Communications de données autorisées ou non ?
Vérifications préalables à effectuer
________________________________________________________
2
La communication des données personnelles concerne celle d’une entité à une autre ou à un tiers, d’office ou sur requête.
-
Une caisse cantonale de compensation communique des données à un service social.
-
Un contrôle des habitants communique l'adresse d'une personne à un tiers.
________________________________________________________
3
Si la communication concerne les données personnelles du demandeur, la demande doit être traitée en suivant les explications relatives au droit d'accès à ses données personnelles.
________________________________________________________
4
La demande de communication n’est soumise à aucune exigence de forme; cependant, l’autorité peut demander qu’elle soit formulée par écrit (art. 38 CPDT-JUNE).
________________________________________________________
________________________________________________________
6
Questionnaire pour savoir si une communication est licite.
(Si des questions nécessitent des informations complémentaires, n'hésitez pas à demander des précisions au demandeur.)
________________________________________________________
________________________________________________________
Question de départ
La communication envisagée est-elle une liste de données personnelles (ex: liste des nouveaux retraités) demandée par des particuliers ?
________________________________________________________
Question n°1
La communication de données personnelles envisagée se limite-t-elle au nom, prénom, adresse et/ou la date de naissance d’une personne, voire à l'état civil, l'origine, la profession, le sexe et la nationalité, la provenance et la destination d'une personne.
________________________________________________________
Question n°2
les données personnelles sont contenues dans un document officiel auquel l'accès est demandé à l'aide des règles de la transparence et que la communication est justifiée par un intérêt public prépondérant ?
La demande sous l'angle de la transparence doit être effective et pas seulement potentielle.
________________________________________________________
Question n°3
Les données personnelles sont-elles demandées par un administré qui prétend en avoir besoin pour se prévaloir de prétentions juridiques ou faire valoir d’autres intérêts légitimes (art. 25 al. 1 let. c CPDT-JUNE) ?
Pour plus de détails sur le sujet "d'une personne qui prétend en avoir besoin pour se prévaloir de prétentions juridiques" voir l'avis 2019.2671.
________________________________________________________
Question n°4
L'autorité expéditrice est-elle obligée, autorisée ou pas interdite par la loi de communiquer les données personnelles demandées ?
Exemple 1 :
En matière de poursuites et faillites, selon les articles 91 al. 1 ch. 2 et 222 al. 1 LP prévoient que les autorités cantonales et communales doivent communiquer les renseignements qu'exige l'exécution de la saisie. même dans le domaine des assurances sociales (ATF 124 III 170 consid. 5, JdT 1999 II 28 (31)).
Exemple 2 :
En matière fiscales, les autorités cantonales et communales doivent communiquer, uniquement à certaines conditons, des renseignements aux autorités fiscales (voir détails).
Exemple 3 :
Les entités sont en droit de communiquer sur demande le nom, le prénom, l'adresse, la date de naissance, l'état civil, la profession, le sexe et la nationalité, la provenance et la destination d'une personne, mais pour autant que cela soit dans l’intérêt de la personne concernée ou que le destinataire justifie d’un intérêt digne de protection (art. 25 CPDT-JUNE).
Exemple 4 :
La police neuchâteloise est habilitée à transférer des données de police à toute autorité de poursuite pénale fédérale, cantonale, communale ou étrangère pour autant qu'une base légale le prévoie ou que la communication soit nécessaire à l'accomplissement des tâches de police (art. 93 al. 1 LPol)
________________________________________________________
Question n°5
La communication de données personnelles envisagée, d'office ou sur demande, est-elle destinée à une autre autorité ?
________________________________________________________
________________________________________________________
Question n°7
Existe-t-il une base légale claire ou les données personnelles sensibles sont-elles impérativement nécessaires à l'accomplissement des tâches légales de l'autorité destinataire ?
La base légale doit être adoptée par un organe législatif;
Les tâches légales doivent figurer dans une base légale adoptée par un organe législatif.
________________________________________________________
Question n°8
Les personnes concernées :
-
ont-elles expressément consenti à la communication ?
-
ont-elles consenti tacitement à une communication servant leurs intérêts ?
-
ont-elles rendu leurs données personnelles accessibles à tout un chacun ?
________________________________________________________
Question n°9
Les données personnelles à communiquer sont-elles destinées à la recherche, à la statistique ou à la planification, et les conditions applicables sont-elles remplies ?
________________________________________________________
Question n°10
La communication de données personnelles envisagée respecte-t-elle le principe de la proportionnalité ?
Les données communiquées se limitent-elles à celles qui sont nécessaires pour l'accomplissement des tâches légales du destinataire ?
________________________________________________________
________________________________________________________
Question n°12
La communication de données personnelles envisagée assure-t-elle l'intégrité et la confidentialité des données ?
A relever que l'utilisation des e-mails pour communiquer ne respecte pas toujours ces conditions. Pour plus détails, consulter cette page et ses liens.
Voir aussi les notions de sécurité.
