Guide protection des données

La protection des données a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données personnelles (art. 1 CPDT-JUNE). Contrairement à ce que l’on pourrait penser, ce ne sont pas les données qui sont protégées, mais la personnalité des individus qui font l’objet d’un traitement de données. Le droit de la protection des données a pour but de protéger la sphère privée, garantie par l’art. 13 de la Constitution fédérale de la Confédération suisse (Cst.). En effet, tout traitement de données personnelles pouvant potentiellement constituer une atteinte à la personnalité, il doit nécessairement être encadré par certaines règles et principes, dont celui de la proportionnalité. Ainsi, le droit de la protection des données n’a pas pour but d’interdire tout traitement, indispensable au bon fonctionnement de l’autorité, mais d’en fixer un cadre et des limites afin de protéger la sphère privée des individus.

Au niveau constitutionnel, l’art. 13 al. 2 Cst. garantit aux personnes la protection contre l’emploi abusif des données les concernant. La loi fédérale sur la protection des données (LPD) s’applique aux traitements de données personnelles par des privés et par les organes fédéraux. Au niveau cantonal, la CPDT-JUNE s’applique aux traitements de données personnelles par les autorités cantonales, telle que définies par la loi, dont font parties les communes. Il faut également mentionner au niveau international la Convention 108 du Conseil de l’Europe (Conv. 108) et son protocole additionnel (Prot. Add. 181) dont les cantons sont soumis aux exigences dans leurs propres domaines de compétences, ainsi que la Directive UE 2016/680 du Parlement européen et du Conseil du 27 avril 2016.

La CPDT-JUNE donne un certain nombre de définitions en relation avec la protection des données dans son article 14.

1. Données personnelles;

2. Données sensibles;

3. Profilages;

4. Fichier;

5. Personne concernée;

6. Responsable du traitement;

7. Traitement;

8. Communication;

9. Communication en ligne;

10. Loi au sens formel;

11. Sous-traitant;

12. Destinataire: la personne physique ou morale, l’autorité publique, le service, l’agence ou tout autre organisme qui reçoit communication de données ou à qui des données sont rendues accessibles;

13. Décision individuelle automatisée: toute décision prise exclusivement sur la base d’un traitement de données automatisé, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative;

14. Violation de la sécurité des données;

Le droit de la protection des données personnelles connaît quelques grands principes qui doivent toujours dicter le comportement d’une autorité face à un traitement de données personnelles. Pour chaque traitement de données, l’autorité devra avoir en tête ces principes, qui lui permettront d’appliquer correctement la loi, même dans les cas où la loi (ou le présent guide) ne donnerait apparemment aucune réponse au problème :

a. Légalité (art. 16 CPDT-JUNE)

b. Proportionnalité (art. 17 CPDT-JUNE)

c. Finalité (art. 18 CPDT-JUNE)

d. Devoir d'informer (art. 18 et 24 CPDT-JUNE)

e. Exactitude (art. 19 CPDT-JUNE)

f. Sécurité (art. 20 CPDT-JUNE)

Avant toute collecte ou nouveau traitement, il est utile de vérifier que les données en cause constituent bel et bien des données personnelles absolument nécessaires pour atteindre le but poursuivi (proportionnalité), puisque s'il s'agit de données non personnelles, la CPDT-JUNE (et ses obligations) ne s'applique pas.

Conformément au principe de légalité, toute collecte ou nouveau traitement doit reposer sur une base légale ou être nécessaire à l’accomplissement d’une tâche légale. L’autorité doit déterminer, conformément aux principes de finalité et de proportionnalité, quelles données vont être récoltées. Cela peut ressortir de la loi, comme par exemple, la loi fédérale sur l’harmonisation des registres des habitants et d’autres registres officiels de personnes (LHR) qui prévoit à son art. 6 quelles données les registres des habitants doivent contenir au minimum. Si ce n'est pas le cas, les personnes concernées doivent en être informées.

A relever que les données de localisation, même si elles ne sont pas des données personnelles sensibles, peuvent causer des atteintes à la personnalité des administrés.

Dans la mesure du possible, les données doivent être récoltées auprès de la personne concernée. En cas de collecte de données auprès de la personne concernée, l'entité lui communique les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la CPDT-JUNE et, pour que la transparence des traitements soit garantie, elle lui communique au moins : son identité et ses coordonnées, la finalité du traitement, le cas échéant les destinataires ou les catégories de destinataires auxquels des données sont transmises (devoir d'information, art. 24 CPDT-JUNE).

