Récoltes de données par les entités soumises à la CPDT-JUNE

A propos de la publication des photos des employés d’une entité soumise à la CPDT-JUNE, le PFPDT a déjà eu l’occasion de préciser que : « Comme une photographie permet dans certains cas de déterminer des caractéristiques telles que la religion, l'appartenance à une race ou des déficiences physiques de la personne représentée et que, de plus, une telle photographie n'est souvent d'aucune utilité pratique, il n'est permis de mettre des photos sur Intranet ou Internet qu'avec le consentement des personnes concernées. Cette règle vaut aussi pour les photos prises lors de manifestations telles qu'apéritifs ou excursions organisés par l'entreprise. Il est conseillé de se demander au préalable si la publication de photos d'employés est indispensable à l'accomplissement des tâches. ». En droit public, il n’est pas possible d’imposer une récolte de données sans base légale, conformément aux art. 5 Cst et 16 CPDT-JUNE. Sans compter que le principe de la proportionnalité doit également être respecté et que son non-respect ne peut pas être justifié par un consentement, comme en droit privé. En l’occurrence, la nécessité de la publication de la photo de tous les collaborateurs reste à prouver (dossier 2022.4504).

Les écoles sont en droit de demander un extrait spécial du casier judiciaire aux personnes entourant les élèves/étudiants d’un camp extra muros (dossier 2021.4055).

Une entité est en droit de demander des certificats attestant que son employé est apte à travailler en présentiel. Elle se doit de préserver la santé des employés. A l’inverse, pour bénéficier de mesures particulières en raison de l’état de santé, il appartient à l’employé de le justifier (dossier 2021.3840).

Lorsqu’il s’agit de déterminer le patrimoine d’une personne susceptible d’obtenir des prestations sociales, la demande de la carte grise et de relevés bancaires est en principe proportionnée s’il n’y a pas d’autres moyens moins intrusifs (dossier 2021.3633).

Des faits reçus pour la gestion du dossier d’une personne, ne sont pas utilisables pour en gérer d’autres, si le principe de la finalité n’est pas respecté. Excepté si les faits constituent une infraction entrant dans le devoir de dénoncer figurant dans les règles du personnel (dossier 2020.3469).

Le traçage des personnes testées COVID positif par les autorités sanitaires cantonales bénéficie de bases légales suffisantes (art. 33 et  58 LEp). Cependant, pour qu’un traitement soit licite, une base légale n’est qu’une condition. Il faut encore que les autres principes de la protection des données soient respectés, et plus particulièrement celui de la proportionnalité (dossier 2020.3264).

Compte tenu des missions de contrôle attribuées aux autorités scolaires pour s’assurer que les conditions d’attribution d’un congé sont respectées, ces dernières sont en droit d’utiliser des informations venues à leur connaissance par l’intermédiaire de What’s app, avec le consentement des personnes concernées (dossier 2020.3165).

Un service des ressources humaines n’est pas en droit de faire signer des levées du secret médical en sa faveur afin d’obtenir du médecin traitant tous renseignements utiles sur l’état de santé d’un employé. Selon les règles de protection des données, un SRH n’est pas en droit d’obtenir de telles informations. Il ne peut récolter que des détails sur les modalités de l’aptitude au travail (dossier 2019.3075).

Selon l’avis du 29 juin 2018 les écoles jurassiennes ne sont pas en droit de communiquer la religion des élèves aux Églises. Par conséquent, les règles de protection des données ne permettent pas de récolter une telle donnée, avec ou sans le consentement des personnes concernées (dossier 2019.2659).

La CCNC doit pouvoir fonder sa récolte de données sur une base légale pour qu’elle soit conforme à la protection des données et respecter le principe de la proportionnalité. L’examen du dessaisissement de fortune dans le cadre des prestations complémentaires est régi par les articles 11 let. g LPC et 17a OPC-AVS/AI. Ces dispositions ne précisent pas jusqu’à quand la CCNC peut remonter dans le temps (principe de la proportionnalité). Mais un arrêt du tribunal fédéral, ATF 120 V 186, consid. 4f, a précisé qu’il n’y avait pas de limite de temps, comme le confirme la doctrine (Pierre Ferrari,  Dessaisissement volontaire et prestations complémentaires à l'AVS/AI,  SAS 2002 p. 417 (420)), (dossier 2018.2341).

Le Service des contributions est en droit de récolter les données nécessaires pour déterminer le domicile fiscal d'un contribuable, telles que les factures de consommation d'électricité et d'eau, ou les lieux des dépenses (dossier 2018.2405).

Les autorités peuvent obtenir des informations sur des détenteurs de véhicules par l’intermédiaire d’un autre fichier que MOFIS, sans violer le droit fédéral. Selon l’OFROU, ce dernier n’a pas le monopole en la matière (dossier 2018.2285).

