Délégations de tâches de polices communales à des entreprises privées de sécurité (2013.0532)
À quelles conditions les communes peuvent-elles déléguer des tâches de police à une entreprise privée de sécurité ?
Avis du PPDT 2013.0532 publié le 26 juillet 2013
* Les polices communales sont-elles en droit de mandater des sociétés privées pour les seconder dans leurs tâches ?
L'octroi de mandats à des sociétés privées de sécurité pour effectuer des tâches de polices communales pose la question du respect des règles de la protection des données (CPDT-JUNE).
Sitôt que les agents de l'entreprise mandatée traitent des données personnelles de citoyens (toutes les informations qui se rapportent à une personne identifiée ou identifiable indirectement), les conditions de l'article 54 CPDT-JUNE doivent être respectées.
Ce dernier permet de confier des traitements de données à des tiers, mais uniquement si les conditions suivantes sont respectées :
-
une base légale ou une convention avec le tiers le prévoit;
-
le mandant ne peut confier que des traitements qu’il est lui-même en droit d’effectuer;
-
aucune obligation légale ou contractuelle de garder le secret ne l’interdit;
-
la sécurité des données est assurée;
-
le tiers doit s'engager à accepter les mêmes contrôles que le mandant, notamment ceux du PPDT.
A relever que le mandant demeure responsable de la protection des données ; il veille notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés.
En l'occurrence, deux conditions doivent faire l'objet d'une attention particulière.
Tout d'abord, faute d'exception figurant dans une base légale adoptée par l'organe législatif compétent, les données devant être traitées par la police sont évidemment soumises au secret de fonction, notamment imposé par l'article 320 du Code pénal suisse (CP; RS 311.0).
Ensuite, soit une base légale adoptée par l'organe législatif compétent (vu la sensibilité des données) ou une convention doit prévoir la délégation du traitement de données. Pour qu'un tel document soit valable il faut à tout le moins que l'autorité soit habilitée à en passer une. Autrement dit, les communes doivent préalablement respecter les recommandations de la Conférence des commandants de police CCPCS.
Si ces conditions ne sont pas remplies, non seulement la commune viole les règles de la CPDT-JUNE, mais des poursuites pour violation du secret de fonction peuvent aussi éventuellement être ouvertes.
Les entités, comme les polices cantonales, violeraient également les règles de la CPDT-JUNE, et dans certains cas celles du secret de fonction, si elles venaient à communiquer des données indirectement ou directement à des agents de sécurité bénéficiant d'un mandat ne respectant pas l'article 54 CPDT-JUNE.
Les communes doivent aussi se rappeler que la violation du secret de fonction est poursuivie d'office et que les employés de collectivités publiques sont régulièrement soumis à l'obligation de dénoncer les infractions dont ils ont eu connaissance dans le cadre de leur activité.
Enfin, même s'il n'était pas livré de données personnelles aux agents d'entreprises de sécurité privées, la question de la violation du secret de fonction persisterait.