Préposé à la protection des données et transparence Jura-Neuchâtel
Thèmes de A à Z
Rechercher dans le site Qui est concerné ?
Entité et personnes concernées Règles applicables
Convention CPDT-JUNE, ... Modèles Documents
Pour entités et particuliers Guides pratiques
Procédures, vidéosurveillance, ...
AccueilDocumentationThèmes A-ZDonnées sensibles

Données sensibles

Protection des données & transparence

Protection des données

Sommaire

Tranparence

Sommaire

  

Définition

Sont des données sensibles (art. 14 CPDT-JUNE), les données sur :

  1. Opinions syndicale, religieuse, politique ou philosophique;
  2. Appartenance à une association qui prône des opinions syndicale, religieuse, politique ou philosophique;
  3. Données relatives à la santé;
  4. Données que la personne concernée réserve à un cercle très restreint de proches;
  5. Lieu/pays d'origine (ou toutes données permettant de l'identifier indirectement);
  6. Ethnie (ou toutes données permettant de la déterminer indirectement);
  7. Prestations sociales (aide sociale, assurances sociales en rapport avec la maladie et l'accident, réduction primes LAMal, bourses, PC, avances de pension, aides LAVI, ...);
  8. Mesures de curatelles;
  9. Poursuites ou sanctions pénales;
  10. Poursuites ou sanctions administratives;
  11. Données biométriques;
  12. Données génétiques;
  13. Ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.

Informations

Selon l'art. 16 CPD-JUNE, les traitements de données sensibles doivent être expressément prévus dans une loi adoptée par le législatif ou être nécessaires à l'accomplissement d'une tâche clairement définie figurant dans une telle loi.

En choisissant la deuxième option, les entités doivent être attentives au fait que les tâches risquent de changer, sans réaliser que des traitements de données personnelles sensibles deviendront illicites, alors qu'ils restent indispensables à leurs activités métier.

Cependant, une base légale matérielle suffit si le traitement :

  1. est indispensable à l’accomplissement d’une tâche clairement spécifiée dans une loi au sens formel;

  2. ou n'est pas susceptible d'entraîner des risques particuliers pour la personnalité et les droits fondamentaux des personnes concernées.

Protection des données

                        

Avis publiés par le PPDT

Prises de position sommaires du PPDT

2024 - 2023 - 2019 - 2014 - 2013

  1. Même pour la lutte contre la fraude, les traitements de données doivent reposer sur une base légale ou une tâche légale. Lorsqu’il s’agit de données sensibles, il faut une base légale adoptée par le législatif (art. 16 et 25 CPDT-JUNE). De plus, il ne faut pas qu’une base légale l’en empêche (art. 26 CPDT-JUNE). Par exemple, une communication d'une caisse de chômage à un service social n'est possible qu'aux conditions de l’art. 97a LACI. De même pour les communications d'un office AI à un service de la population, dans ce cas, aux  conditions sont posées par l'art. 66a LAI. Quant aux communications spontanées entre les caisses de chômage et les offices AI, elles ne peuvent se faire qu'aux conditions de l’art. 32 al. 2bis LPGA.
    En d'autres termes, chaque récolte et communication doit être examinée au cas par cas, afin de s’assurer que l’échange a lieu conformément aux bases légales. De plus, quand bien même la loi permettrait la communication, il faut que le principe de la proportionnalité soit respecté. Seules les données personnelles nécessaires peuvent être traitées (dossier 2024.5569).

  2. Les enregistrements audio à l'école doivent respecter les articles 179bis et 179ter du Code pénal. Autrement dit, il faut obtenir le consentement des enfants à partir de 10-12 ans et celui des représentants légaux pour les plus jeunes.
    Si l’enregistrement contient des données personnelles sensibles, il faut une base légale adoptée par le Parlement. S’il s’agit de données personnelles non sensibles, le devoir d’informer doit être respecté auprès des enfants de plus de 10-12 ans, auprès des représentants légaux pour les plus jeunes (dossier 2024.5354).