En outre, l'entité a l’obligation d’informer la personne concernée de toute collecte de données la concernant, si cette dernière n'est pas effectuée auprès d'elle (art. 24 CPDT-JUNE). Ce devoir peut être restreint aux conditions de l’art. 24a CPDT-JUNE. Enfin, une décision automatisée (sans qu’une appréciation humaine intervienne) doit reposer sur une base légale expresse qui doit prévoir l'information de l'administré. La personne concernée peut aussi obtenir cette information par l'intermédiaire de son droit d'accès (art. 31 CPDT-JUNE).

Conformément aux principes de finalité et de proportionnalité, les données ne doivent pas être conservées plus longtemps que nécessaire. L’autorité doit régulièrement procéder à un examen et supprimer, respectivement anonymiser les données qui ne sont plus pertinentes.

Les fichiers contenant des données sensibles doivent être déclarés au PPDT.

Tous les fichiers en possession d’une entité doivent être inventoriés dans un registre tenu par cette dernière. Ces registres sont publics (art. 22 CPDT-JUNE).

Enfin, la sécurité des données doit être garantie, tant sur le plan technique qu’organisationnel. Une journalisation des traitements automatisés de données sensibles ou de profils de la personnalité devrait être prévue lorsque les mesures préventives ne suffisent pas à garantir la protection des données. La journalisation permet le contrôle a posteriori des accès aux données.

L'accès aux données personnelles doit être limité aux personnes qui en ont besoin pour accomplir leurs taches légales.

Les communications aux tiers de données personnelles par une entité sont possibles à l’une des conditions suivantes :

• Une base légale le prévoit ou lorsque la communication est nécessaire à l’accomplissement d’une tâche légale; en présence de données sensibles ou de profilages, l’autorisation ou la tâche doit reposer sur une loi au sens formel.

• La personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun et ne s'est pas opposée formellement à la communication au sens de l'art. 36 CPDT-JUNE.

• La personne concernée n’est pas en mesure de donner son consentement, la communication des données est dans son intérêt et son consentement peut être présumé conformément aux règles de la bonne foi.

• Le destinataire rend vraisemblable que la personne concernée ne refuse son accord ou ne s’oppose à la communication que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes; la personne concernée sera auparavant invitée à se prononcer selon l'art. 30 CPDT-JUNE.

• Les données sont contenues dans un document officiel auquel l'accès est demandé selon le chapitre IV, et que la communication est justifiée par un intérêt public prépondérant.

Les entités sont en droit (mais pas obligée)  de communiquer sur demande à une personne ou une organisation privée  le nom, le prénom, l'adresse, la date de naissance, l'état civil, la profession, le sexe et la nationalité, la provenance et la destination d'une personne, mais pour autant que cela soit dans l’intérêt de la personne concernée ou que le destinataire justifie d’un intérêt digne de protection (par exemple, un créancier qui cherche son débiteur, pour autant que le créancier rende vraisemblable sa créance). Par ailleurs, il ne faut pas confondre cette communication à des tiers avec l’attestation de domicile, qui est un document personnel destiné uniquement à la personne concernée.

Des listes peuvent être communiquées à certaines conditions.

La communication de données personnelle est refusée ou restreinte lorsqu'un intérêt prépondérant public ou privé, en particulier de la personne concernée, l’exige, ou qu'une base légale (secret de fonction, ...) interdit la communication (art. 26 CPDT-JUNE). Le cas échéant, l'entité doit indiquer sommairement et par écrit les motifs de sa position, de même que la possibilité de saisir le PPDT.

Si une entité en a régulièrement besoin pour l'accomplissement des tâches légales qui lui incombent, l'exécutif concerné peut lui rendre accessibles en ligne les données nécessaires, après consultation du PPDT.

Des données sans référence aux personne concernées peuvent être communiquées à des fins scientifiques, statistiques, de planification ou de recherche pour autant qu’elles soient transmises de manière qu’une identification des personnes ne soit plus possible.

En sus des conditions pour la communication de données (art. 25 à 29 CPDT-JUNE), des données personnelles ne peuvent être communiquées à un destinataire à l'étranger, dont l'État n’assure pas un niveau de protection adéquat, que si les conditions de la législation fédérale sont remplies (art. 27 CPDT-JUNE). Le Conseil fédéral publie une liste des pays assurant un niveau de protection adéquat.

