Données personnelles
Définition
Toutes les informations qui se rapportent à une personne identifiée ou identifiable. Par exemple, numéro de téléphone, adresse e-mail, identifiant d'un compte, plaque d'immatriculation, carte sim, fichiers word/excel/pdf... contenant des noms, photos d'une personne, évaluations scolaires, contenu d'un compte sur un réseau, boîte e-mail, etc.
Lorsqu'il s'agit de données non personnelles (la personne n'est pas reconnaissable directement ou par recoupement d'informations), la CPDT-JUNE n'est pas applicable (par exemple, une statistique scolaire, un rapport sur l'observation de la faune, des relevés météorologiques, etc.)
Toutefois, la puissance des recoupements d'informations des clouds étant toujours plus forte, les informations anonymisées relatives à des personnes se muent toujours plus en données personnelles à l'insu de l'utilisateur du cloud.
Les données cryptées pourraient constituer des données non personnelles, pour autant qu'elles restent indéchiffrables pour les tiers.
Selon le Tribunal administratif fédéral, dans un arrêt du 10 avril 2012 (A-4467/2011), il a rappelé que :
Par données personnelles (ou "données" au sens de la loi sur la protection des données), on entend toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3, let. a, LPD). Sont considérées comme des données toutes les informations qui visent à transmettre ou à conserver des connaissances, indépendamment du fait qu'il s'agisse d'une constatation de fait ou d'un jugement de valeur. Peu importe également qu'une déclaration se présente sous la forme d'un signe, d'un mot, d'une image, d'un son ou d'une combinaison de ceux-ci et sur quel type de support de données les informations sont enregistrées. Ce qui est déterminant pour la qualification de données personnelles, c'est que les indications puissent être attribuées à une ou plusieurs personnes. Les données dites matérielles sont donc toujours des données personnelles lorsqu'elles peuvent être mises en relation avec une personne. Une personne est en outre identifiée lorsqu'il ressort de l'information elle-même qu'il s'agit de cette personne bien précise. La manière dont le lien est établi avec la personne concernée est sans importance. Enfin, sont également considérées comme des données personnelles les informations qui permettent uniquement d'identifier une personne, car la combinaison de différentes informations permet de l'identifier sans effort disproportionné. L'effort à fournir pour déterminer une personne n'est toutefois plus justifiable si, selon l'expérience générale de la vie, il ne faut pas s'attendre à ce qu'un intéressé prenne cet effort à sa charge (cf. FF 1988 II 444 s. ; URS BELSER, BSK-DSG, op. cit., art. 3 ch. 5 s.). La question de savoir si une information peut être mise en relation avec une personne sur la base de données supplémentaires, c'est-à-dire si l'information se rapporte à une personne identifiable (art. 3, let. a LPD), s'apprécie du point de vue du détenteur de l'information. Dans le cas de la transmission d'informations, il suffit que le destinataire soit en mesure d'identifier la personne concernée (arrêt du Tribunal fédéral 1C_285/2009 du 8 septembre 2010 consid. 3.4 avec références) (consid. 5.1).
Sommaire
Avis publiés par le PPDT
- 2020.01.27_Accès à ses données personnelles figurant dans un procès-verbal ou des documents d'aide à la décision (notes internes) (2019.2676)
- 2015.08.21_Sécurité de la circulation des e-mails (2015.1175)
- 2014.11.07_Accès à la boîte e-mail d'une personne décédée (2014.0845, 2014.0874)
- 2014.09.10_Accès au jugement de divorce de ses parents (2014.0807)
- 2014.06.20_Renseignements donnés aux tiers pour les personnes en formation dans le secondaire II (2013.0468 et 2013.0454)
- 2013.11.19_Enquêtes pour l'obtention de la nationalité suisse (2013.0617)
- 2013.11.08_Communication de données médicales aux assureurs (2013.0460)
- 2013.10.17_Communications de listes à des sociétés commerciales (2013.0595)
- 2013.08.20_Accès en ligne à la liste des enseignants suivant une formation continue (2013.0482)
- 2013.07.26_Délégations de tâches de polices communales à des entreprises privées de sécurité (2013.0532)
- 2013.06.07_Hébergement de données personnelles cantonales à l'étranger (2013.0392)
- 2013.06.06_Publications de noms dans les communiqués de presse (2011.0134)
- 2013.05.08_Stockage d'informations dans un cloud (Sky Drive, Google Drive, Dropbox, iCloud) (2013.0388, 0453, 0461)
- 2013.02.08_Communication des listes électorales dans les cantons du Jura et Neuchâtel (2013.0386, 0400, 0413, 0418)
- 2010.10.25_Mise en ligne d'un PV du Conseil général (2010.0080)
- 2010.05.06_Publication sur internet des noms des personnes naturalisées (2010.0015)
Prises de position sommaires du PPDT
2015 - 2014 - 2013
-
Des photos suffisamment floutées rendant les numéros de plaques illisibles ou les gens méconnaissables ne constituent pas des données personnelles (dossier 2012.0355).
-
Lorsqu'il est demandé des données personnelles pour effectuer une recherche / statistique, il faut si possible livrer des données anonymisées, surtout s'il s'agit de données sensibles, notamment celles de la police. Une entité n'est en principe pas tenue de participer à une recherche / statistique, excepté s'il y a une base légale (dossier 2014.0693).
-
L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).
-
Un directeur concerné par un audit a le droit d'accéder à ses données personnelles, sous réserve des exceptions prévues à l'article 33 CPDT-JUNE. Il peut aussi avoir droit à l'ensemble de l'audit lorsque ce document peut être qualifié d'officiel (art. 71 CPDT-JUNE) et que les exceptions prévues à l'article 72 CPDT-JUNE ne sont pas remplies (dossier 2014.0690).
-
La communication de données personnelles par l'intermédiaire d'internet ne respecte généralement pas le principe de la proportionnalité puisque la durée d'accès est difficilement maîtrisable (dossier 2014.0683).
-
Il a été rappelé à un Conseiller communal que le devoir d'informer le public prévu par les règles sur la transparence est limité par la protection des données personnelles. De plus, si la communication d'un fait notoire ne constitue pas une violation du secret de fonction, il n'en va pas de même sous l'angle de la protection des données (dossier 2013.0530).
