Données personnelles

Toutes les informations qui se rapportent à une personne identifiée ou identifiable sous forme de mots, d'images ou de signes. Par exemple, numéro de téléphone, adresse e-mail, identifiant d'un compte, plaque d'immatriculation, carte sim, fichiers word/excel/pdf... contenant des noms, photos d'une personne, évaluations scolaires, contenu d'un compte sur un réseau, boîte e-mail, etc.

• Une personne est identifiée lorsqu'il ressort directement des informations détenues qu'il s'agit d'une personne déterminée et d'elle seule (par exemple une pièce d'identité).

• Une personne est identifiable lorsque, par corrélation indirecte d'informations tirées des circonstances ou du contexte, on peut l'identifier (par exemple lorsque, à partir de données concernant des biens immobiliers, on peut remonter au propriétaire). Une possibilité purement théorique n'est cependant pas suffisante, notamment si l'identification nécessite des moyens tels que, selon le cours ordinaire des choses, aucun intéressé ne les mettra en œuvre (parce qu'il lui faudrait par exemple procéder à une analyse sophistiquée d'une statistique) (^{Message du Conseil fédéral concernant la LPD, FF 1988 II 421, p. 452}).

A relever que La prise d'images dans l'espace public sur lesquelles des personnes ou des plaques d'immatriculation sont visibles constitue un traitement de données personnelles (^{Arrêt du TF du 9 octobre 2023, 6B_68/2023, consid. 2.1.2; ATF 146 IV 226 consid. 3.1}), dans la mesure où elles peuvent être rattachées à une personne sans grands efforts (^{ATF 138 II 346 consid. 6.5}) (^{arrêt du 17 mars 2023 de la Cour de justice genevoise AARP/91/2023, consid. 2.2.1}).

Lorsqu'il s'agit de données non personnelles (la personne n'est pas reconnaissable directement ou par recoupement d'informations), la CPDT-JUNE n'est pas applicable (par exemple, une statistique scolaire, un rapport sur l'observation de la faune, des relevés météorologiques, etc.)

Toutefois, la puissance des recoupements d'informations des clouds étant toujours plus forte, les informations anonymisées relatives à des personnes se muent toujours plus en données personnelles à l'insu de l'utilisateur du cloud.

A relever également que les différents services/réseaux gratuits (IA, Instagram, Whatsapp, Google...) ne s'intéressent pas forcément, ou pas uniquement, à traiter les données personnelles qui leur sont livrées consciemment (photos, messages, documents, ...), mais aussi, voire surtout, aux données "accessoires" liées à l'utilisation par les personnes concernées (métadonnées, telles que la localisation, les contacts, le nombre d'utlisation, le paramétrage, ...) (^{Daniel W. Seiler / Marcel Griesinger, Spannungsfeld Künstliche Intelligenz (KI) und Datenschutzrecht, in: Jusletter 25. September 2023}).

Les données cryptées pourraient constituer des données non personnelles, pour autant qu'elles restent indéchiffrables pour les tiers.

Selon le Tribunal administratif fédéral, dans un arrêt du 10 avril 2012 (A-4467/2011), il a rappelé que : Par données personnelles (ou "données" au sens de la loi sur la protection des données), on entend toutes les informations qui se rapportent à une personne identifiée ou identifiable (^{art. 3, let. a, LPD}). Sont considérées comme des données toutes les informations qui visent à transmettre ou à conserver des connaissances, indépendamment du fait qu'il s'agisse d'une constatation de fait ou d'un jugement de valeur. Peu importe également qu'une déclaration se présente sous la forme d'un signe, d'un mot, d'une image, d'un son ou d'une combinaison de ceux-ci et sur quel type de support de données les informations sont enregistrées. Ce qui est déterminant pour la qualification de données personnelles, c'est que les indications puissent être attribuées à une ou plusieurs personnes. Les données dites matérielles sont donc toujours des données personnelles lorsqu'elles peuvent être mises en relation avec une personne. Une personne est en outre identifiée lorsqu'il ressort de l'information elle-même qu'il s'agit de cette personne bien précise. La manière dont le lien est établi avec la personne concernée est sans importance. Enfin, sont également considérées comme des données personnelles les informations qui permettent uniquement d'identifier une personne, car la combinaison de différentes informations permet de l'identifier sans effort disproportionné. L'effort à fournir pour déterminer une personne n'est toutefois plus justifiable si, selon l'expérience générale de la vie, il ne faut pas s'attendre à ce qu'un intéressé prenne cet effort à sa charge (^{cf. FF 1988 II 444 s. ; URS BELSER, BSK-DSG, op. cit., art. 3 ch. 5 s.}). La question de savoir si une information peut être mise en relation avec une personne sur la base de données supplémentaires, c'est-à-dire si l'information se rapporte à une personne identifiable (^{art. 3, let. a LPD}), s'apprécie du point de vue du détenteur de l'information. Dans le cas de la transmission d'informations, il suffit que le destinataire soit en mesure d'identifier la personne concernée (^{arrêt du Tribunal fédéral 1C_285/2009 du 8 septembre 2010 consid. 3.4 avec références, consid. 5.1}).