Les conditions à respecter figurent dans la section 3 de la LPD. Les entités informent le préposé des garanties prises en vertu de cette législation avant la communication de données.

Les administrés qui ont un intérêt légitime peuvent s’opposer à ce que le responsable du traitement communique des données déterminées. Mais l’opposition peut être écartée si :

• Le responsable du traitement est juridiquement tenu de communiquer les données.

• Un intérêt public prépondérant exige la communication, notamment lorsque le défaut de communication risque de compromettre l’accomplissement des tâches du responsable du traitement.

Sous réserve des cas graves et urgents, le responsable du traitement sursoit à la communication de données jusqu’à droit connu quant à l’opposition.

L'entité qui charge un tiers d’exécuter un traitement de données doit veiller à ce que la protection de ces informations et le résultat du traitement soient garantis, conformément aux dispositions de la CPDT-JUNE. Il doit soigneusement choisir, instruire et surveiller le mandataire et reste responsable du traitement. La protection peut être garantie avec le tiers par le biais d’une convention.

En cas de sous-traitance à l’étranger, il faudra non seulement respecter les prescriptions de l’art. 54 al. 1 let. d CPDT-JUNE, mais également celles de l'art. 27 CPDT-JUNE.

Un Cloud externe est une forme de sous-traitance.

Selon le principe de finalité et de proportionnalité, les données doivent être détruites, respectivement anonymisées dès que le but du traitement est atteint, respectivement que leur traitement n’est plus nécessaire à l’accomplissement d’une tâche légale. Les dispositions sur l’archivage sont réservées (art. 52 CPDT-JUNE). La durée de conservation des données dépend de toutes les circonstances.

Il est donc conseiller de planifier en anticipant ce qu’il adviendra des données personnelles lorsqu’elles ne seront plus nécessaires.

La CPDT-JUNE prévoit pour les entités la possibilité d’installer des vidéosurveillances aux conditions exposées dans les pages qui y sont dédiées (vidéosurveillance).

Il est à relever que la CPDT-JUNE prévoit uniquement la possibilité de prises de vues et d’images et non de son. En effet, dans le respect du principe de la proportionnalité, tout traitement doit ménager au possible les atteintes à la personnalité. Or, le but premier de l’usage de vidéosurveillance, qui constitue une grave intrusion dans la sphère privée, est de prévenir d’éventuelles atteintes à des personnes ou à des biens et non de remplacer le travail de la police dans la récolte de preuve contre d’éventuels délits ou crimes. Tout traitement moins invasif devra donc être privilégié. Dans un de ses Messages, le Conseil d’État valaisan a rappelé que la vidéosurveillance ne doit pas être utilisé comme un « remède miracle » et que, dans la mesure du possible, d’autres mesures doivent être privilégiées pour assurer l’ordre et la sécurité publique, comme par exemple, l’amélioration de l’éclairage aux endroits sombres ou le renforcement des patrouilles et contrôles de police aux endroits sensibles.

La législation spéciale qui autorise la vidéosurveillance devra expliciter et détailler clairement le but du recours aux caméras dans le cas concret et les informations enregistrées ne devront être utilisées que dans cette fin-là (art. 49 CPDT-JUNE). Ainsi, si par exemple une caméra est installée dans une cour d’école afin de protéger l’intégrité corporelle des élèves et de prévenir d’éventuels dommages à la propriété, les enregistrements ne devront pas être utilisés, sauf circonstances particulières, à d’autres fins, comme dénoncer des élèves qui fument. Il est donc essentiel que le but soit formulé de manière claire et précise.

Le droit d’accès  (art. 31 ss CPDT-JUNE) est un instrument central en protection des données. Il permet à la personne concernée d’assurer un contrôle de ses données. Il a également une fonction préventive. En effet, toute personne qui traite de données personnelles et qui sait que la personne concernée peut y avoir accès mettra davantage de soins dans le traitement. Le droit d’accès est un droit subjectif strictement personnel. C’est-à-dire que toute personne capable de discernement, même sans l’exercice des droits civils, peut exercer ce droit sans le consentement d’un représentant légal et que nul ne peut y renoncer à l’avance.