________________________________________________________
Question n°13
Si aucune base légale n'impose la communication des données personnelles celle-ci entre-t-elle dans le but qui a été indiqué lors de leur collecte, qui est prévu par une base légale ou qui ressortait des circonstances ?
Le principe de la finalité doit être respecté. Autrement dit, la communication ne peut avoir lieu que si elle est compatible avec le but pour lequel les données ont été collectées.
Si une base légale impose la communicatoin = OUI
________________________________________________________
Question 14
Le destinataire de la communication des données personnelles en cause est-il à l'étranger ?
________________________________________________________
Question n°15
La communication de données personnelles est-elle susceptible de porter atteinte à un intérêt prépondérant public/privé d'une entité ou d'une personne concernée ?
Si une base légale prévoit une communication à des tiers = OUI
Si une base légale prévoit la communication à d'autres entités = NON
________________________________________________________
Question n°16
Hormis le secret de fonction, le responsable des données personnelles en cause est-il soumis à une obligation particulière de conserver un autre secret ?
Principaux secrets spéciaux : le secret professionnel (art. 321 CP); le secret en matière de recherche médicale (art. 321 bis CP); le secret postal et de la télécommunication (art. 321 ter CP); l’exploitation de la connaissance de faits confidentiels (art. 161 CP); le secret de fabrication ou secret commercial (art. 162 CP); la publication de documents officiels secrets (art. 293 CP); le secret militaire (art. 329 CP); le secret bancaire (art. 47 LB, RS 952.0); le secret des affaires (art. 321a, al. 4, 340, al. 2,697, 697e, 730b, al. 2, 803, al. 1, 857, al. 2 CO, RS 220; art. 51, al. 2 LDA, RS 231.1; 4 lit. c, 6 et 23 LCD, RS 241; 162 CP, RS 311.0); le secret sur les bourses et le commerce des valeurs mobilières (art. 43 LBVM, RS 954.1); le devoir de discrétion en matière de protection des données (49a et 50a LAVS; RS 832.10); le secret des données traitées dans le cadre de l’application de la loi sur le travail (art. 44 LTr, RS 822.11); le secret relatif aux contrôles en matière de lutte contre le travail au noir (art. 5 LTN, RS 822.41); le secret en matière de service public de l’emploi (art. 34 LSE, RS 823.11); le secret des données personnelles en matière d’assurances sociales (art. 33 LPGA, RS 830.1; 63 et 87 LAVS, RS 831.10; 70 LAI, RS 831.20; 76 LPP, RS 831.40; 92 LAMal, RS 832.10; 97 LAA, RS 832.20; 105 LACI, RS 835.0); le secret fiscal (art. 110 LIFD, RS 642.11; 39 LHID, RS 642.14); le secret des dossiers de police (art. 89ss LPol, RSNE 561.1); le secret statistique (art. 14, al. 2 LSF, RS 431.01).
________________________________________________________
Question n°17
La loi permet-elle de communiquer les données personnelles, malgré l'obligation particulière de conserver le secret, ou la communication est-elle impérativement nécessaire pour l'accomplissement des tâches de l'autorité qui traite les données ?
C'est notamment impérativement nécessaire lorsqu'un bien ou une personne risque un dommage grave et imminent.
________________________________________________________
Question n°18
Les personnes concernées ont-elles expressément consenti à la levée du secret, ou peut-on admettre un consentement tacite, cette dernière servant leurs intérêts ?
________________________________________________________
Question n°19
Le pays destinataire bénéficie-t-il d'un degré de protection des données personnelles équivalent à celui de la Suisse (voir liste des États du PFPDT) ?
________________________________________________________
Question n°20
Les conditions de l'article 6 al. 2 LPD (voir aussi cette page) sont-elles respectées ?
________________________________________________________
Question n°21
Le PPDT a-t-il été informé par l'autorité des garanties prises avant la communication de données personnelles ?
________________________________________________________
Question n° 22
La communication de données personnelles envisagée est-elle en ligne ?
Une communication en ligne est une procédure automatisée permettant à un tiers de disposer de données sans l’intervention de celui qui les communique. Autrement dit, par l'intermédiaire d'un accès direct par internet à un système d'information d'une autre entité.
________________________________________________________
Question n°23
L'exécutif cantonal concerné a-t-il rendu accessibles en ligne les données personnelles nécessaires, après consultation du PPDT ?
________________________________________________________
La communication de données personnelles est autorisée
En cas de doute, n'hésitez pas à contacter le PPDT.
La communication de données personnelles n'est pas autorisée
-
Lorsque les raisons qui justifient le refus ou la restriction ne sont que temporaires, la communication doit être accordée dès que ces raisons cessent d’exister.
-
Lorsque la communication doit être refusée, restreinte ou différée, elle peut néanmoins être accordée en étant assortie de charges qui sauvegardent les intérêts à protéger.
-
L'entité refusant totalement ou partiellement une communication de données adressera un "simple" courrier (et non une décision) pour informer le demandeur en mentionnant brièvement les motifs, ainsi que la possibilité de saisir le PPDT.
La communication doit suivre la procédure indiquée ici.