Points clefs pour vérifier la conformité d'un traitement Obligations à respecter
"Anciennes" et nouvelles Communications
Autorisées ou non ? Sous-traitance
Modèles de documents
Déterminer l'accès à un document officiel Listes
Conditions pour communiquer une liste Clouds
Formulaires
Répondre à une demande
Procédures
Expliquées aux administrés Procédures
A suivre par les entités Classification
Prévention et Vie privée
Obligations à respecter
Liens utiles
________________________________________________________
Les principales obligations à respecter pour le traitement de données personnelles sont :
NEW !!! Informer la personne concernée de manière adéquate de la collecte de données, que celle-ci soit effectuée auprès d’elle ou non (art. 24 CPDT-JUNE), sauf si l'une des exceptions de l'art. 24a CPDT-JUNE est réalisée.
Pas besoin de le faire si le traitement est prévu par une base légale qui contient toutes les informations légales!!!
________________________________________________________
NEW !!! Effectuer une analyse d'impact lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
Liens utiles
________________________________________________________
NEW !!! Consulter le PPDT lorsque l'entité envisage de sous-traiter à l'étranger ou avec des risques élevés (art. 23a CPDT-JUNE).
Dans tous les cas, les conditions pour sous-traiter des traitements de données personnelles, sensibles ou non, doivent être respectées. En l'absence d'une base légale exprès, il faut établir un contrat avec le sous-traitant (voir modèle). Ceux-ci doivent se faire en Suisse, excepté si le traitement n’y est possible qu'à un coût disproportionné ou s’il ne peut être effectué qu’à l’étranger (art. 54 CPDT-JUNE).
Liens utiles
- Formulaire de consultation OBLIGATOIRE du PPDT pour une sous-traitance/Cloud à l'étranger
- Formulaire de consultation OBLIGATOIRE du PPDT pour une sous-traitance/Cloud à risques élevés en CH
- Formulaire de consultation facultative du PPDT pour une sous-traitance/Cloud externe
- Voir aussi point clef de contrôle correspondant
________________________________________________________
NEW !!! Annoncer dans les meilleurs délais au PPDT les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 23c CPDT-JUNE).
Liens utiles
________________________________________________________
NEW !!! Consulter le PPDT lorsque l'entité envisage un projet de traitement à risque élevé (art. 23a CPDT-JUNE).
Liens utiles
________________________________________________________
Consulter le PPDT lorsque l'entité envisage de communiquer des données à l'étranger (art. 27 CDPT-JUNE).
Liens utiles
________________________________________________________
S'assurer de ne traiter (récolter, conserver, communiquer, …) des données personnelles que si une base légale le prévoit ou si le traitement sert à l'accomplissement d'une tâche légale. La base légale prévoyant le traitement ou la tâche doit être adoptée par le Grand Conseil/Parlement ou le législatif communal, selon que le responsable du traitement soit une entité cantonale ou communale, pour traiter des données personnelles sensibles (art. 16 CPDT-JUNE).
S'assurer qu'un système d'information permettant l'échange entre plusieurs entités bénéficie d'une base légale suffisante (voir modèle). S'il s'agit de données personnelles sensibles, il en faut une adoptée par l'autorité législative (Grand Conseil/Parlement, Conseil général/Assemblée communale) dont dépend l'entité (art. 16 CPDT-JUNE).
Liens utiles
________________________________________________________
Traiter uniquement les données personnelles, sensibles ou non, nécessaires à l’accomplissement des tâches légales et propres à atteindre le but visé (art. 17 CPDT-JUNE).
Traiter uniquement les données personnelles, sensibles ou non, pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. À l’échéance, elles doivent être proposées à l'entité responsable des archives (art. 17 CPDT-JUNE).
S'assurer que les données personnelles traitées, sensibles ou non, sont exactes, conformes à la réalité, complètes et régulièrement mises à jour (art. 19 CPDT-JUNE).
________________________________________________________
Traiter uniquement les données personnelles, sensibles ou non, pour une finalité déterminée et reconnaissable lors de leur collecte, qui est prévue par une base légale ou qui ressort des circonstances (art. 18 CPDT-JUNE).
________________________________________________________
S'assurer que la sécurité est assurée (en principe par le service informatique de l'entité), en prenant des mesures techniques et organisationnelles appropriées, pour tous les traitements effectués avec des données personnelles, sensibles ou non. Par exemple, l'envoi de données personnelles par un e-mail non chiffré, le stockage dans Dropbox, ..., ne respecte pas cette exigence (art. 20 CPDT-JUNE).