  3. La soumission à des secrets n’influence pas les conditions d’application des règles de protection des données.
    Pour qu’une entité soumise à la CPDT-JUNE puisse communiquer des données personnelles à une autre entité soumise à la CPDT-JUNE, les conditions des art. 25 et 26 CPDT-JUNE doivent être respectées. Les entités ne sont en droit de communiquer des données, d'office ou sur requête, que si une base légale l’autorise ou si la communication est nécessaire à l’accomplissement d’une tâche légale. En présence de données sensibles ou de profilages, l’autorisation ou la tâche doit reposer sur une loi au sens formel ; pour autant qu’aucune exception de l’art. 26 CPDT-JUNE ne soit réalisée.
    Même au sein d'une commune, la nécessité de transmettre des données non anonymisées doit être validée par le service qui les a récoltées et non pas par le service qui les reçoit. Si les données sont sensibles, le service responsable de traitement doit également pouvoir se prévaloir d'une base légale formelle (dossier 2024.5299).

  4. Une communication sur intranet doit, comme toute communication, respecter le principe de la proportionnalité (art. 17 CPDT-JUNE), c’est-à-dire atteindre le moins possible la personnalité des personnes concernées. D’autant plus lorsqu’il s’agit de données qui peuvent être sensibles. Cela comprend l'obligation de déterminer si cette publication est réellement nécessaire et si d’autres alternatives peuvent être trouvées, comme par exemple simplement indiquer qu’il faut s’adresser à un service pour obtenir les informations à communiquer (dossier 2024.5300).

  5. L’envoi de données protégées, soit par la CPDT-JUNE, soit par le secret de fonction ne peut transiter par e-mail que si la sécurité de la transmission, mais également de la réception est assurée.
    Au niveau de la transmission, la sécurité est de mieux en mieux garantie. Par contre, au niveau de la réception, se pose la question de savoir si le consentement des destinataires suffit pour leur adresser un courrier potentiellement lisible par des tiers. L’art. 25 al. 1 let. b permet effectivement de communiquer des données personnelles à des tiers, si la personne concernée y a consenti. Cependant, il s’agit d’obtenir un consentement totalement libre et parfaitement éclairé.
    En d’autres termes, les assurés doivent non seulement pouvoir librement choisir entre la conservation de la situation actuelle, sans être prétérités, et le nouveau canal proposé. Le cas échéant, ils doivent être rendus très, très attentifs au fait que selon leur fournisseur de boîte e-mail (@outlook.com, @hotmail.com, @gmail.com, …), la confidentialité ne sera pas garantie. Les boîtes assurant la confidentialité ne sont pas majoritaires (dossier 2024.5139).

  6. Les photographies/images de vidéosurveillances ne sont des données sensibles que si des données sensibles y figurant sont spécifiquement traitées et non pas la photographie/l'image dans son ensemble.
    Par exemple, dans le cas d'enregistrements soumis à la reconnaissance faciale à l'aide d'outils biométriques, il s'agit d'un traitement de données sensibles. En revanche, si l'utilisation se limite à constater des dégâts et à essayer de reconnaître les auteurs, il ne s'agit pas de données sensibles.
    Pour mémoire, seuls les traitements de données sensibles doivent faire l'objet d'une déclaration auprès du PPDT (dossier 2024.5114).

  7. La facturation de RHNE constitue un traitement de données personnelles sensibles et nécessite donc une base légale formelle, avec une densité normative adéquate, pour pouvoir être déléguée à une autre entité cantonale. La loi doit au moins contenir les exigences de l’art. 24 CPDT-JUNE sur le devoir d’information. L’externalisation de la facturation exige en plus une levée du secret médical, notamment en obtenant le consentement exprès et éclairé du patient (pour plus de détail sur la levée du secret médical, voir avis 2013.0460).
    A relever enfin que, en principe, la simple qualité de patient d’un médecin constitue une donnée personnelle sensible soumise au secret médical (dossier 2023.4945).

