Proportionnalité

Seules les données aptes et nécessaires à atteindre les finalités du traitement peuvent être traitées. Par ailleurs, il doit y avoir un rapport raisonnable entre les finalités et le moyen utilisé, les droits de la personne concernée devant être préservés dans la plus large mesure possible (principe de proportionnalité au sens étroit). Les principes d’évitement et de minimisation des données en constituent deux expressions. Le premier implique que si le but du traitement peut être atteint sans collecte de données nouvelles, cette option doit être privilégiée. Le second veut que seules les données absolument nécessaires au but poursuivi soient traitées. Ces deux principes doivent être respectés dès la conception de nouveaux systèmes, et se mêlent ainsi partiellement aux principes de protection des données dès la conception et de protection des données par défaut (FF 2017 6565 (6644)).

Par conséquent, il est conseillé de se poser les questions suivantes :

• Peut-on atteindre le même but en utilisant des données agrégées ou entièrement anonymisées qui n'identifient pas les individus ?

• Lorsque les données personnelles ne sont pas agrégées ou totalement anonymisées, est-il possible d'atteindre le même but avec moins de données ou moins de catégories de données ?

• Le traitement de données envisagé constitue-t-il une réponse proportionnée au but que nous essayons d'atteindre ? Si ce n'est pas le cas, que devons-nous changer et faire pour qu'il soit proportionné ?

1. Lorsqu'il est demandé des adresses pour une démarche scientifique, le principe de la proportionnalité s'applique. Le minimum de données personnelles doivent être traitées. Par exemple, il arrive qu'un service propose de recevoir l'information à transmettre et le fasse lui-même. Ainsi, aucune donnée personnelle n'est livrée. Pour éviter des questions, il n'est pas inutile de préciser dans les courriers par qui a été envoyé le courrier et pourquoi (dossier 2025.5672).

2. Même pour la lutte contre la fraude, les traitements de données doivent reposer sur une base légale ou une tâche légale. Lorsqu’il s’agit de données sensibles, il faut une base légale adoptée par le législatif (art. 16 et 25 CPDT-JUNE). De plus, il ne faut pas qu’une base légale l’en empêche (art. 26 CPDT-JUNE). Par exemple, une communication d'une caisse de chômage à un service social n'est possible qu'aux conditions de l’art. 97a LACI. De même pour les communications d'un office AI à un service de la population, dans ce cas, aux  conditions sont posées par l'art. 66a LAI. Quant aux communications spontanées entre les caisses de chômage et les offices AI, elles ne peuvent se faire qu'aux conditions de l’art. 32 al. 2bis LPGA.
   En d'autres termes, chaque récolte et communication doit être examinée au cas par cas, afin de s’assurer que l’échange a lieu conformément aux bases légales. De plus, quand bien même la loi permettrait la communication, il faut que le principe de la proportionnalité soit respecté. Seules les données personnelles nécessaires peuvent être traitées (dossier 2024.5569).

3. Si un bailleur, prouvant sa qualité, fournit une adresse, voire la désignation précise de l’appartement, il est possible de transmettre les autres données prévues à l’art. 25 al. 2 CPDT-JUNE (nom, prénom, date de naissance, état civil, profession, sexe, nationalité, provenance et destination).
   Afin de respecter le principe de proportionnalité, il est essentiel de cibler uniquement l’appartement concerné dans les grands immeubles. En effet, le bailleur ne possède peut-être qu’un seul appartement de l'immeuble. Il serait donc disproportionné voire illicite de lui communiquer la liste complète de toutes les familles résidant dans l’immeuble (dossier 2024.5541).

4. Une communication sur intranet doit, comme toute communication, respecter le principe de la proportionnalité (art. 17 CPDT-JUNE), c’est-à-dire atteindre le moins possible la personnalité des personnes concernées. D’autant plus lorsqu’il s’agit de données qui peuvent être sensibles. Cela comprend l'obligation de déterminer si cette publication est réellement nécessaire et si d’autres alternatives peuvent être trouvées, comme par exemple simplement indiquer qu’il faut s’adresser à un service pour obtenir les informations à communiquer (dossier 2024.5300).

