Internet et traitements de données

Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

Les publications de la Feuille officielle (NE) ou du Journal officiel (JU), ou toute autre forme de publication, ne peuvent pas être publiées sur internet en libre accès sans anonymisation, les conditions posées par la CPDT-JUNE n’étant pas remplies (dossier 2022.4269).

Selon la loi cantonale sur la géoinformation, et plus particulièrement son ordonnance, le nom des propriétaires est accessible par l’intermédiaire du Géoportail JU ou du Guichet cartographique NE, conformément au droit fédéral (dossier 2022.4174).

L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), (dossier 2021.3970).

L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités (dossier 2021.3970).

L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.3970).

L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe (dossier 2021.3970).

L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.4034).

L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement (dossier 2021.3918).

Une plateforme en ligne pour le parascolaire nécessite une base légale adoptée par l’organe législatif; les collaborateurs et les conseillers communaux n’ont accès qu’aux données qui leur sont nécessaires. L’application ou les instructions doivent être adaptées en conséquence (dossier 2020.3559).

Il n’est pas conseillé aux entités de s’engager à respecter le RGPD. Les obligations imposées par ce dernier sont plus exigeantes et onéreuses que celles prévues dans la CPDT-JUNE (dossier 2021.4061).

Une école ne peut pas communiquer des horaires nominatifs d'élèves aux formateurs par l’intermédiaire d’internet. Une telle communication revient, faute de protection technique adéquate, à une diffusion de données personnelles sur internet. Certes, les art. 38 et 57a Règlement d’application de la loi sur la formation professionnelle prévoient effectivement la communication aux formateurs, mais ils doivent être appliqués à la lumière des articles 16 et 20 CPDT-JUNE. Ces derniers imposent que les entités ne peuvent communiquer que si une base légale le prévoit et doivent s'assurer que les données sont protégées contre un emploi abusif, en prenant des mesures organisationnelles et techniques appropriées. En l’occurrence, aucune loi ne permet de communiquer des horaires nominatifs sur internet (dossier 2021.3820).

Un centre de loisir communal situé dans une zone frontière et fréquenté par des frontaliers n’est pas soumis au RGPD si son site internet ne cible pas expressément cette clientèle. Pour plus de détails, voir l’avis 2018.2320 (dossier 2020.3468).

La publication sur internet du nom des propriétaires des sites en friche nécessite une base légale ou le consentement des personnes concernées (dossier 2019.2759).

Pour publier sur internet la photo ou/et le nom des employés, il est nécessaire d'obtenir préalablement leur consentement et que la publication soit nécessaire à l'accomplissement des tâches de l'entité (dossier 2019.2762).

Sous l’angle des règles de la géoinformation (art. 16 LGéo fédérale) et de celles de l'énergie (lois cantonales JU sur l’énergie (RSJU 730.1) et NE (LCEn, RSN 740.1); l’article 59 de la LEne (RS 730.0), seules les géodonnées figurant dans le catalogue fédérale des données de base, ou dans un catalogue cantonal lorsqu’elles lient les propriétaires et figurant dans le cadastre, peuvent figurer sur le site de géoinformation (SITN NE) et SITJ JU) (dossier 2018.2410).

Une entité peut en principe offrir des newsletters, mais elle doit intervenir sur inscription préalable. La promotion de l'existence de la newsletter ne peut utiliser un carnet d'adresses existant que si l'entité à une tâche légale de promotion/sensibilisation/information (dossier 2018.2165).

La publication de photos des collaborateurs d'une entité n'est conforme à la CPDT-JUNE qu'en présence d'une base légale ou d'un consentement libre et éclairé (dossier 2017.1789).

La publication de photos "passeport" des collaborateurs sur internet ou par l'intermédiaire d'une messagerie n'est en principe pas conforme aux règles de la protection des données. Il faut au moins le consentement libre et exprès de la personne concernée (dossier 2016.1320).

Les écoles ne sont pas en droit du publier sur internet/intranet/mur de l'école/… la liste des élèves ayant leur anniversaire, sans avoir préalablement obtenu leur consentement (dossier 2015.1268).

S'il n'est pas possible de suffisamment anonymiser une décision administrative avant de la publier (sa lecture permet d'identifier les personnes concernées), il faut informer ces dernières qu’il est envisagé de publier des données les concernant. S’ils s’opposent, il s’agira de faire une pesée entre l’intérêt public d’informer la population dans un tel cas d’espèce et l’intérêt privé à préserver leur personnalité (dossier 2015.1276).

Il n'est pas conforme au principe de la proportionnalité de publier sur internet le taux d'activité des collaborateurs d'une entité (dossier 2013.0456).

En principe, il serait bien d'obtenir le consentement exprès d'une personne lorsqu'il est prévu de publier sur internet, ou dans d'autres médias, des résultats ou la remise d'un prix. Cette solution devrait être favorisée par rapport à celle de la présomption du consentement tacite (dossier 2012.0359).

Un service des sports soumis à la CPDT-JUNE n'est pas en droit de publier sur internet des photos de personnes suivant les cours sans leur consentement (dossier 2014.0817).

La publication sur internet du Journal officiel jurassien des années 2002 à 2010, contenant notamment les condamnations pénales, n'est pas conforme à la CPDT-JUNE (dossier 2013.0496).

La communication de données personnelles par l'intermédiaire d'internet ne respecte généralement pas le principe de la proportionnalité puisque la durée d'accès est difficilement maîtrisable (dossier 2014.0683).

Il est rappelé aux autorités que les communiqués de presse doivent en principe éviter de mentionner des noms (dossier 2014.0705).

Il est fortement conseillé d'obtenir le consentement exprès des personnes concernées pour la publication sur internet d'un annuaire des membres du diocèse (dossier 2014.0704).

Lorsqu’une entité ne répond pas à une demande fondée sur la CPDT-JUNE rapidement, comme les art. 39 et 76 CPDT-JUNE le prévoient, la partie demanderesse peut demander au PPDT la tenue d’une séance de conciliation (art. 40 CPDT-JUNE) (voir modèles) (dossier 2023.4954).

La publication d’un rapport sur internet doit être complètement anonymisé, faute de base légale adéquate. En revanche, la version non publiée par ce biais peut appliquer les principes suivants :
a) Les personnes exerçant un mandat public, comme les membres du Conseil d’Etat, sont citées nommément.
b) Les chefs de service et autres hauts fonctionnaires, dont la fonction est facilement associable à leur nom, sont aussi cités nommément.
c) Les personnes externes à l’administration dont la presse a fait état ou qui ont été ou sont impliquées dans des procédures en cours sont mentionnés sous un pseudonyme.
d) Les collaborateurs de l’Etat assumant des fonctions subalternes et dont les intérêts sont directement touchés par l’enquête sont mentionnés sous un pseudonyme.
e) Les établissements publics, où certains faits notables se sont déroulés, sont mentionnés sous un pseudonyme (dossier 2022.4223).

Les mises à l’enquête publiques des permis de construire peuvent être publiées sur le site cartographique, pour autant que les « robots du net » ne puissent pas y accéder et que les formats pdf utilisés protègent suffisamment l’intégrité du document (dossier 2021.3661).

Le fait que les opinions politiques soient des données sensibles n'empêche pas que les collectivités adoptent une base légale formelle sur la transparence des partis politiques.  La protection de la personnalité empêche que la publication se fasse sur internet et exige le respect de quelques modalités (pas de fichier informatisé sans base légale, informations préalables des donateurs, …) (dossier 2014.0862).