Préposé à la protection des données et transparence Jura-Neuchâtel

Contenu d'une base légale pour le traitement de données sensibles (2017.1717)

Protection des données

Quel est le degré de précision recommandé pour légitimer le traitement de données sensibles ?

Avis du PPDT 2017.1717 publié le 1er septembre 2017

La question du degré de précision d'une base légale prévoyant le traitement de données sensibles est récurrente. Après un examen des travaux législatifs, de la doctrine et de la jurisprudence, il s'avère que la base légale doit au moins déterminer qui traite quelles catégories de données et dans quel but, ainsi que l'accès à ces dernières et pour quelle raison.

Préalablement, le principe de la légalité inscrit à l’article 16 CPDT-JUNE, permet les traitements de données « si une base légale le prévoit, si le traitement sert à l'accomplissement d'une tâche légale ou si la personne concernée y a consenti. ». Selon le rapport explicatif accompagnant la CPDT-JUNE, il est précisé que ce principe est le même qu’en droit fédéral ou qu’à l’ancien droit neuchâtelois et selon le message qui accompagnait l’ancienne loi cantonale de protection des données (aLCPD) :

« Ce principe général n'est pas seulement spécifique à la protection des données, puisqu'il régit l'ensemble des activités administratives effectuées par une autorité, qu'elle soit fédérale, cantonale, ou communale. Dans le contexte qui nous occupe, le respect de ce principe implique qu'une autorité n'est habilitée à traiter des données personnelles que si une base légale l'y autorise. Celle-ci peut être une disposition contenue, par exemple, dans une loi fédérale ou cantonale, une ordonnance ou un règlement d'exécution, ladite disposition autorisant expressément le traitement de données. Le principe de la légalité est également respecté s'il existe une relation claire entre un traitement de données et l'accomplissement d'une tâche légale pour laquelle il est effectué, sans que le traitement de données ait été prévu expressément. Conformément au principe de proportionnalité, le niveau de la base légale et son degré de précision dépendront de différents facteurs, notamment des catégories de données traitées, du domaine d'activité du maître du fichier, des catégories de personnes concernées, des risques d'atteinte aux droits de la personnalité, du fait que des données sont ou non communiquées à des tiers, de la taille du fichier et du nombre plus ou moins grand de personnes membres d'une ou plusieurs autorités ayant accès aux données. » (BOGC  mai 2008 – mars 2009, p. 955)

Bien que ni l’aLCPD, ni la CPDT-JUNE ne mentionnent expressément d’exigences particulières pour les bases légales relatives à des traitements de données sensibles, il n’empêche que par le biais du respect du principe de la proportionnalité, comme mentionné dans le rapport neuchâtelois, on arrive à la même exigence figurant expressément dans l’article 17 LPD.

Or, pour l’élaboration des lois fédérales, il existe un « Guide pour l’élaboration des bases légales nécessaires pour exploiter un système de traitement automatisé de données personnelles » qui mentionne que :

« Lorsque l’organe fédéral rend des données personnelles accessibles en ligne, une base légale est toujours exigée. S’il s’agit de données sensibles ou de profils de la personnalité, une loi formelle doit le prévoir expressément. […] Une base légale formelle pour le traitement et l’accès en ligne de données sensibles et de profils de la personnalité doit permettre en substance de répondre aux questions suivantes :

  • Qui traite quelles catégories de données et dans quel but ?

  • Qui a accès à quelles catégories de données et dans quel but ? »

Dans ce même document, dans la rubrique « contenu d’une loi formelle », il est rappelé :

« Les catégories de données sensibles ou les profils de la personnalité : La disposition légale doit définir l’(les) autorité (s) compétente (s) pour traiter les données dans le système, les catégories des données traitées et la finalité du traitement. Elle doit permettre à la personne concernée de savoir quelle est l’autorité compétente, quelles données la concernant ont été traitées et la finalité du traitement. »

Un éventuel débat sur la question de savoir si le droit cantonal se veut réellement aussi exigeant que le droit fédéral n’a plus lieu d’être. Le nouveau droit européen (art. 10 Directive et 6 Projet Convention 108), qui devra être transposé en droit Suisse d’ici au 2ème semestre 2018, impose  une formulation au moins aussi exigeante que l’article 17 LPD actuel.

