Protection des données

L’Autorité de protection des données et de droit à l’information (APDI) est compétente lorsque des traitements de données personnelles sont réalisés par des entités cantonales et communales vaudoises, ainsi que par les personnes délégataires de tâches publiques cantonales ou communales, dans l’accomplissement desdites tâches. Ces dernières sont en effet soumises à la LPrD lorsqu’elles traitent des données personnelles.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est quant à lui compétent lorsque des traitements de données personnelles sont réalisés par des privés ou par les organes fédéraux. Ces derniers sont soumis la loi fédérale du 25 septembre 2020 sur la protection des données (LPD ; RS 235.1).

Il n’y a pas de lien de subordination entre les deux lois ou entre les différentes autorités. Les champs d’application et les autorités compétentes sont distincts.

Exemples :

• M. X installe une caméra de vidéosurveillance sur sa villa. Le PFPDT sera compétent dans un tel cas, indépendamment du territoire vidéosurveillé (attention, certains cantons, à l’image du Canton de Fribourg, prévoient des règles spécifiques lorsqu’un particulier filme des lieux publics).
• Une commune vaudoise installe une caméra de vidéosurveillance. L’APDI sera compétente dans un tel cas.

Une donnée personnelle est toute information qui se rapporte à une personne (physique ou morale) identifiée ou identifiable.

En conséquence, dès le moment où une information peut être rattachée de manière directe ou indirecte à une personne, il s’agit d’une donnée personnelle. On considérera qu’une donnée n’est plus personnelle et peut donc être traitée sans autres conditions lorsqu’elle est suffisamment bien anonymisée, à savoir que la personne n’est plus du tout reconnaissable ou au prix d’efforts disproportionnés. Cela doit faire l’objet d’une analyse dans chaque cas à la lumière du contexte.

Exemples : le nom, l’adresse, le n° de téléphone, le numéro AVS à 13 chiffres (NAVS 13), le numéro de plaque d’immatriculation, etc.

Parmi les données personnelles, certaines sont considérées comme tout particulièrement dignes de protection et doivent dès lors être traitées dans le respect de conditions encore plus strictes. Il s’agit des données sensibles. Celles-ci sont exhaustivement listées par la loi (art. 4 al. 1 ch. 2 LPrD) :

• les données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique ;
• les données relatives à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ;
• les données relatives aux mesures et aides individuelles découlant des législations sociales ;
• les données relatives aux poursuites ou sanctions pénales ou administratives.

Exemples :

• M. X est au bénéfice du revenu d’insertion.
• M. X est malade.
• M. X est syndicaliste.

Attention, ce n’est pas parce que des données ne sont pas considérées comme sensibles qu’elles peuvent être traitées sans autre. Les principes généraux doivent dans tous les cas être respectés. Ils sont renforcés lorsque des données sensibles sont traitées.

Un traitement de données personnelles est toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés.

Il s’agit notamment de la collecte, de l'enregistrement, de l'organisation, de la conservation, de la modification, de l'extraction, de la consultation, de l'utilisation, de la communication, de la diffusion ou de toute autre forme de mise à disposition, de l'interconnexion et de la destruction.

Les communes traitent des données personnelles dans les domaines les plus divers : contrôle des habitants, gestion des déchets, aide sociale, etc. Ces traitements de données personnelles sont essentiels afin que la commune puisse réaliser les tâches qui lui sont dévolues. Ils doivent toutefois être réalisés dans le respect de certains principes.

Les entités communales doivent systématiquement respecter les principes suivants lorsque des données personnelles sont traitées :

• Légalité : Les données personnelles ne peuvent être traitées que si une base légale l’autorise ou si leur traitement sert à l’accomplissement d’une tâche publique. Des conditions plus strictes sont prévues s’agissant des données sensibles. Par exemple, la base légale autorisant le traitement doit avoir été adoptée par l’organe législatif.
  Le principe de la légalité est le principe cardinal lorsque des entités publiques traitent des données personnelles.
• Finalité : Les données doivent être traitées dans le but pour lequel elles ont été collectées, tel qu’il ressort de la loi ou de la tâche publique concernée.
• Proportionnalité : Seules les données nécessaires à l’accomplissement de la tâche dévolue doivent être traitées.
• Transparence : Les personnes concernées doivent savoir que des données les concernant sont traitées et pour quel-s motif-s.
• Exactitude : Les données personnelles doivent être correctes.
• Sécurité : Les mesures physiques, techniques et organisationnelles doivent être prises pour garantir la sécurité des données personnelles, notamment contre leur perte, leur destruction ainsi que tout traitement illicite.

La communication de données personnelles constitue un traitement particulier de données. Par communication, l’on entend le fait de rendre des données accessibles, par exemple en les transmettant, en les publiant ou en autorisant leur consultation. Il s’agit du traitement qui, par essence, est le plus susceptible de porter atteinte aux droits fondamentaux de la personne concernée. C’est la raison pour laquelle le législateur a prévu des conditions spécifiques auxquelles des données peuvent être communiquées, même entre des services ou dicastères d’une même commune (art. 15 LPrD).