Une entité peut en principe offrir des newsletters, mais elle doit intervenir sur inscription préalable. La promotion de l'existence de la newsletter ne peut utiliser un carnet d'adresses existant que si l'entité à une tâche légale de promotion/sensibilisation/information (dossier 2018.2165).

Selon l’article 24 CPDT-JUNE, une collecte de données et les finalités du traitement doivent être reconnaissables pour la personne concernée. Par conséquent, un SRH voulant investiguer à propos des qualités d'un candidat doit l’en informer préalablement pour respecter cet article et lui rappeler qu’il est en droit de s’opposer à la récolte de données, au sens des articles 34 et 36 CPDT-JUNE. Voir aussi à ce propos l'avis du Préposé fédéral (dossier 2016.1515).

La police cherche quotidiennement à obtenir des données personnelles auprès de particuliers ou d'entreprises, association, fondation, etc… Cette démarche est notamment cadrée par les articles 12, 15, 73, 95, 162, 299, 300, 306, 307 Code de procédure pénale (CPP) et 91 LPol (RSN 561.1). Concrètement elle peut demander des documents ou des informations personnelles sans donner d'explications qui pourraient compromettre l'enquête ou atteindre la personnalité de tiers. Les personnes sollicitées peuvent communiquer les données requises sans violer leurs obligations en matière de protection des données. Si une demande devait être perçue comme "exagérée", le PPDT peut être sollicité a posteriori pour vérification, mais il ne pourra agir que dans la mesure où une procédure pénale n'est pas pendante (dossier 2014.0941).

La sécurité urbaine communale n'est pas en droit d'enregistrer les conversations téléphoniques, faute de base légale, voire de motifs légitimes (dossier 2016.1406).

Les autorités sanitaires cantonales sont en droit de récolter le taux d'activité des médecins dans le cadre de la procédure d'autorisation de pratiquer (dossier 2015.1245).

Les autorités scolaires cantonales sont en droit de contrôler le statut vaccinal des élèves (art. 58 Loi sur les épidémies (LEp), RS 818.101). Usuellement, il appartient à l'infirmerie scolaire d'effectuer le contrôle (dossier 2015.1187).

Une entité peut récolter le numéro de téléphone mobile et l'adresse e-mail privée pour autant que les personnes concernées y consentent et soient suffisamment informées des modalités du traitement de données (dossier 2013.0421 et 2013.0420).

L'autorité chargée d'octroyer les permis d'acquisition d'armes à feu est en droit de récolter les données nécessaires pour s'assurer que les conditions sont remplies (dossier 2015.01090).

Les lycées cantonaux ne sont pas en droit de récolter la liste des élèves susceptibles de remplir les conditions pour s'y inscrire (dossier 2014.0814).

Les autorités communales ne sont pas en droit d'utiliser le système d'information ANIS (Animal Identity Service) pour vérifier le paiement d'une taxe (dossier 2014.0765).

Les autorités cantonales ne sont pas en droit de récolter la liste des collaborateurs qui sont en retard dans le paiement de leurs impôts (dossier 2014.0760).

Les entités soumises à la CPDT-JUNE ne sont pas autorisées à utiliser Google Forms pour récolter des données personnelles (dossier 2014.0759).

L'Office de l'accueil extra-familial neuchâtelois n'est pas en droit de récolter des données fiscales pour pouvoir expliquer le calcul du montant facturé aux personnes concernées (dossier 2014.0717).

Les Conseils d'établissement scolaire ne sont en droit de récolter des listes d'élèves que si elles sont nécessaires pour l'accomplissement d'une tâche légale. Or, il semblerait que cette dernière n'existe pas (dossier 2014.0791).

Le Service des contributions neuchâtelois est en droit de demander la religion des contribuables puisqu'il est chargé de percevoir l'impôt ecclésiastique (dossier 2014.0716).

Les autorités communales ne sont pas en droit de récolter des données fiscales d'un opposant à un permis de construire, sans les lui avoir préalablement demandées (dossier 2014.00703).

Les cartes du personnel de la police peuvent contenir une puce avec un certain nombre d'informations, sous réserve du respect de quelques modalités (dossier 2014.0692).

Une entité soumise à la CPDT-JUNE n'est pas en droit d'exiger une liste des salaires non anonymisée si elle ne bénéficie pas d'une base légale (dossier 2014.0666).

Les directions de homes n'ont pas le droit de récolter directement des questionnaires médicaux. Ces derniers doivent être adressés directement à un médecin conseil (dossier 2014.0698).

Le Service de l'assurance-maladie neuchâtelois et les contrôles des habitants communaux jurassiens sont en droit de récolter le nom de l'assurance-maladie auprès de laquelle sont affiliées les personnes domiciliées dans leur canton respectif (dossier 2013.0580).

Le Service des contributions ne peut pas demander aux ressources humaines la référence bancaire d'un député, sans l'avoir préalablement demandé à ce dernier (dossier 2013.0560).