Assurer l'intégrité, la disponibilité et la confidentialité des données personnelles traitées (art. 20 CPDT-JUNE).
________________________________________________________
Établir un répertoire interne des fichiers, accessible par tous les administrés (art. 21 CPDT-JUNE).
Les fichiers contenant des données sensibles doivent en plus être obligatoirement annoncés au PPDT.
Liens utiles
________________________________________________________
S'assurer qu'un processus existe pour que toute personne puisse obtenir l'accès à ses données personnelles rapidement lorsqu'elle en fait la demande.
Rendre rapidement une prise de position (et pas une décision) motivée sommairement lorsqu’il est refusé à une personne, partiellement ou totalement, l’accès à ses données personnelles ou un autre droit relatif à la protection de ses données personnelles (art. 31 CPDT-JUNE).
________________________________________________________
Lorsqu'une entité envisage une vidéosurveillance (art. 48 CPDT-JUNE), elle doit respecter toutes les exigences figurant dans l'aide-mémoire.
Liens utiles
________________________________________________________
La personne responsable d'une entité doit s'assurer que les subalternes respectent également ces obligations (art. 56 CPDT-JUNE).
________________________________________________________
Obtenir l’accord de l'exécutif dont dépend l'entité pour livrer une liste de personnes (ex : personnes ayant atteint 65 ans) à des tiers (ex : association de retraités) (art. 29 CPDT-JUNE).
________________________________________________________
Consulter le PPDT lorsqu’il est envisagé d’offrir un accès en ligne à des données personnelles, sensibles ou non, nécessaires à une autre entité (art. 28 CPDT-JUNE).
Liens utiles
________________________________________________________
Il appartient à l'entité de prévoir un processus pour que l'ensemble des employés traitant des données personnelles possède les informations utiles pour respecter les règles de protection de données.
________________________________________________________
________________________________________________________
Liens utiles
________________________________________________________
Enfin, il est conseillé d'aller parcourir la/les pages relative(s) à votre domaine d'activité pour avoir davantage de détails.
Voici un moyen mnémotechnique pour se rappeler que les traitements de données doivent à tout le moins être :
Autres modifications introduites par la révision de la CPDT-JUNE du 1er octobre 2022
-
Données biométriques et génétiques entrent dans la catégorie sensible.
-
Utilisation du terme profilage au lieu de profil de la personnalité.
-
Utilisation du terme responsable de traitement au lieu de maître de fichier.
-
Répartition des responsabilités pour traitements conjoints.
-
Description de l'étendue du droit d'accès et de rectification.
-
Les entités ne sont désormais en droit de communiquer sur demande le nom, le prénom, l'adresse, la date de naissance, l'état civil, la profession, le sexe et la nationalité, la provenance et la destination d'une personne que si c'est dans l’intérêt de la personne concernée ou que le destinataire justifie d’un intérêt digne de protection.
-
Une communication est autorisée si la personne concernée n’est pas en mesure de donner son consentement, la communication des données est dans son intérêt et son consentement peut être présumé conformément aux règles de la bonne foi.
-
Les propos tenus durant les séances de conciliation sont confidentiels.
Principales nouveautés RGPD
pas directement applicables aux entités
-
Système de contrôle interne garantissant la conformité (art. 32 ch. 1 let. d RGPD).
-
Délégué à la protection des données (art. 37 RGPD).
-
Analyse d’impact (art. 35 ss RGPD).
-
Devoir d’information plus élevé (art. 12 à 14 RGPD).
-
Mesures techniques et organisationnelles de sécurité plus élevées (art. 32 RGPD).
-
Communiquer les brèches de sécurité dans les 72 heures (art. 33 RGPD).
-
Privacy «by design» (art. 25 RGPD).
-
Registre des activités de traitement (art. 30 RGPD).
-
Droit à l’oubli renforcé (art. 17 RGPD).
-
Informations sur le droit d’accès renforcées (art. 15 RGPD).
-
Exigences plus élevées pour les sous-traitances et transferts (art. 24-27 et 44-49 RGPD).
-
Renforcement des principes et de la protection des données sensibles (art. 5 à 9 RGPD).
-
Conditions spécifiques pour les enfants (art. 8 et 9 RGPD).
-
Sanctions (art. 83 RGPD).
-
Class Action (art. 80 RGPD).
-
Code de conduite pour la bonne application (pas obligatoire) (art. 40 RGPD).
-
Autorités et organismes publics exemptés de :
- Désigner un représentant dans l’UE (art. 27 ch. 1 et 2 let. b RGPD).
- Portabilité des données (art. 20 ch.1 et 3 RGPD).