Préposé à la protection des données et transparence Jura-Neuchâtel

Obligations à respecter

Protection des données

________________________________________________________

Les principales obligations à respecter pour le traitement de données personnelles sont :

  

1

 

NEW !!! Informer la personne concernée de manière adéquate de la collecte de données, que celle-ci soit effectuée auprès d’elle ou non (art. 24 CPDT-JUNE), sauf si l'une des exceptions de l'art. 24a CPDT-JUNE est réalisée.

Pas besoin de le faire si le traitement est prévu par une base légale qui contient toutes les informations légales!!!

________________________________________________________

AIPD

2

 

NEW !!! Effectuer une analyse d'impact lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

________________________________________________________

3

NEW !!! Consulter le PPDT lorsque l'entité envisage de sous-traiter à l'étranger  ou avec des risques élevés (art. 23a CPDT-JUNE).

Dans tous les cas, les conditions pour sous-traiter des traitements de données personnelles, sensibles ou non, doivent être respectées. En l'absence d'une base légale exprès, il faut établir un contrat avec le sous-traitant (voir modèle). Ceux-ci doivent se faire en Suisse, excepté si le traitement n’y est possible qu'à un coût disproportionné ou s’il ne peut être effectué qu’à l’étranger  (art. 54 CPDT-JUNE).

________________________________________________________

Violation sécurité

4

 

NEW !!! Annoncer dans les meilleurs délais au PPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23c CPDT-JUNE).

________________________________________________________

5

 

NEW !!! Consulter le PPDT lorsque l'entité envisage un projet de traitement à risque élevé (art. 23a CPDT-JUNE).

 

 

________________________________________________________

Communication à l'étranger

6

 

Consulter le PPDT lorsque l'entité envisage de communiquer des données à l'étranger (art. 27 CDPT-JUNE).

________________________________________________________

Bases légales

7

S'assurer de ne traiter (récolter, conserver, communiquer, …) des données personnelles que si une base légale le prévoit ou si le traitement sert à l'accomplissement d'une tâche légale. La base légale prévoyant le traitement ou la tâche doit être adoptée par le Grand Conseil/Parlement ou le législatif communal, selon que le responsable du traitement soit une entité cantonale ou communale, pour traiter des données personnelles sensibles (art. 16 CPDT-JUNE).

S'assurer qu'un système d'information permettant l'échange entre plusieurs entités bénéficie d'une base légale suffisante (voir modèle). S'il s'agit de données personnelles sensibles, il en faut une adoptée par l'autorité législative (Grand Conseil/Parlement, Conseil général/Assemblée communale) dont dépend l'entité (art. 16 CPDT-JUNE).

________________________________________________________

Principes

8

Traiter uniquement les données personnelles, sensibles ou non, nécessaires à l’accomplissement des tâches légales et propres à atteindre le but visé (art. 17 CPDT-JUNE).

Traiter uniquement les données personnelles, sensibles ou non, pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. À l’échéance, elles doivent être proposées à l'entité responsable des archives (art. 17 CPDT-JUNE).

S'assurer que les données personnelles traitées, sensibles ou non, sont exactes, conformes à la réalité, complètes et régulièrement mises à jour (art. 19 CPDT-JUNE).

________________________________________________________

Finalité

9

 

Traiter uniquement les données personnelles, sensibles ou non, pour une finalité déterminée et reconnaissable lors de leur collecte, qui est prévue par une base légale ou qui ressort des circonstances (art. 18 CPDT-JUNE).

________________________________________________________

Sécurité

10

S'assurer que la sécurité est assurée (en principe par le service informatique de l'entité), en prenant des mesures techniques et organisationnelles appropriées, pour tous les traitements effectués avec des données personnelles, sensibles ou non. Par exemple, l'envoi de données personnelles par un e-mail non chiffré, le stockage dans Dropbox, ..., ne respecte pas cette exigence (art. 20 CPDT-JUNE).

Assurer l'intégrité, la disponibilité et la confidentialité des données personnelles traitées (art. 20 CPDT-JUNE).

________________________________________________________

Répertoire

11

 

Établir un répertoire interne des fichiers, accessible par tous les administrés (art. 21 CPDT-JUNE).

Les fichiers contenant des données sensibles doivent en plus être obligatoirement annoncés au PPDT.

________________________________________________________

Droit d'accès

12

S'assurer qu'un processus existe pour que toute personne puisse obtenir l'accès à ses données personnelles rapidement lorsqu'elle en fait la demande.