1. Une demande d’accès à ses données personnelles détenues par le service de protection de l’enfant et de l’adulte ne concerne pas seulement des données de la partie demanderesse, mais aussi, souvent, celles de tiers. Selon le Tribunal fédéral (arrêt 1C_376/2022 du 10 mai 2023), l’accès aux données de tiers, dans le cadre de sa demande d’accès à ses propres données, n’est pas autorisé. S’il n’est pas possible d’anonymiser, il faut refuser la demande. Plus largement, un refus d’accès ne peut avoir lieu qu’aux conditions de l’art. 33 CPDT-JUNE (dossier 2023.4965).

2. Si une entité ne poste pas de données personnelles (photos de personnes reconnaissables par exemple), l’utilisation d’un réseau social n’échappe que « partiellement » aux exigences des règles de protection des données. C’est-à-dire que, même si l’entité ne publie aucune donnée personnelle, il n’empêche qu’elle n’a aucune garantie que le réseau social ne siphonne pas les données, plus ou moins à l’insu des utilisateurs. Or, en 2018, la Cour de justice de l’UE a déclaré qu’il existait une responsabilité conjointe entre le réseau social et les entreprises utilisant les « Fan page ». Autrement dit, si le réseau social enfreint les règles de protection données, l’entreprise qui a ouvert la page engage aussi sa responsabilité relative aux traitements de données (pour les détails, voir l’avis 2018.2320), (dossier 2023.4975).

3. Les établissements d’assurances incendies JU et NE ne peuvent communiquer des données personnelles à des tiers qu’aux conditions de l’art. 25 CPDT-JUNE; notamment si une loi le permet ou si les personnes concernées ont donné leur consentement (dossier 2023.4819).

4. Si un système d’information fait l’objet d’une violation de sécurité, seul le responsable de traitement doit faire l’annonce de violation à l’autorité à laquelle il est soumis. Les entités qui ont communiqué des données personnelles à ce système ne sont pas tenues de respecter l’art. 23c CPDT-JUNE (dossier 2023.4809).

5. Le personnel des entités, telles que les Communes ou des services cantonaux, ne sont pas en droit d’utiliser leur accès privilégié aux données de l’établissement cantonal d’assurance incendie pour communiquer des données personnelles à des tiers ou d’utiliser ces dernières à d’autres fins (dossier 2023.4622).

6. Le personnel des entités, telles que les Communes ou des services cantonaux, ne sont pas en droit d’utiliser leur accès privilégié au Registre Foncier pour communiquer des données personnelles à des tiers (dossier 2022.4497).

7. Les traitements de données personnelles des consommateurs d’électricité captifs sont soumis aux règles de protection des données cantonales (CPDT-JUNE). Pour les clients qui bénéficient des règles du marché concurrentiel, la LPD est applicable, (dossier 2023.4581).

8. Les services cantonaux des automobiles sont en droit, selon l'art. 89g al. 5 LCR de communiquer les nom et adresse des détenteurs de véhicules si la communication officielle de ces données ne fait pas l’objet d’une opposition ^{(voir aussi Livio DI TRIA, Le Service des Automobiles et de la Navigation du canton de Vaud introduit l’auto-index, 27 janvier 2022 in www.swissprivacy.law/118; https://www.frc.ch/comment-eviter-la-publication-de-donnees-personnelles-liees-aux-plaques-dimmatriculation/; https://asa.ch/fr/services-des-automobiles/requetes-de-detenteurs/}), (dossier 2023.4999).

9. Des photos suffisamment floutées rendant les numéros de plaques illisibles ou les gens méconnaissables ne constituent pas des données personnelles (dossier 2012.0355).

10. Lorsqu'il est demandé des données personnelles pour effectuer une recherche / statistique, il faut si possible livrer des données anonymisées, surtout s'il s'agit de données sensibles, notamment celles de la police. Une entité n'est en principe pas tenue de participer à une recherche / statistique, excepté s'il y a une base légale (dossier 2014.0693).

11. L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).

12. Un directeur concerné par un audit a le droit d'accéder à ses données personnelles, sous réserve des exceptions prévues à l'article 33 CPDT-JUNE. Il peut aussi avoir droit à l'ensemble de l'audit lorsque ce document peut être qualifié d'officiel (art. 71 CPDT-JUNE) et que les exceptions prévues à l'article 72 CPDT-JUNE ne sont pas remplies (dossier 2014.0690).

13. La communication de données personnelles par l'intermédiaire d'internet ne respecte généralement pas le principe de la proportionnalité puisque la durée d'accès est difficilement maîtrisable (dossier 2014.0683).

14. Il a été rappelé à un Conseiller communal que le devoir d'informer le public prévu par les règles sur la transparence est limité par la protection des données personnelles. De plus, si la communication d'un fait notoire ne constitue pas une violation du secret de fonction, il n'en va pas de même sous l'angle de la protection des données (dossier 2013.0530).

1. Si une entité ne poste pas de données personnelles (photos de personnes reconnaissables par exemple), l’utilisation d’un réseau social n’échappe que « partiellement » aux exigences des règles de protection des données. C’est-à-dire que, même si l’entité ne publie aucune donnée personnelle, il n’empêche qu’elle n’a aucune garantie que le réseau social ne siphonne pas les données, plus ou moins à l’insu des utilisateurs. Or, en 2018, la Cour de justice de l’UE a déclaré qu’il existait une responsabilité conjointe entre le réseau social et les entreprises utilisant les « Fan page ». Autrement dit, si le réseau social enfreint les règles de protection données, l’entreprise qui a ouvert la page engage aussi sa responsabilité relative aux traitements de données (pour les détails, voir l’avis 2018.2320), (dossier 2023.4975).