Préposé à la protection des données et transparence Jura-Neuchâtel

Communications de données conformes ou non ?

Protection des données

Avant de communiquer des données personnelles, il faut s'assurer que la communication est conforme à la CPDT-JUNE.

Par communication de données personnelles, il faut entendre un envoi de données personnelles détenues par une autorité à une autre ou à un tiers. Il peut s'effectuer d'office ou sur requête.

Exemple:

Une caisse cantonale de compensation qui communique des données à un service social.

Un contrôle des habitants qui communique l'adresse d'une personne à un tiers.

Si la communication envisagée concerne les données personnelles de la personne qui les demande, il s'agit techniquement d'un "accès à ses données personnelles" et non pas d'une communication. La demande doit être traitée selon les explications figurant dans cette page.

Pour savoir si une communication est conforme à la CPDT-JUNE, il est conseillé de répondre par oui ou non à ce questionnaire.

S'il vous est difficile de répondre à une ou plusieurs questions, le PPDT reste à votre disposition pour vous y aider. Pour ce faire, il suffit de remplir ce formulaire.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question de départ

La communication envisagée est-elle une liste de données personnelles (ex: liste des nouveaux retraités) demandée par des particuliers ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°1

La communication de données personnelles envisagée se limite-t-elle au nom, prénom, adresse et/ou la date de naissance d’une personne ?

Il peut s'agir également d'autres données, telles l'état civil, l'origine, la profession, le sexe et la nationalité, la provenance et la destination d'une personne. Ces données peuvent être communiquées lorsque le destinataire justifie d'un intérêt digne de protection prépondérant à celui de la personne concernée à ce que ses données personnelles ne soient pas communiquées.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°2

Les données personnelles sont-elles contenues dans un document officiel auquel l'accès pourrait être demandé ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°3

L'autorité expéditrice est-elle obligée, autorisée ou pas interdite par la loi de communiquer les données personnelles demandées ?

Exemple 1 :

Les entités sont en droit de communiquer sur demande le nom, le prénom, l’adresse et la date de naissance d’une personne (art. 25 CPDT-JUNE).

Exemple 2 :

La police neuchâteloise est habilitée à transférer des données de police à toute autorité de poursuite pénale fédérale, cantonale, communale ou étrangère pour autant qu'une base légale le prévoie ou que la communication soit nécessaire à l'accomplissement des tâches de police (art. 93 al. 1 LPol)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°4

La communication de données personnelles envisagée, d'office ou sur demande, est-elle destinée à une autre autorité ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°5

S'agit-il de données personnelles sensibles ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°6

Existe-t-il une base légale claire ou les données personnelles sensibles sont-elles impérativement nécessaires à l'accomplissement des tâches légales de l'autorité destinataire ?

La base légale doit être adoptée par un organe législatif;

Les tâches légales doivent figurer dans une base légale adoptée par un organe législatif.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°7

Les personnes concernées ont-elles :

Une opposition peut être confirmée ou levée selon les arguments soulevés.

L'opposition doit être levée si le destinataire rend vraisemblable que la personne concernée ne refuse son accord ou ne s’oppose à la communication que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes (art. 25 al. 1 let. c CPDT-JUNE).

Un modèle est à disposition pour lever l'opposition ou refuser la communication en confirmant l'opposition.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°8

Les données personnelles à communiquer sont-elles destinées à la recherche, à la statistique ou à la planification, et les conditions applicables sont-elles remplies ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°9

La communication de données personnelles envisagée respecte-t-elle le principe de la proportionnalité ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°10

Les données personnelles à communiquer sont-elles exactes et complètes ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°11

La communication de données personnelles envisagée assure-t-elle l'intégrité et la confidentialité des données ?

A relever que l'utilisation des e-mails pour communiquer ne respecte pas toujours ces conditions. Pour plus détails, consulter cette page et ses liens.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°12

La communication des données personnelles entre-t-elle dans le but qui a été indiqué lors de leur collecte, qui est prévu par une base légale ou qui ressortait des circonstances ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question 13

Le destinataire de la communication des données personnelles en cause est-il à l'étranger ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°14

Convient-il, en raison d'intérêts publics prépondérants ou d'intérêts privés prépondérants, de renoncer à la communication des données personnelles, de limiter ou de l'assortir de charges ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°15

Le responsable des données personnelles en cause est-il soumis à une obligation particulière de conserver le secret ?