Rendre rapidement une prise de position (et pas une décision) motivée sommairement lorsqu’il est refusé à une personne, partiellement ou totalement, l’accès à ses données personnelles ou un autre droit relatif à la protection de ses données personnelles (art. 31 CPDT-JUNE).

________________________________________________________

Vidéosurveillance

13

 

Lorsqu'une entité envisage une vidéosurveillance (art. 48 CPDT-JUNE), elle doit respecter toutes les exigences figurant dans l'aide-mémoire.

________________________________________________________

Responsable de traitement

14

 

La personne responsable d'une entité doit s'assurer que les subalternes respectent également ces obligations (art. 56 CPDT-JUNE).

________________________________________________________

Liste

15

 

Obtenir l’accord de l'exécutif dont dépend l'entité pour livrer une liste de personnes (ex : personnes ayant atteint 65 ans) à des tiers (ex : association de retraités) (art. 29 CPDT-JUNE).

________________________________________________________

Accès en ligne

16

 

Consulter le PPDT lorsqu’il est envisagé d’offrir un accès en ligne à des données personnelles, sensibles ou non, nécessaires à une autre entité (art. 28 CPDT-JUNE).

 

________________________________________________________

Formation

17

 

Il appartient à l'entité de prévoir un processus pour que l'ensemble des employés traitant des données personnelles possède les informations utiles pour respecter les règles de protection de données.

________________________________________________________

Droits d'accès

18

 

Etablir une liste des droits d'accès aux données personnelles

________________________________________________________

Géodonnées

19

 

Un catalogue de géodonnées doit impérativement être soumis au PPDT dans le canton de Neuchâtel.

________________________________________________________

Enfin, il est conseillé d'aller parcourir la/les pages relative(s) à votre domaine d'activité pour avoir davantage de détails.

Voici un moyen mnémotechnique pour se rappeler que les traitements de données doivent à tout le moins être :

Autres modifications introduites par la révision de la CPDT-JUNE du 1er octobre 2022

  1. Données biométriques et génétiques entrent dans la catégorie sensible.

  2. Utilisation du terme profilage au lieu de profil de la personnalité.

  3. Utilisation du terme responsable de traitement au lieu de maître de fichier.

  4. Répartition des responsabilités pour traitements conjoints.

  5. Description de l'étendue du droit d'accès et de rectification.

  6. Les entités ne sont désormais en droit de communiquer sur demande le nom, le prénom, l'adresse, la date de naissance, l'état civil, la profession, le sexe et la nationalité, la provenance et la destination d'une personne que si c'est dans l’intérêt de la personne concernée ou que le destinataire justifie d’un intérêt digne de protection.

  7. Une communication est autorisée si la personne concernée n’est pas en mesure de donner son consentement, la communication des données est dans son intérêt et son consentement peut être présumé conformément aux règles de la bonne foi.

  8. Les propos tenus durant les séances de conciliation sont confidentiels.

Principales nouveautés RGPD

pas directement applicables aux entités

  1. Système de contrôle interne garantissant la conformité (art. 32 ch. 1 let. d RGPD).

  2. Délégué à la protection des données (art. 37 RGPD).

  3. Analyse d’impact (art. 35 ss RGPD).

  4. Devoir d’information plus élevé (art. 12 à 14 RGPD).

  5. Mesures techniques et organisationnelles de sécurité plus élevées (art. 32 RGPD).

  6. Communiquer les brèches de sécurité dans les 72 heures (art. 33 RGPD).

  7. Privacy «by design» (art. 25 RGPD).

  8. Registre des activités de traitement (art. 30 RGPD).

  9. Droit à l’oubli renforcé (art. 17 RGPD).

  10. Informations sur le droit d’accès renforcées (art. 15 RGPD).

  11. Exigences plus élevées pour les sous-traitances et transferts (art. 24-27 et 44-49 RGPD).

  12. Renforcement des principes et de la protection des données sensibles (art. 5 à 9 RGPD).

  13. Conditions spécifiques pour les enfants (art. 8 et 9 RGPD).

  14. Sanctions (art. 83 RGPD).

  15. Class Action (art. 80 RGPD).

  16. Code de conduite pour la bonne application (pas obligatoire) (art. 40 RGPD).

  17. Autorités et organismes publics exemptés de :
    1. Désigner un représentant dans l’UE (art. 27 ch. 1 et 2 let. b RGPD).
    2. Portabilité des données (art. 20 ch.1 et 3 RGPD).
Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.