  8. Selon l’art. 25 CPDT-JUNE, une entité peut communiquer des données personnelles sensibles, si leur récolte est légitimée par une base légale formelle et s’il a été obtenu un consentement libre, parfaitement informé et spécifique quant à son objet.
    Les autorités scolaires peuvent donc communiquer aux enseignants les mesures de besoin d’éducation particulier, pour autant qu’elles bénéficient d’un consentement valable des représentants légaux ou de l’enfant de plus de 12 ans (dossier 2023.5015).

  9. Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

  10. Un médecin n’est pas en droit de contacter des tiers en pensant que cela est dans l’intérêt de son patient, sans le consentement préalable de ce dernier et sans que les conditions de l’article 17 CP ne soient remplies (dossier 2019.2990).

  11. L’énumération des données sensibles figure à l’article 14 CPDT-JUNE et des précisions sont données sur cette page. Ce catalogue est imposé par la Convention 108 du Conseil de l’Europe ou dans la directive européenne Schengen-Dublin. Les notes des élèves « stricto sensu » ne sont pas relatives à la santé. Si tel était le cas, il faudrait alors aussi juger que la couleur des habits ou d’une voiture donne des pistes sur le profil psychologique de leurs propriétaires. En revanche, il faut examiner au cas par cas les rapports d’évaluation pour déterminer s’il en ressort ou non des données relatives à la santé de l’élève. Si d’aventure il est évoqué, par exemple, une dyslexie, son contenu devient sensible (dossier 2019.2820).

  12. Un responsable hiérarchique n'est pas en droit de récolter des données médicales de ses subalternes. S'il soupçonne une incapacité de travail, il doit les envoyer chez un médecin conseil (dossier 2011.0122).

  13. La police cantonale se doit d'informer les CFF si un pilote de locomotive conduisant sa voiture a été mesuré avec un taux d'alcoolémie supérieur à la norme autorisée pour la route. En revanche, la question reste ouverte lorsqu'il a un taux inférieur à 0.5 pour mille, mais supérieur au 0.1 pour mille autorisé pour conduire un locomotive (dossier 2014.0825).

  14. Lorsqu'il est demandé des données personnelles pour effectuer une recherche / statistique, il faut si possible livrer des données anonymisées, surtout s'il s'agit de données sensibles, notamment celles de la police. Une entité n'est en principe pas tenue de participer à une recherche / statistique, excepté s'il y a une base légale (dossier 2014.0693).

  15. Les autorités de protection des enfants et des adultes ne sont pas en droit de communiquer des listes de personnes mises sous curatelle aux communes ou à qui que ce soit d'autre, conformément au Code civil suisse (dossier 2013.0581).

  16. L'accès à un dossier en 2013 détenu par les archives cantonales et contenant des données sensibles sur une personne décédée en 2003 doit être refusé, sauf si l'Office des archives a pleine confiance dans le chercheur et dans le respect de l'engagement que ce dernier prendra pour ne pas porter atteinte à la personnalité de la personne concernée lors de l'utilisation des données (dossier 2013.0469).

  17. Lorsque le système d'information SAP est utilisé, il faut veiller que l'accès aux données personnelles, sensibles ou non, soit strictement limité aux ayant droits. L'accès à la liste des détenus hors cantons (mentionnant le montant et le lieu) par tous les utilisateurs n'est, par exemple, pas conforme aux règles sur la protection des données (dossier 2010.0051).

Transparence


    

Avis publiés par le PPDT

2015.07.24_Accès aux dossiers de procédures judiciaires en cours ou clôturées (2015.1029)

Prises de position sommaires du PPDT

2014

  1. Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

  2. Le fait que les opinions politiques soient des données sensibles n'empêche pas que les collectivités adoptent une base légale formelle sur la transparence des partis politiques.  La protection de la personnalité empêche que la publication se fasse sur internet et exige le respect de quelques modalités (pas de fichier informatisé sans base légale, informations préalables des donateurs,…) (dossier 2014.0862).

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.