Principaux secrets spéciaux : le secret professionnel (art. 321 CP); le secret en matière de recherche médicale (art. 321 bis CP);  le secret postal et de la télécommunication (art. 321 ter CP); l’exploitation de la connaissance de faits confidentiels (art. 161 CP); le secret de fabrication ou secret commercial (art. 162 CP);  la publication de documents officiels secrets (art. 293 CP); le secret militaire (art. 329 CP); le secret bancaire (art. 47 LB, RS 952.0); le secret des affaires (art. 321a, al. 4, 340, al. 2,697, 697e, 730b, al. 2, 803, al. 1, 857, al. 2 CO, RS 220; art. 51, al. 2 LDA, RS 231.1; 4 lit. c, 6 et 23 LCD, RS 241; 162 CP, RS 311.0); le secret sur les bourses et le commerce des valeurs mobilières (art. 47 LBVM, RS 954.1); le devoir de discrétion en matière de protection des données (49a et 50a LAVS; RS 832.10); le secret des données traitées dans le cadre de l’application de la loi sur le travail (art. 44 LTr, RS 822.11); le secret relatif aux contrôles en matière de lutte contre le travail au noir (art. 5 LTN, RS 822.41); le secret en matière de service public de l’emploi (art. 34 LSE, RS 823.11); le secret des données personnelles en matière d’assurances sociales (art. 33 LPGA, RS 830.1; 63 et 87 LAVS, RS 831.10; 70 LAI, RS 831.20; 76 LPP, RS 831.40; 92 LAMal, RS 832.10; 97 LAA, RS 832.20; 105 LACI, RS 835.0); le secret fiscal (art. 110 LIFD, RS 642.11; 39 LHID, RS 642.14); le secret des dossiers de police (art. 89ss LPol, RSNE 561.1); le secret statistique (art. 14, al. 2 LSF, RS 431.01).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°16

La loi permet-elle de communiquer les données personnelles, malgré l'obligation particulière de conserver le secret, ou la communication est-elle impérativement nécessaire pour l'accomplissement des tâches de l'autorité qui traite les données ?

C'est notamment impérativement nécessaire lorsqu'un bien ou une personne risque un dommage grave et imminent.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°17

Les personnes concernées ont-elles expressément consenti à la levée du secret, ou peut-on admettre un consentement tacite, cette dernière servant leurs intérêts ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°18

Le pays destinataire bénéficie-t-il d'un degré de protection des données personnelles équivalent à celui de la Suisse (voir liste du Préposé fédéral) ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°19

Les conditions de l'article 6 al. 2 LPD (voir aussi cette page) sont-elles respectées ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°20

Le PPDT a-t-il été informé par l'autorité des garanties prises avant la communication de données personnelles ?

Une communication en ligne est une procédure automatisée permettant à un tiers de disposer de données sans l’intervention de celui qui les communique. Autrement dit, par l'intermédiaire d'un accès direct par internet à un système d'information d'une autre entité.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n° 21

La communication de données personnelles envisagée est-elle en ligne ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Question n°22

L'exécutif cantonal concerné a-t-il rendu accessibles en ligne les données personnelles nécessaires, après consultation du PPDT ?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

OUI

La communication de données personnelles est autorisée

En cas de doute, n'hésitez pas à contacter le PPDT.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NON

La communication de données personnelles n'est pas autorisée

  • Lorsque les raisons qui justifient le refus ou la restriction ne sont que temporaires, la communication doit être accordée dès que ces raisons cessent d’exister.

  • Lorsque la communication doit être refusée, restreinte ou différée, elle peut néanmoins être accordée en étant assortie de charges qui sauvegardent les intérêts à protéger.

  • L'autorité refusant totalement ou partiellement une communication de données doit prendre position et non pas rendre une décision. Un modèle est à disposition.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NON

La communication ne doit pas se faire maintenant

L'entité sollicitée doit contacter les personnes concernées pour leur demander si elles s'opposent à la communication de leurs données personnelles.

Pour ce faire, il est conseillé à l'entité :

  • d'informer la personne désirant des données personnelles qu'avant même de savoir si la communication est possible, la personne concernée aura connaissance de sa démarche (et par conséquent de son nom).

  • d'envoyer un courrier recommandé en impartissant un délai  (usuellement 10 jours, mais adaptable au cas par cas) pour inviter les personnes concernées à ce qu'elles fassent part de leur opposition, ou non, à la communication de leurs données personnelles, si la personne désirant ces dernières ne refuse pas cette démarche.

A l'échéance du délai, plusieurs cas de figure peuvent dès lors se présenter :

  1. Acceptation de l'accès par l'entité et le(s) tiers => accès accepté
  2. Acceptation de l'accès par l'entité et absence de réponse du/des tiers => accès accepté
  3. Refus de l'accès par l'entité et opposition de(s) tiers => accès refusé
  4. Refus de l'accès par l'entité et acceptation du/des tiers => accès refusé
  5. Acceptation de l'accès par l'entité et opposition du/des tiers => levée d'opposition

Accès refusé

Si les intérêts privés soulevés semblent prépondérants,  l'entité adressera un "simple" courrier (et non une décision) pour informer le(la) demandeur(resse) qu'elle refuse ou restreint partiellement la communication en mentionnant brièvement les motifs, ainsi que la possibilité de saisir le PPDT.

Levée d'opposition

Si les intérêts privés soulevés ne semblent pas prépondérants, l'entité doit lever l'opposition de la personne concernée, non pas par une décision, mais par un courrier.

Ce dernier doit simplement indiquer brièvement les motifs de la levée de l'opposition et ne pas oublier d'ajouter que le préposé (PPDT) peut être saisi.

Dans ce cas, il est conseillé à l'entité d'envoyer un courrier recommandé en impartissant un délai  (usuellement 10 jours, mais adaptable au cas par cas) pour saisir le PPDT, faute de quoi la procédure pourrait rester bloquée tant et aussi longtemps que l'opposant ne réagit pas.