Préposé à la protection des données et transparence Jura-Neuchâtel

Règles à respecter

Protection des données

Les principales règles de protection des données à respecter pour le traitement de données personnelles sont :

  1. S'assurer de ne traiter (récolter, conserver, communiquer, …) des données personnelles que si une base légale le prévoit ou si le traitement sert à l'accomplissement d'une tâche légale. La base légale prévoyant le traitement ou la tâche doit être adoptée par le Grand Conseil/Parlement ou le législatif communal, selon que le responsable du traitement soit une entité cantonale ou communale, pour traiter des données personnelles sensibles.

  2. Traiter uniquement les données personnelles, sensibles ou non, nécessaires à l’accomplissement des tâches légales et propres à atteindre le but visé.

  3. Traiter uniquement les données personnelles, sensibles ou non, dans le but qui est indiqué lors de leur collecte, qui est prévu par une base légale ou qui ressort des circonstances.

  4. S'assurer que la sécurité est assurée (en principe par le service informatique de l'entité), en prenant des mesures organisationnelles et techniques appropriées, pour tous les traitements effectués avec des données personnelles, sensibles ou non. Par exemple, l'envoi de données personnelles par un e-mail non chiffré, le stockage dans dropbox, ..., ne respecte pas cette exigence,

  5. S'assurer que les données personnelles traitées, sensibles ou non, sont exactes, conformes à la réalité, complètes et régulièrement mises à jour.

  6. Assurer l'intégrité, la disponibilité et la confidentialité des données personnelles traitées.

  7. S'assurer qu'un système d'information permettant l'échange entre plusieurs entités bénéficie d'une base légale suffisante (voir modèle). S'il s'agit de données personnelles sensibles, il en faut une adoptée par l'autorité législative (Grand Conseil/Parlement, Conseil général/Assemblée communale) dont dépend l'entité.

  8. Si les conditions pour externaliser des traitements de données personnelles, sensibles ou non, sont remplies, établir un contrat avec le sous-traitant (voir modèle). Ceux-ci doivent se faire en Suisse lorsque les données personnelles, sensibles ou non, sont soumises au secret de fonction.

  9. Etablir un répertoire interne des fichiers, accessible par tous les administrés.

  10. Annoncer au PPDT les fichiers contenant des données personnelles sensibles à l’aide de ce formulaire.

  11. Ne conserver les données personnelles que le temps nécessaire à l’accomplissement des tâches légales. À l’échéance, elles doivent être proposées à l'entité responsable des archives.

  12. S'assurer qu'un processus existe pour que toute personne puisse obtenir l'accès à ses données personnelles rapidement lorsqu'elle en fait la demande.

  13. Rendre rapidement une prise de position (et pas une décision) motivée sommairement lorsqu’il est refusé à une personne, partiellement ou totalement, l’accès à ses données personnelles ou un autre droit relatif à la protection de ses données personnelles.

  14. Consulter le PPDT lorsque l'entité envisage d'installer une vidéosurveillance.

  15. Consulter le PPDT lorsque l'entité envisage de faire adopter/réviser une base légale ayant un impact sur la protection des données et la transparence.

  16. Consulter le PPDT lorsqu’il est envisagé d’offrir un accès en ligne à des données personnelles, sensibles ou non, nécessaires à une autre entité.

  17. Obtenir l’accord de l'exécutif dont dépend l'entité pour livrer une liste de personnes (ex : personnes ayant atteint 65 ans) à des tiers (ex : association de retraité.e.s).

Enfin, il est conseillé d'aller parcourir la/les pages relative(s) à votre domaine d'activité pour avoir plus de détails.

Evolutions possibles du droit cantonal à l'horizon 2020

  1. Données biométriques et génétiques entrent dans la catégorie sensible

  2. Utilisation du terme profilage au lieu de profile de la personnalité

  3. Utilisation du terme responsable de traitement et plus de maître de fichier

  4. Loi obligatoire pour les traitements de données sensibles

  5. Soumission au PPDT de tout projet de traitement comportant des risques élevés pour la personnalité

  6. Analyse d’impact préalable s'il y a des risques élevés pour la personnalité

  7. Obligation d’annonce au PPDT des violations de sécurité des données

  8. Répartition des responsabilités pour traitements conjoints

  9. Suppression de la communication du nom, prénom, date de naissance par «l’ensemble des services»

  10. Devoir d’informer accru

Principales nouveautés RGPD/LPD

pas directement applicables aux entités

  1. Système de contrôle interne garantissant la conformité (art. 32 ch. 1 let. d RGPD)

  2. Délégué à la protection des données (art. 37 RGPD)

  3. Analyse d’impact (art. 35 ss RGPD)

  4. Devoir d’information plus élevé (art. 12 à 14 RGPD)

  5. Mesures techniques et organisationnelles de sécurité plus élevées (art. 32 RGPD)

  6. Communiquer les brèches de sécurités dans les 72 heures (art. 33 RGPD)

  7. Privacy «by design» (art. 25 RGPD)

  8. Registre des activités de traitement (art. 30 RGPD)

  9. Droit à l’oubli renforcé (art. 17 RGPD)

  10. Informations sur le droit d’accès renforcées (art. 15 RGPD)

  11. Exigences plus élevées pour les sous-traitances et transferts (art. 24-27 et 44-49 RGPD)

  12. Renforcement des principes et de la protection des données sensibles (art. 5 à 9 RGPD)

  13. Conditions spécifiques pour les enfants (art. 8 et 9 RGPD)

  14. Sanctions (art. 83 RGPD)

  15. Class Action (art. 80 RGPD)

  16. Code de conduite pour la bonne application (pas obligatoire) (art. 40 RGPD)

  17. Autorités et organismes publics exemptés de :

    1. Désigner un représentant dans l’UE (art. 27 ch. 1 et 2 let. b RGPD)
    2. Portabilité des données (art. 20 ch.1 et 3 RGPD)
Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.