5. La soumission à des secrets n’influence pas les conditions d’application des règles de protection des données.
   Pour qu’une entité soumise à la CPDT-JUNE puisse communiquer des données personnelles à une autre entité soumise à la CPDT-JUNE, les conditions des art. 25 et 26 CPDT-JUNE doivent être respectées. Les entités ne sont en droit de communiquer des données, d'office ou sur requête, que si une base légale l’autorise ou si la communication est nécessaire à l’accomplissement d’une tâche légale. En présence de données sensibles ou de profilages, l’autorisation ou la tâche doit reposer sur une loi au sens formel ; pour autant qu’aucune exception de l’art. 26 CPDT-JUNE ne soit réalisée.
   Même au sein d'une commune, la nécessité de transmettre des données non anonymisées doit être validée par le service qui les a récoltées et non pas par le service qui les reçoit. Si les données sont sensibles, le service responsable de traitement doit également pouvoir se prévaloir d'une base légale formelle (dossier 2024.5299).

6. Bien que la CPDT-JUNE soit commune aux deux cantons, des lois spéciales s'appliquent néanmoins pour certains systèmes d'information. Autrement dit, GERES (JU) et la BDP (NE) ne sont pas soumis aux mêmes conditions.
   Pour obtenir un accès à GERES, il faut préalablement obtenir une modification de l’O. concernant le contrôle des habitants, (RSJU 142.111) et la liste des données accessibles doit se limiter à celles nécessaires/indispensables pour accomplir le mandat et figurant dans la liste de la Loi concernant le contrôle des habitants, aux art. 25 et 27 (RSJU 142.11) à moins que les conditions de l’art. 28 de cette loi soient remplies.
   Lorsqu'il s'agit d'un accès à un certain nombre de dossiers, se pose la question, sous l’angle de la proportionnalité, du bien fondé d’un accès à l’ensemble de GERES. Il appartient donc au responsable de traitement de GERES de juger si les données demandées remplissent les conditions et en particulier le principe de la proportionnalité (dossier 2024.5284).

7. Des données relatives aux employés peuvent être communiquées, notamment si une base légale le prévoit. L'art. 96b LACI en constitue une en faveur des entités chargées d'appliquer la LACI. Le respect du principe de la proportionnalité impose que la communication soit limitée aux données nécessaires à l'accomplissement des tâches de ladite entité (dossier 2024.5124).

8. Un dossier d’employé doit régulièrement être épuré des documents qui ne sont plus nécessaires pour la « vie active » du dossier. Le cas échéant, ils doivent être proposés aux archives qui décideront du sort de ceux-ci. Concrètement cela signifie que la durée de conservation d’évaluations est a priori de cinq ans maximum à compter de celles-ci. Pour les pièces comptables relatives à des paiements, la durée de conservation sera de 10 ans à compter de la transaction. La conservation globale d’un dossier pendant 10 ans, après le départ de l’employé, est manifestement excessive. Certes, l’employeur est tenu de pouvoir établir un certificat de travail jusqu’à 10 ans après le départ de l’employé. Cependant, cette obligation ne nécessite pas la conservation de tout le dossier. D'autant plus que rien n'empêche l’employeur d'établir un certificat, quand bien même il n’est pas demandé (dossier 2022.4144).

9. Les données des resquilleurs dans les transports publics doivent être supprimées après 2 ans, sous réserve des données comptables pour ceux qui ne se sont pas acquitté de leur dû durant ce délai. Toutefois, ils ne doivent plus figurer dans un fichier de resquilleurs, mais de débiteurs (dossier 2022.4143).

10. Pour déterminer la durée de stockage des données, il est indispensable de se poser quelques questions pour tenter de cerner la durée : le document, le dossier ou l’applicatif contient-il des données personnelles ? Quel est le traitement concerné ? Quel est l’objectif (finalité) de ce traitement ? Quels sont les éléments qui peuvent être utiles à la détermination de la durée (par ex : présence de données sensibles, environnement juridique ou réglementaire applicable, etc.) ? Un texte (législatif ou réglementaire) impose-t-il une durée pour ce traitement ?

