Application de la LPD (2023.4900)
La LPD s'applique-t-elle aux entités ?
Avis du PPDT 2023.4900 publié le 11 septembre 2023
La Loi fédérale sur la protection des données (LPD, RS 235.1) ne s'applique qu'aux personnes privées (y compris les entreprises) et aux organes fédéraux (art. 2 LPD).
Par conséquent, toutes les entités entrant dans la liste ci-dessous sont soumises à la CPDT-JUNE, conformément à son article 2 :
-
aux autorités législatives, exécutives, administratives et judiciaires cantonales, et aux organes qui en dépendent;
-
aux communes et aux organes qui en dépendent;
-
aux collectivités et établissements de droit public cantonaux et communaux;
-
aux personnes physiques et morales et aux groupements de personnes de droit privé qui accomplissent des tâches d'intérêt public ou déléguées par une entité au sens des lettres a à c;
-
aux institutions, établissements ou sociétés de droit privé ou de droit public cantonal dans lesquels une ou plusieurs entités au sens des lettres a à c disposent ensemble au moins d'une participation majoritaire, dans la mesure où ils accomplissent des tâches d'intérêt public.
La hiérarchie des normes entre le droit fédéral (LPD) et le droit cantonal (CPDT-JUNE) n'existe absolument pas.
Les entités de l'article 2 CPDT-JUNE sont donc avant tout soumises à la CPDT-JUNE. Cette dernière reprend les droits et obligations découlant de l'art. 13 Cst fédérale, de la constitution cantonale concernée, ainsi que de la Convention 108+ du Conseil de l'Europe et de la directive Schengen/Dublin de l'Union européenne.
Vu que, tant la Confédération que les cantons doivent respecter les mêmes obligations internationales, les règles de protection des données sont relativement harmonisées entre les cantons, ainsi qu'avec la Confédération.