De surcroît, l’ancien droit jurassien, autant à l’origine de la CPDT-JUNE que le droit neuchâtelois, formulait le principe de la légalité de la même manière que le droit fédéral (art. 5 aLoi jurassienne sur la protection des données à caractère personnel).

Le Tribunal cantonal jurassien a eu l’occasion de préciser la formulation imposée dans le principe de la légalité :

 « Le traitement de ces données, singulièrement leur communication, nécessite l'existence d'une base légale formelle (cf. art. 5 al. 2 et 13 litt. a LPD). […] La désignation du destinataire de l'information dans la loi est une exigence essentielle du droit de la protection des données […]. Cette exigence s'impose également en vertu du principe de la légalité, selon lequel la base légale doit être suffisamment précise, c'est-à-dire claire et détaillée, afin que ses effets soient prévisibles […]. Pour pouvoir communiquer des données à caractère personnel, une compétence générale ne suffit pas […] » (Arrêt du Tribunal cantonal jurassien du 25.10.2012, ADM 65_2012, consid. 3.3 ss).

Enfin et pour mémoire, le rapport aLCPD mentionnait :

«Par ces dispositions, nous visons à trouver un équilibre entre les impératifs de la saine gestion administrative et la protection de la personnalité des personnes concernées. L'interconnexion de l'ensemble des fichiers gérés par les autorités ou la création d'un seul fichier contenant toutes les données traitées par l'administration pourraient être d'excellentes solutions en termes d'efficacité et d'optimalisation des ressources. En revanche, ce serait la fin de la protection de la personnalité. A l'inverse, un cloisonnement absolu des fichiers serait beaucoup trop contraignant pour les autorités et ne serait pas non plus favorable aux intérêts des administrés. Ces personnes pourraient se lasser rapidement d'être sollicitées par les autorités les plus diverses pour communiquer sans cesse les mêmes données. » (BOGC  mai 2008 – mars 2009, p. 960)

Au surplus, il est à noté que l'art. 6 de la loi cantonale tessinoise sur la protection des données personnelles prévoit que les traitements de données sensibles doivent figurer dans une base légale formelle qui doit notamment comprendre l'objet et la finalité du traitement, l'organe responsable, les organes participants et les utilisateurs, les destinataires des données, les modalités, le cercle des personnes concernées, la durée de conservation des données et les mesures de sécurité.

En conclusion, les traitements de données sensibles nécessitent une base légale formelle relativement détaillée. Cette dernière peut être de deux ordres : soit des dispositions prévoient expressément le traitement de données sensibles prévu avec les détails susmentionnés ; soit des dispositions décrivent les tâches légales du destinataire des données sensibles avec lesdits détails.  Voir par exemple quelques lois fédérales respectant les obligations actuelles, soit les articles 9 à 11 LSIS, 44b LTr, 98b LAsi, 99a et 99b LAsi, 48 al. 4 LPP et 85a LPP. Bien que la formulation des articles 84 et 84a LAMal ait été acceptée par le Tribunal administratif fédéral le 7 décembre 2007 (A-7375/2006), les exigences paraissent avoir sensiblement évoluées depuis et il serait dès lors préférable de prendre comme modèle les autres lois fédérales précitées.

Tant en droit jurassien que neuchâtelois, il n'est pas rare de trouver des bases légales formelles concernant des données sensibles qui ne semblent pas répondre aux exigences exposées ci-dessus, tel que, par exemple, l'article 28 al. 2 de la loi cantonale sur l'action sociale (LASoc; RSN 831.0).

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.