Le droit d’accès s’applique à toutes les données personnelles de la personne concernée détenues par une entité. Il doit pouvoir s’exercer gratuitement (art. 81 CPDT-JUNE). Un émolument pourrait toutefois être perçu lorsque l’accès à un document nécessite un travail d’une certaine importance. Si l’autorité prévoit de percevoir un émolument, elle doit immédiatement et préalablement en informer la personne concernée.

La personne qui requiert l’accès à ses données n’a pas besoin de justifier sa demande. Elle doit toutefois pouvoir justifier de son identité. Sa demande n’est soumise à aucune exigence de forme mais doit contenir des indications suffisantes pour permettre l’identification de l’objet de la demande. En cas de besoin, l'entité peut demander que la demande soit formulée par écrit (art. 38 CPDT-JUNE). Une demande peut être faite par voie électronique pour autant que l'entité prenne des mesures adéquates pour assurer l’identification de la personne concernée et pour protéger les données de tout accès de tiers non autorisés lors de la communication des renseignements. La requête doit être adressée au responsable de traitement. L’autorité saisie par erreur doit transmettre sans délai la requête à l’autorité compétente.

Les renseignements, communiqués en principe par écrit, contiennent les informations concernant le bénéficiaire qui sont disponibles dans les bases de données de l'entité (voir art. 31 CPDT-JUNE). La consultation des données sur place est possible, d’entente entre le maître du fichier et la personne concernée. Si cette dernière y a consenti et que son identité a été établie, les renseignements peuvent également lui être communiqués par oral (art. 32 CPDT-JUNE).

Lorsque la requête concerne des données sous-traitées, il appartient au responsable de traitement d'assurer le respect du droit d'accès à ses données personnelles.

Toutes les demandes doivent être traitées avec diligence et rapidité dès la réception de la demande (art. 39 CDPT-JUNE).

L’accès aux données peut être refusé ou restreint (art. 33 CPDT-JUNE) lorsque :

• Un intérêt prépondérant public ou privé l’exige;

• Une loi au sens formel le prévoit.

Lorsque les renseignements ne peuvent être communiqués directement à la personne concernée parce qu’elle en serait par trop affectée ou parce que des explications complémentaires sont nécessaires, le responsable du traitement les transmet à un tiers mandaté à cet effet qui jouit de la confiance de celle-ci.

Ces motifs doivent être interprétés de manière restrictive. En outre, le responsable de traitement qui entend restreindre le droit d’accès doit motiver par écrit sa prise de position avec de brefs motifs (art. 37 CPDT-JUNE) et respecter la forme proposée par les modèles du PPDT (modèle).

Les personnes qui ont un intérêt légitime peuvent requérir du responsable du traitement  (art.34 CPDT-JUNE) qu’il :

1. S’abstienne de procéder à un traitement illicite.

2. Supprime les effets d’un traitement illicite.

3. Constate le caractère illicite du traitement.

Elle peuvent aussi demander au responsable du traitement que les données soient dans les meilleurs délais (art.35 CPDT-JUNE):

1. Rectifiées ou complétées;

2. Détruites ou effacées, si elles sont inutiles, périmées ou contraires au droit.

Si l’exactitude ou l’inexactitude d’une donnée ne peut être prouvée, le responsable du traitement ajoute à la donnée la mention de son caractère litigieux.

La personne concernée peut demander que la rectification, l’effacement, la destruction des données, l’interdiction du traitement, l’interdiction de la communication à des tiers ou la mention du caractère litigieux soient communiqués à des tiers.

Au lieu d’effacer ou de détruire les données, le responsable du traitement limite le traitement dans les cas suivants :

1. L’exactitude des données est contestée par la personne concernée et leur exactitude ou inexactitude ne peut pas être établie;

2. Des intérêts prépondérants d’un tiers l’exigent;

3. Un intérêt public prépondérant l’exige;

4. L’effacement ou la destruction des données est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire.

La personne concernée qui a un intérêt légitime peut s’opposer à ce que le responsable du traitement communique des données déterminées (art. 36 CPDT-JUNE). Cependant, l’opposition peut être écartée si :

1. Le responsable du traitement est juridiquement tenu de communiquer les données;

2. Un intérêt public prépondérant exige la communication, notamment lorsque le défaut de communication risque de compromettre l’accomplissement des tâches du responsable du traitement.

Sous réserve des cas graves et urgents, le responsable du traitement sursoit à la communication de données jusqu’à droit connu quant à l’opposition.

