Préposé à la protection des données et transparence Jura-Neuchâtel

Densité normative

Protection des données

Résumé

La densité normative des dispositions relatives à des données sensibles dépendra du risque d'atteinte à la personnalité de la personne concernée et aux droits fondamentaux. Quoi qu'il en soit, la base légale formelle devrait au moins contenir :

  • entité responsable du traitement;

  • la finalité de la communication des données;

  • les catégories de données concernées, y compris les profilages;

  • les modes de communication des données;

  • le ou les destinataires

(Guide de législation en matière de protection des données, point 3.2.4.4)

Degré de précision recommandé pour légitimer le traitement de données sensibles

Une base légale prévoyant le traitement de données sensibles doit au moins déterminer le responsable de traitement et les catégories de données sensibles, le but (finalité), ainsi que l'accès à ces dernières et pour quelle raison.

Préalablement, le principe de la légalité inscrit à l’article 16 CPDT-JUNE, permet les traitements de données « si une base légale le prévoit, si le traitement sert à l'accomplissement d'une tâche légale ou si la personne concernée y a consenti. ». Selon le rapport explicatif accompagnant la CPDT-JUNE, il est précisé que ce principe est le même qu’en droit fédéral ou qu’à l’ancien droit neuchâtelois. Selon le message qui accompagnait l’ancienne loi cantonale de protection des données (aLCPD) :

« Ce principe général n'est pas seulement spécifique à la protection des données, puisqu'il régit l'ensemble des activités administratives effectuées par une autorité, qu'elle soit fédérale, cantonale, ou communale. Dans le contexte qui nous occupe, le respect de ce principe implique qu'une autorité n'est habilitée à traiter des données personnelles que si une base légale l'y autorise. Celle-ci peut être une disposition contenue, par exemple, dans une loi fédérale ou cantonale, une ordonnance ou un règlement d'exécution, ladite disposition autorisant expressément le traitement de données. Le principe de la légalité est également respecté s'il existe une relation claire entre un traitement de données et l'accomplissement d'une tâche légale pour laquelle il est effectué, sans que le traitement de données ait été prévu expressément. Conformément au principe de proportionnalité, le niveau de la base légale et son degré de précision dépendront de différents facteurs, notamment des catégories de données traitées, du domaine d'activité du maître du fichier, des catégories de personnes concernées, des risques d'atteinte aux droits de la personnalité, du fait que des données sont ou non communiquées à des tiers, de la taille du fichier et du nombre plus ou moins grand de personnes membres d'une ou plusieurs autorités ayant accès aux données. » (BOGC  mai 2008 – mars 2009, p. 955)

Bien que ni l’aLCPD, ni la CPDT-JUNE ne mentionnent expressément d’exigences particulières pour les bases légales relatives à des traitements de données sensibles, il n’empêche que par le biais du respect du principe de la proportionnalité, comme mentionné dans le rapport neuchâtelois, on arrive à la même exigence figurant expressément dans l’article 34 LPD.

Or, pour l’élaboration des lois fédérales, il existe un « Guide de législation en matière de protection des données » qui mentionne (au point 3.2.4.4):

Comme pour le traitement de données, la densité normative des dispositions dépendra du risque d'atteinte à la personnalité de la personne concernée et aux droits fondamentaux. Il ressort de ce qui précède que la loi doit régler les points suivants :

  • la ou les autorités responsables de la communication des données;

  • la finalité de la communication des données;

  • les catégories de données concernées, y compris les profilages;

  • les modes de communication des données;

  • le ou les destinataires

Ce guide se fonde sur quelques arrêts topics en matière de densité normative, notamment les arrêts du TF:

Un éventuel débat sur la question de savoir si le droit cantonal se veut réellement aussi exigeant que le droit fédéral n’a plus lieu d’être. Le nouveau droit européen (art. 10 Directive et 7bis Convention 108+), qui s'imposent directement aux cantons,  exige une formulation au moins aussi exigeante que l’article 34 LPD.

De surcroît, l’ancien droit jurassien, autant à l’origine de la CPDT-JUNE que le droit neuchâtelois, formulait le principe de la légalité de la même manière que le droit fédéral (art. 5 aLoi jurassienne sur la protection des données à caractère personnel).

Le Tribunal cantonal jurassien a eu l’occasion de préciser la formulation imposée dans le principe de la légalité :

 « Le traitement de ces données, singulièrement leur communication, nécessite l'existence d'une base légale formelle (cf. art. 5 al. 2 et 13 litt. a LPD). […] La désignation du destinataire de l'information dans la loi est une exigence essentielle du droit de la protection des données […]. Cette exigence s'impose également en vertu du principe de la légalité, selon lequel la base légale doit être suffisamment précise, c'est-à-dire claire et détaillée, afin que ses effets soient prévisibles […]. Pour pouvoir communiquer des données à caractère personnel, une compétence générale ne suffit pas […] » (Arrêt du Tribunal cantonal jurassien du 25.10.2012, ADM 65_2012, consid. 3.3 ss).

