Protection des données
Introduction
L’art. 15 de la Constitution vaudoise du 14 avril 2003 (Cst-VD ; BLV 101.01) protège les citoyen·ne·s contre l’utilisation abusive des données qui les concernent. Cette protection trouve son expression dans la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65), qui régit notamment les traitements de données personnelles réalisés par les communes vaudoises.
Dernière mise à jour le 12.10.2023
Les communes doivent pouvoir traiter des données personnelles, dans les domaines les plus divers : contrôle des habitants, gestion des déchets, aide sociale, etc. Tout traitement de données personnelles doit toutefois être réalisé dans le respect de certains principes afin d’éviter les abus. Les questions suivantes doivent dès lors être systématiquement posées :
- Légalité : le traitement des données est-il expressément prévu par une base légale, ou sert-il à l’accomplissement d’une tâche publique ?
- Finalité : les données sont-elles traitées dans le but pour lequel elles ont été collectées ?
- Proportionnalité : seules les données nécessaires à l’accomplissement de la tâche sont-elles traitées ?
- Transparence : les personnes concernées savent-elles que des données les concernant sont traitées, et dans quel but ?
- Exactitude : les données ont-elles été saisies correctement et sont-elles tenues à jour ?
- Sécurité : quelles mesures (physiques, techniques et organisationnelles) sont prises pour empêcher un traitement illicite des données ?
- Conservation : se justifie-t-il de conserver les données ou peuvent-elles être archivées, anonymisées ou détruites ?
Certaines données personnelles, considérées comme sensibles (liste exhaustive à l’art. 4 al. 1 ch. 2 LPrD), sont particulièrement protégées. Il s’agit notamment des données se rapportant à la santé, à l’origine ethnique ou à la religion. Elles ne peuvent être traitées par les autorités qu’à des conditions plus strictes. Par exemple, la base légale autorisant le traitement doit avoir été adoptée par l’organe législatif.
Droit des citoyen·ne·s
Toute personne peut en principe consulter les données la concernant. Cette demande n’est soumise à aucune exigence de forme. Si elle a un intérêt digne de protection, elle peut aussi demander par exemple la suppression ou la modification de données.
En cas de refus, la commune doit rendre une décision formelle brièvement motivée, avec indication des voies de recours (auprès de la·du préposé·e à la protection des données ou auprès du Tribunal cantonal).
Communication des données
La communication des données constitue un mode particulier du traitement des données. L’art. 15 LPrD précise les conditions spécifiques auxquelles une communication peut intervenir, même entre des services ou dicastères d’une même commune. Les principes généraux, mentionnés ci-dessus, doivent également être respectés.
Registre des fichiers
Les communes doivent annoncer leurs fichiers à la·au préposé·e à la protection des données, par le biais du registre des fichiers. Ce dernier n’a toutefois pas encore été déployé auprès des communes, qui seront averties dès qu’elles devront procéder à l’annonce de leurs fichiers.
La vidéosurveillance dissuasive
La vidéosurveillance dissuasive peut constituer un moyen de lutter contre certains types de délits. Son efficacité n’est cependant pas avérée dans toutes les circonstances et elle peut mettre en cause les droits fondamentaux des citoyen·ne·s. Le législateur a voulu permettre aux communes d’installer des systèmes de vidéosurveillance dissuasive, pour éviter la perpétration d’infractions sur un certain lieu, tout en posant un cadre strict. La loi fixe ainsi les conditions à respecter pour permettre la mise en œuvre de telles installations, en particulier :
- existence d’un règlement communal ;
- autorisation préalable de la·du préfet·ète du district concerné ;
- proportionnalité ;
- durée de conservation limitée des images ;
- installation d’un système de journalisation automatique ;
- information du public.
Les bonnes questions
Voir les questions posées ci-dessus, ou encore :
- Les principes généraux de protection des données sont-ils respectés ?
- Est-il possible de communiquer une information ?
- Le personnel de la commune connaît-il la procédure à suivre en cas de demande d’accès d’un administré à ses propres données ?
- Existe-t-il un plan de conservation des données ?
Recommandations
Établir un inventaire des fichiers utilisés par l’administration communale.
Sensibiliser les élu·e·s et le personnel communal à leurs obligations s’agissant du traitement des données personnelles et des conséquences pouvant résulter d’une divulgation illicite de données.
Plus d'informations
Sur vd.ch :
Bases légales :
- Constitution du 14 avril 2003 du Canton de Vaud (Cst-VD ; BLV 101.01)
- Loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65)
- Règlement d’application du 29 octobre 2008 de la loi du 11 septembre 2007 sur la protection des données personnelles (RLPrD ; BLV 172.65.1)
Formations :
Prestations en ligne :
Contact :
Autorité de protection des données et de droit à l’information (APDI)
Rue Caroline 2 – Case postale 171 – 1001 Lausanne
Tél. 021 316 40 64 – info.ppdi@vd.ch