Selon l'art. 40 CPDT-JUNE, les prises de position des autorités en application de la CPDT-JUNE (refus ou limitation de l’accès à ses données personnelles, y compris l’accès à des données personnelles par un tiers, ou rejet de l’opposition d’un tiers, ...) peuvent faire l'objet d'une demande au PPDT de tenir une séance de conciliation.

Si la conciliation est demandée, le préposé tente de trouver un compromis entre les intérêts invoqués par l’autorité, par l’auteur de la requête ainsi que par les tiers concernés. Les organes concernés sont tenus de collaborer à l’établissement des faits. Le préposé peut exiger la production de pièces, demander des renseignements et se faire présenter des traitements. Le secret de fonction ne peut pas lui être opposé (art. 45 CPDT-JUNE).

Si la conciliation aboutit, un procès-verbal constatant l'accord est rédigé. Dans le cas contraire, toutes les parties, y compris le PPDT, peuvent saisir, gratuitement, la Commission de protection des données et de la transparence. Cette dernière rendra une décision au sens du droit de la procédure administrative, susceptible de recours auprès du tribunal cantonal du siège de l'entité concernée. Le jugement peut ensuite faire l'objet d'un recours au Tribunal fédéral qui a un pouvoir d'examen complet (droit), puisque la CPDT-JUNE est un droit intercantonal.

Il est conseillé aux entités de déterminer qui sera chargé de répondre aux questions concernant l’utilisation, le stockage, la correction, etc. des données personnelles.

En plus de toutes les autres exigences en matière de sécurité, il est vivement conseillé de chiffrer les fichiers numériques contenant des données personnelles, sensibles ou non, ainsi que d'utiliser une double identification pour y accéder.

Il est également rappelé de maintenir une double identification, des verrous physiques, une protection antivirus, des pare-feu et toute autre forme raisonnable de sécurité pour les ordinateurs, les téléphones portables, de même que pour les classeurs "physiques" ou tout autre endroit où des données personnelles seront stockées.

A relever que l'utilisation de Dropbox ou Google Drive/Docs ou d’autres plateformes Internet de partage ou collaboration de documents contenant des données personnelles, sensibles ou non, n'est pas conforme à la CPDT-JUNE.

L'utilisation des dispositifs de stockage USB pour des données personnelles, sensibles ou non, est vivement déconseillé, à moins que leur contenu ne soit protégé par un mot de passe et/ou chiffré.

• Un conseiller communal peut-il disposer des avis de taxation des habitants de la commune, en faire un traitement informatique lui permettant de déterminer et d’informer les personnes qui pourraient être concernées par une réduction des primes d’assurance ?

Réponse : Non, le principe de la légalité n’est pas rempli.

• a. La commune peut-elle indiquer sur les certificats de capacité civique (qui sont établis sous forme d’une enveloppe contenant le matériel de vote) des précisions telles que l’état civil, la filiation ou d’autres informations, quand l’adressage « normal » ne suffit pas pour identifier le destinataire ?

  
  b. Pour l’adresse de tout autre courrier officiel, peut-on y ajouter des données, par exemple l’état civil, la profession, etc., quand une précision s’impose pour distinguer un destinataire d’un autre ?

Réponse : oui, pour autant que le principe de proportionnalité soit respecté

• Le Service social peut-il exiger d’une personne qu’elle effectue des recherches d’emploi et lui fasse parvenir des copies de ses lettres de candidature ainsi que les réponses des employeurs ?

Réponse : oui, pour autant que cela soit nécessaire et en adéquation avec la forme d’aide mise en œuvre.

• La commune peut-elle traiter des données personnelles afin de prévoir des exceptions à la perception de la taxe au sac (pour les jeunes parents ou les personnes souffrant d’incontinence par exemple) ?

Réponse : oui, mais pour les données sensibles un règlement communal est nécessaire.

• La commune peut-elle obtenir auprès du fournisseur d’électricité les relevés de compteurs afin de s’assurer que des logements présumés vides ne sont pas en réalité occupés ?

Réponse : Oui, mais en dernier recours et pour autant qu'il y ait une base légale.

• La commune peut-elle publier (dans le bulletin communal ou sur son site internet) la liste des habitants nouvellement naturalisés ?

Réponse : non, sous réserve que la nécessité de la publication soit démontrée et de l'obtention du consentement libre et éclairé de la personne concernée (voir aussi avis 2010.0015).

