Préposé à la protection des données et transparence Jura-Neuchâtel
Obligations à respecter
"Anciennes" et nouvelles Communications
Autorisées ou non ? Sous-traitance
 Modèles de documents
Déterminer l'accès à un document officiel Listes
Conditions pour communiquer une liste Clouds
 Formulaires
 Répondre à une demande
 Procédures
Expliquées aux administrés Procédures
A suivre par les entités Classification
 Prévention et Vie privée
AccueilDocumentationGuides pratiquesProtection des donnéesObligations à respecter

Obligations à respecter

Protection des données

Sommaire

Les principales obligations à respecter pour le traitement de données personnelles sont :

  1. NEW !!! Informer la personne concernée de manière adéquate de la collecte de données, que celle-ci soit effectuée auprès d’elle ou non (art. 24 CPDT-JUNE).

  2. NEW !!! Effectuer une analyse d'impact lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée et consulter le PPDT (art. 23b CPDT-JUNE) (Formulaire de consultation).

  3. NEW !!! Consulter le PPDT lorsque l'entité envisage de sous-traiter à l'étranger (art. 23a CPDT-JUNE) (Formulaire de consultation).

  4. NEW !!! Annoncer dans les meilleurs délais au PPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23c CPDT-JUNE) (Formulaire d'annonce d'une violation).

  5. NEW !!! Consulter le PPDT lorsque l'entité envisage un projet de traitement à risque élevé (art. 23a CPDT-JUNE) (Formulaire de consultation).

  6. Consulter le PPDT lorsque l'entité envisage de communiquer des données à l'étranger (art. 27 CDPT-JUNE) (Formulaire de consultation).

  7. S'assurer de ne traiter (récolter, conserver, communiquer, …) des données personnelles que si une base légale le prévoit ou si le traitement sert à l'accomplissement d'une tâche légale. La base légale prévoyant le traitement ou la tâche doit être adoptée par le Grand Conseil/Parlement ou le législatif communal, selon que le responsable du traitement soit une entité cantonale ou communale, pour traiter des données personnelles sensibles (art. 16 CPDT-JUNE).

  8. Traiter uniquement les données personnelles, sensibles ou non, nécessaires à l’accomplissement des tâches légales et propres à atteindre le but visé (art. 17 CPDT-JUNE).

  9. Traiter uniquement les données personnelles, sensibles ou non, pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. À l’échéance, elles doivent être proposées à l'entité responsable des archives (art. 17 CPDT-JUNE).

  10. Traiter uniquement les données personnelles, sensibles ou non, pour une finalité déterminée et reconnaissable lors de leur collecte, qui est prévue par une base légale ou qui ressort des circonstances (art. 18 CPDT-JUNE).

  11. S'assurer que la sécurité est assurée (en principe par le service informatique de l'entité), en prenant des mesures techniques et organisationnelles appropriées, pour tous les traitements effectués avec des données personnelles, sensibles ou non. Par exemple, l'envoi de données personnelles par un e-mail non chiffré, le stockage dans Dropbox, ..., ne respecte pas cette exigence (art. 20 CPDT-JUNE).

  12. S'assurer que les données personnelles traitées, sensibles ou non, sont exactes, conformes à la réalité, complètes et régulièrement mises à jour (art. 19 CPDT-JUNE).

  13. Assurer l'intégrité, la disponibilité et la confidentialité des données personnelles traitées (art. 20 CPDT-JUNE).

  14. Consulter le PPDT lorsque l'entité envisage de faire adopter/réviser une base légale ayant un impact sur la protection des données et la transparence (art. 8 CPDT-JUNE) (Formulaire de consultation).

  15. S'assurer qu'un système d'information permettant l'échange entre plusieurs entités bénéficie d'une base légale suffisante (voir modèle). S'il s'agit de données personnelles sensibles, il en faut une adoptée par l'autorité législative (Grand Conseil/Parlement, Conseil général/Assemblée communale) dont dépend l'entité (art. 16 CPDT-JUNE).

  16. Si les conditions pour externaliser des traitements de données personnelles, sensibles ou non, sont remplies, établir un contrat avec le sous-traitant (voir modèle). Ceux-ci doivent se faire en Suisse lorsque les données personnelles, sensibles ou non, sont soumises au secret de fonction (art. 54 CPDT-JUNE).

  17. Établir un répertoire interne des fichiers, accessible par tous les administrés (art. 21 CPDT-JUNE).

  18. Annoncer au PPDT les fichiers contenant des données personnelles sensibles (art. 22 CPDT-JUNE) (Formulaire d'annonce).