Des données personnelles peuvent ainsi être communiquées si (conditions alternatives) :

• une base légale le prévoit ;
• le requérant établit qu’il en a besoin pour accomplir ses tâches légales ;
• le requérant privé justifie d'un intérêt prépondérant à la communication primant celui de la personne concernée à ce que les données ne soient pas communiquées ;
• la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement ;
• la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement ;
• le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes ; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des données.

Les autorités peuvent également communiquer spontanément des données personnelles dans le cadre de l'information au public, en vertu de la loi du 24 septembre 2002 sur l'information (LInfo ; BLV 170.21), à condition que la communication réponde à un intérêt public ou privé prévalant sur celui de la personne concernée.

Quoi qu’il en soit, les principes généraux, mentionnés dans le paragraphe précédent, doivent également être respectés.

Pour, entre autres, s’assurer que des données personnelles les concernant ne sont pas utilisées de manière abusive et, le cas échéant, y remédier, les personnes concernées ont la possibilité d’entreprendre certaines démarches auprès du responsable du traitement.

Elles peuvent notamment demander (art. 25 ss LPrD) :

• L’accès aux données personnelles les concernant ;
• La constatation du caractère illicite de l’atteinte ;
• La réparation des conséquences d'un traitement illicite de données ;
• La rectification des données personnelles les concernant ;
• La destruction des données personnelles les concernant.

En cas de refus, l’entité communale concernée doit rendre une décision formelle brièvement motivée, avec indication des voies de recours (auprès de l’Autorité de protection des données et de droit à l’information ou du Tribunal cantonal au choix du recourant). L’Autorité de protection des données et de droit à l’information met à disposition sur son site internet des modèles de décision.

Les entités communales doivent annoncer leurs fichiers à l’Autorité de protection des données et de droit à l’information par le biais du registre des fichiers. Ce dernier n’a toutefois pas encore été déployé auprès des communes, qui seront averties en temps opportun.

Traditionnellement, une distinction est opérée entre :

• la vidéosurveillance d’observation, qui tend à surveiller des mouvements dans un endroit donné et ne vise pas le traitement de données personnelles ;
• la vidéosurveillance invasive, dont le but est de surveiller une personne en particulier, à son insu, dans le cadre par exemple d'une enquête de police ;
• la vidéosurveillance dissuasive, à laquelle on recourt pour éviter la perpétration d'infractions sur un certain lieu.

La vidéosurveillance dissuasive est règlementée de manière stricte dans la LPrD (procédure d’autorisation, etc.). A cet égard, nous vous renvoyons à la fiche technique de l’aide-mémoire relative à la vidéosurveillance dissuasive.

La vidéosurveillance d’observation devrait en principe ne pas impliquer le traitement de données personnelles et ainsi échapper au champ d’application de la LPrD. Or, les technologies utilisées aujourd’hui impliquent dans de nombreux cas que des données personnelles soient tout de même traitées lorsque l’on recourt à celle-ci. Si tel est le cas, les principes généraux de protection des données, en particulier le principe de légalité, doivent être respectés.

Lorsque des traitements de données sont réalisés, les questions suivantes doivent systématiquement être posées :

• Le traitement des données est-il expressément prévu par une base légale ou sert-il à l’accomplissement d’une tâche publique ?
• Les données sont-elles traitées dans le but pour lequel elles ont été collectées ?
• Seules les données nécessaires à l’accomplissement de la tâche sont-elles traitées ?
• Les personnes concernées savent-elles que des données les concernant sont traitées, et dans quel but ?
• Les données ont-elles été saisies correctement et sont-elles tenues à jour ?
• Quelles mesures (physiques, techniques et organisationnelles) sont prises pour empêcher un traitement illicite des données ?
• Se justifie-t-il de conserver les données ou peuvent-elles être archivées, anonymisées ou détruites ?
• Est-il possible de communiquer des données ?
• Le personnel de la commune connaît-il la procédure à suivre en cas de demande d’accès d’un administré à ses propres données ?
• Existe-il un référentiel de conservation ?

Sensibiliser les élu·e·s et le personnel communal à leurs obligations s’agissant du traitement des données personnelles et des conséquences pouvant résulter d’une divulgation illicite de données.

En cas de doute, il ne faut pas hésiter à contacter l’Autorité de protection des données et de droit à l’information, qui fournit notamment des renseignements juridiques via sa hotline du lundi au vendredi de 10h30 à 12h30 au 021 316 40 64.

Sur vd.ch :

Autorité de protection des données et de droit à l’information/Protection des données

Bases légales :

• Constitution du 14 avril 2003 du Canton de Vaud (Cst-VD ; BLV 101.01)
• Loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65)
• Règlement d’application du 29 octobre 2008 de la loi du 11 septembre 2007 sur la protection des données personnelles (RLPrD ; BLV 172.65.1)

Formations :

• Loi sur la protection des données personnelles : Principes et conséquences pour les administrations communales

Prestations en ligne :

• Accès au registre des fichiers