• La commune peut-elle publier (dans le bulletin communal ou sur son site internet) la liste :

  1. des naissances et mariages ?

  2. des décès ?

  3. des arrivées et les départs ?

  4. des lieux de provenance et de destination ?

Réponse : Non, sous réserve du consentement libre et éclairé de la personne.

• La commune peut-elle publier la photo de ses collaborateurs (avec nom, prénom et fonction) sur son site internet ?

Réponse : Non, sous réserve que la nécessité de la publication soit démontrée (voir aussi la prise de position 2022.4504).

• La commune peut-elle autoriser la publication sur son site internet de photos d’enfants prises par des écoles lors d’un événement scolaire ?

Réponse : Non, sous réserve que la nécessité de la publication soit démontrée et de l'obtention du consentement libre et éclairé de la personne concernée ou du représentant légal.

• La commune peut-elle transmettre la liste des personnes disparues à un consulat ?

Réponse : Oui, elle en a même l’obligation.

• La commune peut-elle transmettre aux offices du tourisme des données personnelles sur la base du cadastre et du contrôle des habitants ?

Réponse : Oui, si l'Office en a besoin pour l'accomplissement de ses tâches légales.

• La commune peut-elle communiquer la liste des personnes possédant un chien :

  • à une entreprise qui vend de la nourriture pour chien ?

  • à une association qui propose de l’aide et des conseils aux nouveaux détenteurs de chiens ?

Réponse : Non, les principes de la légalité et de la finalité ne sont pas remplis.

• La commune peut-elle transmettre à un tiers un certificat de bonnes mœurs d’un particulier ?

Réponse : Non, sous réserve du consentement exprès et éclairé de la personne.

• Le contrôle des habitants peut-il transmettre à un tiers des données sur une personne :

  1. domiciliée dans la commune ?

  2. ayant quitté la commune ?

  3. si la personne concernée a fait usage de son droit de blocage ?

Réponse :

1. Oui, si le requérant fait valoir un intérêt digne de protection.

2. Oui, la destination pourra être communiquée, si le requérant fait valoir un intérêt digne de protection.

3. Non, sauf s'il devait apparaître que l'intérêt du demandeur est prépondérant à celui de la personne concernée. Mais le droit d'être entendu doit préalablement être respecté (modèle).

• La commune peut-elle transmettre aux paroisses la liste des contribuables bénéficiant d’une réduction de l’impôt communal en raison de leur non-adhésion à une Église reconnue ?

Réponse : Non le principe de la légalité et de la finalité ne sont pas remplis.

• Le contrôle des habitants d’une commune peut-il communiquer au Service social d’une autre entité des données personnelles concernant le père d’une personne qui requiert une aide sociale auprès de cette entité ?

Réponse : Non, les principes de la finalité et de la proportionnalité ne sont pas remplis, excepté si une base légale le prévoit expressément.

• La commune peut-elle transmettre la liste des électeurs à un parti politique ?

Réponse : Oui, voir avis 2013.0418.

• La commune peut-elle fournir l’avis de taxation ou d’autres informations concernant la solvabilité d’un citoyen à une banque privée ?

Réponse : Non, le principe de la légalité n’est pas rempli.

• La commune peut-elle fournir la liste des chômeurs contenant des données telles que leurs nom, prénom, âge, sexe, profession :

  1. à une association de chômeurs / à la paroisse ?

  2. aux conseillers communaux ?

  3. à une personne privée qui effectue une étude sur le tissu économique social ?

Réponse :

1. Non, le principe de la légalité n’est pas rempli

2. Non, le principe de la légalité et de la proportionnalité ne sont pas remplis

3. Non, le principe de la légalité et de la proportionnalité ne sont pas remplis.

• Le service des ambulances est-il en droit de fournir aux communes qui le demandent une copie du 2ème rappel, voire de la sommation en cas de non-paiement d’une facture d’ambulance ?

Réponse : Non, le principe de la légalité n’est pas rempli

• Que doit faire la commune si elle entend refuser la communication de données personnelles à un tiers ?

Réponse : adresser un courrier (voir modèle).

• La commune peut-elle répondre à une requête de droit d’accès envoyée par email ?

Réponse : Oui, pour autant que la personne justifie de son identité.

• La commune peut-elle refuser de donner suite à une requête de droit d’accès ?

Réponse : Oui, mais de façon restreinte (voir ci-dessus).