  19. S'assurer qu'un processus existe pour que toute personne puisse obtenir l'accès à ses données personnelles rapidement lorsqu'elle en fait la demande.

  20. Rendre rapidement une prise de position (et pas une décision) motivée sommairement lorsqu’il est refusé à une personne, partiellement ou totalement, l’accès à ses données personnelles ou un autre droit relatif à la protection de ses données personnelles (art. 31 CPDT-JUNE).

  21. Consulter le PPDT lorsque l'entité envisage de poser une vidéosurveillance (art. 48 CPDT-JUNE), après avoir adopté une base légale suffisante (Formulaire de consultation).

  22. Consulter le PPDT lorsqu’il est envisagé d’offrir un accès en ligne à des données personnelles, sensibles ou non, nécessaires à une autre entité (art. 28 CPDT-JUNE) (Formulaire de consultation).

  23. Obtenir l’accord de l'exécutif dont dépend l'entité pour livrer une liste de personnes (ex : personnes ayant atteint 65 ans) à des tiers (ex : association de retraités) (art. 29 CPDT-JUNE).

  24. La personne responsable d'une entité doit s'assurer que les subalternes respectent également ces obligations (art. 56 CPDT-JUNE).

Enfin, il est conseillé d'aller parcourir la/les pages relative(s) à votre domaine d'activité pour avoir davantage de détails.

Voici un moyen mnémotechnique pour se rappeler que les traitements de données doivent à tout le moins être :

Lents

Principales nouveautés introduites par la révision du 1er octobre 2022

  1. Devoir d’informer accru.

  2. Données biométriques et génétiques entrent dans la catégorie sensible.

  3. Utilisation du terme profilage au lieu de profil de la personnalité.

  4. Utilisation du terme responsable de traitement au lieu de maître de fichier.

  5. Loi obligatoire pour les traitements de données sensibles.

  6. Soumission au PPDT de tout projet de traitement comportant des risques élevés pour la personnalité.

  7. Analyse d’impact préalable s'il y a des risques élevés pour la personnalité.

  8. Obligation d’annonce au PPDT des violations de sécurité des données.

  9. Traitement des données en Suisse, sauf exception.

  10. Répartition des responsabilités pour traitements conjoints.

  11. Description de l'étendue du droit d'accès et de rectification.

  12. Les entités ne sont désormais en droit de communiquer sur demande le nom, le prénom, l'adresse, la date de naissance, l'état civil, la profession, le sexe et la nationalité, la provenance et la destination d'une personne que si c'est dans l’intérêt de la personne concernée ou que le destinataire justifie d’un intérêt digne de protection.

  13. Une communication est autorisée si la personne concernée n’est pas en mesure de donner son consentement, la communication des données est dans son intérêt et son consentement peut être présumé conformément aux règles de la bonne foi.

  14. Les propos tenus durant les séances de conciliation sont confidentiels.

Principales nouveautés RGPD

pas directement applicables aux entités

  1. Système de contrôle interne garantissant la conformité (art. 32 ch. 1 let. d RGPD).

  2. Délégué à la protection des données (art. 37 RGPD).

  3. Analyse d’impact (art. 35 ss RGPD).

  4. Devoir d’information plus élevé (art. 12 à 14 RGPD).

  5. Mesures techniques et organisationnelles de sécurité plus élevées (art. 32 RGPD).

  6. Communiquer les brèches de sécurité dans les 72 heures (art. 33 RGPD).

  7. Privacy «by design» (art. 25 RGPD).

  8. Registre des activités de traitement (art. 30 RGPD).

  9. Droit à l’oubli renforcé (art. 17 RGPD).

  10. Informations sur le droit d’accès renforcées (art. 15 RGPD).

  11. Exigences plus élevées pour les sous-traitances et transferts (art. 24-27 et 44-49 RGPD).

  12. Renforcement des principes et de la protection des données sensibles (art. 5 à 9 RGPD).

  13. Conditions spécifiques pour les enfants (art. 8 et 9 RGPD).

  14. Sanctions (art. 83 RGPD).

  15. Class Action (art. 80 RGPD).

  16. Code de conduite pour la bonne application (pas obligatoire) (art. 40 RGPD).

  17. Autorités et organismes publics exemptés de :
    1. Désigner un représentant dans l’UE (art. 27 ch. 1 et 2 let. b RGPD).
    2. Portabilité des données (art. 20 ch.1 et 3 RGPD).
Ce site utilise plusieurs cookies : un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques; un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite; sept pour l'outil Microsoft Clarity utilisé afin d'élaborer des statistiques de consultation du site. En poursuivant, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.