Pour mémoire, le rapport aLCPD mentionnait :

«Par ces dispositions, nous visons à trouver un équilibre entre les impératifs de la saine gestion administrative et la protection de la personnalité des personnes concernées. L'interconnexion de l'ensemble des fichiers gérés par les autorités ou la création d'un seul fichier contenant toutes les données traitées par l'administration pourraient être d'excellentes solutions en termes d'efficacité et d'optimalisation des ressources. En revanche, ce serait la fin de la protection de la personnalité. A l'inverse, un cloisonnement absolu des fichiers serait beaucoup trop contraignant pour les autorités et ne serait pas non plus favorable aux intérêts des administrés. Ces personnes pourraient se lasser rapidement d'être sollicitées par les autorités les plus diverses pour communiquer sans cesse les mêmes données. » (BOGC  mai 2008 – mars 2009, p. 960)

Se souvenir également qu'un arrêt du Tribunal fédéral (TF, 7 octobre 2019, 6B_908/2018) a exigé qu’une disposition de la loi sur la police turgovienne relative à un traitement de données sensibles soit plus précise. Puis, suite à un nouvel arrêt à propos d’un projet de loi sur la police soleuroise relatif au même sujet (TF, 29 novembre 2022, 1C_39/2021), le niveau d’exigence du degré de précision a une nouvelle fois augmenté. Cette évolution jurisprudencielle a provoqué la nécessité de modifier les règles cantonales de la police à deux reprises.

Toujours selon le Tribunal fédéral, les restrictions graves d’un droit fondamental supposent une base claire et explicite [...] (art. 36 al. 1 2e phr. Cst.). Les dispositions doivent être formulées d’une manière suffisamment précise pour permettre aux individus d’adapter leur comportement et de prévoir les conséquences d’un comportement déterminé avec un degré de certitude approprié aux circonstances. Le degré de précision exigible ne peut pas être défini abstraitement. Il dépend notamment de la diversité des états de faits à régler, de la complexité et de la prévisibilité de la décision à prendre dans le cas d’espèce, des destinataires de la règle, de l’intensité de l’atteinte portée aux droits fondamentaux, et finalement de l’appréciation de la situation qui n’est possible que lors de l’examen du cas individuel et concret (Arrêt de la Cour de justice genevoise, ATA/422/2024, 26 mars 2024, consid. 5.2.2; arrêt de la Cour de justice genevoise, ATA/424/2024, 26 mars 2024; ATF 139 I 280, 11 juillet 2013, consid. 5.1 et les arrêts cités; JdT 2014 I 118).

Selon la CEDH (art. 8 § 2), "prévue par la loi" implique notamment que la législation interne doit user de termes assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à recourir à des mesures affectant leurs droits protégés par la Convention (Arrêt de la Cour de justice genevoise, ATA/422/2024, 26 mars 2024, consid. 5.2.2; ACEDH Fernández Martínez c. Espagne du 12 juin 2014, req. no 56030/07, § 117)

Au surplus, il est à noté que l'art. 6 de la loi cantonale tessinoise sur la protection des données personnelles prévoit que les traitements de données sensibles doivent figurer dans une base légale formelle qui doit notamment comprendre l'objet et la finalité du traitement, l'organe responsable, les organes participants et les utilisateurs, les destinataires des données, les modalités, le cercle des personnes concernées, la durée de conservation des données et les mesures de sécurité.

En conclusion, les traitements de données sensibles nécessitent une base légale formelle relativement détaillée. Cette dernière peut être de deux ordres : soit des dispositions prévoient expressément le traitement de données sensibles prévu avec les détails susmentionnés ; soit des dispositions décrivent les tâches légales du destinataire des données sensibles avec lesdits détails.  Voir par exemple quelques lois fédérales respectant les obligations actuelles, soit les articles 9 à 11 LSIS, 44b LTr, 98b LAsi, 99a et 99b LAsi, 48 al. 4 LPP et 85a LPP. Bien que la formulation des articles 84 et 84a LAMal ait été acceptée par le Tribunal administratif fédéral (TAF, 7 décembre 2007, A-7375/2006), les exigences paraissent avoir sensiblement évoluées depuis et il serait dès lors préférable de prendre comme modèle les autres lois fédérales précitées.

Tant en droit jurassien que neuchâtelois, il n'est pas rare de trouver des bases légales formelles concernant des données sensibles qui ne semblent pas répondre aux exigences exposées ci-dessus, tel que, par exemple, l'article 28 al. 2 de la loi cantonale sur l'action sociale (LASoc; RSN 831.0).

A relever qu'une délégation en faveur d'une base légale matérielle est également possible pour une grave atteinte aux droits fondamentaux, pour autant que  la délégation ne soit pas exclue par la Constitution, soit formellement prévue par la loi, se limiter à un domaine déterminé et contenir les grandes lignes de l'atteinte aux droits fondamentaux eux-mêmes (Gregori Werder, Der "gläserne Gutachter" ?, in : Jusletter 7 novembre 2022; Eva Maria Belser/Bernhard Waldmann, Grundrechte I, 2e édition, Zurich 2021, n° 31).

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.