    • Si oui : quel est le périmètre de cette obligation ? Quelles sont les données personnelles concernées par cette obligation ? Pendant combien de temps doivent-elles être conservées en base active ? Est-ce une durée minimale ou maximale ? S’agit-il d’une obligation d’effacement ou de conservation ?

    • Si non : jusqu’à quand les données sont-elles nécessaires pour atteindre l’objectif (finalité) fixé ? Existe-t-il des recommandations sectorielles pour ce traitement ? (dossier 2021.4015).

11. La CCNC doit pouvoir fonder sa récolte de données sur une base légale pour qu’elle soit conforme à la protection des données et respecter le principe de la proportionnalité. L’examen du dessaisissement de fortune dans le cadre des prestations complémentaires est régi par les articles 11 let. g LPC et 17a OPC-AVS/AI. Ces dispositions ne précisent pas jusqu’à quand la CCNC peut remonter dans le temps (principe de la proportionnalité). Mais un arrêt du tribunal fédéral, ATF 120 V 186, consid. 4f, a précisé qu’il n’y avait pas de limite de temps, comme le confirme la doctrine (Pierre Ferrari,  Dessaisissement volontaire et prestations complémentaires à l'AVS/AI,  SAS 2002 p. 417 (420)) (dossier 2018.2341).

12. L'envoi sous forme de carte postale de données personnelles par la Poste est conforme aux exigences de la CPDT-JUNE, et plus particulièrement du principe de la proportionnalité (dossier 2017.1913).

13. La personnalité des recourants contre un acte adopté par une autorité législative est protégée par la CPDT-JUNE et les articles 28 ss Code civil. Conformément au principe de la proportionnalité (art. 17 CPDT-JUNE), la communication du nom des recourants à l’ensemble des membres de l'autorité législative n’est a priori pas indispensable. En revanche, les membres intéressés pourraient en obtenir la liste si cela est nécessaire pour l’accomplissement de leurs tâches. Les personnes en possession de la liste des recourants ne sont en aucun cas en droit de communiquer des noms à des tiers, même si le sujet est traité au sein de l'autorité législative (dossier 2017.1966).

14. Une caisse de chômage peut se prévaloir de l’article 32 LPGA pour demander des renseignements à une école sur un apprenti. Cette règle fédérale constitue la base légale suffisante exigée par l’article 25 CPDT-JUNE pour légitimer un tel traitement de données. De plus, celle-ci n’offre pas simplement la possibilité de répondre, mais oblige les autorités cantonales à communiquer les données. Toutefois, l'entité sollicitée doit néanmoins juger, avant de répondre, si le principe de la proportionnalité est respecté. C’est-à-dire s'assurer que les données demandées sont à priori propres à effectuer les tâches légales du destinataire (dossier 2017.1812).

15. Il n'est pas conforme au principe de la proportionnalité de publier sur internet le taux d'activité des collaborateurs d'une entité (dossier 2013.0456).

16. Les directions d'école et les services de l'enseignement ne sont pas en droit de recevoir la liste des enseignants ayant suivi une formation obligatoire à la HEP-BEJUNE. Conformément au principe de la proportionnalité, il appartient aux enseignants d'apporter les justificatifs (dossier 2015.1115).

17. Les communes ne sont pas en droit, au vu des tâches qui leur sont dévolues par la Constitution cantonale et du respect du principe de la proportionnalité, d’exiger que l’ensemble des collaborateurs n’aient aucune poursuite, quelle que soit la nature de la dette, sans qu'ils ne soient en contact plus ou moins direct avec la gestion de l'argent (dossier 2015.1069).

18. Le service des migrations ne peut pas recevoir tous les jugements concernant des étrangers. Le respect du principe de la proportionnalité impose que ces derniers lui soient nécessaires (dossier 2014.0799).

19. La communication de données personnelles par l'intermédiaire d'internet ne respecte généralement pas le principe de la proportionnalité puisque la durée d'accès est difficilement maîtrisable (dossier 2014.0683).

1. Sous réserve du principe de la proportionnalité et des dispositions mentionnées dans l'avis 2015.0994 et 2013.0501, les députés ont un accès aux données de l'administration plus étendu que les citoyens invoquant les règles de la transparence (avis du PPDT 2015.0994 et 2013.0501 publié le 16 février 2015).