Préposé à la protection des données et transparence Jura-Neuchâtel

Sous-traitance de traitements de données

Protection des données & transparence

 

 

Protection des données

                        

A. Définition

Les entités ne sont pas seulement responsables lorsqu’elles traitent elles-mêmes des données. Elles restent aussi responsables (art. 54 CPDT-JUNE), lorsqu’elles confient le traitement des données à des tiers (sous-traitance du traitement de données). Savoir si la sous-traitance du traitement de données est licite, se détermine en fonction des bases légales applicables (CPDT-JUNE et législation spéciale), en fonction d’une analyse des risques et des mesures de protection à prendre, mais il ne doit en aucun cas entraîner un affaiblissement de la protection des données.

Autrement dit, il y a une sous-traitance lorsqu'une entité fait appel à la collaboration de personnes ou d’entreprises privées pour traiter leurs données. Cette collaboration peut porter sur la partie technique du traitement; elle peut aussi concerner tout ou partie du traitement matériel des données personnelles, comme par ex. la collecte de celles-ci. Le contenu du mandat est dès lors modulable et doit être adapté au cas d’espèce.

L’entité qui conclut un mandat avec un sous-traitant garde la compétence de décision concernant les données. Sur elle repose non seulement la légitimité du traitement, mais elle est aussi responsable de la compatibilité du traitement avec les principes généraux de la protection des données. Elle doit choisir avec soin le sous-traitant auquel elle veut confier les données et veiller à ce que celui-ci respecte les impératifs de la protection des données, plus encore s’il s’agit de données sensibles.

Le sous-traitant privé est en principe soumis à la Loi fédérale sur la protection des données du 19 juin 1992 (LPD) et ainsi à la surveillance du Préposé fédéral. Pour que l'entité, soumise à la CPDT-JUNE, puisse assumer sa responsabilité en la matière, l'art. 54 CPDT-JUNE dispose que l’octroi du mandat à un privé fait en principe l’objet d'une base légale ou d’un contrat dans lequel sont fixées les règles de protection de données à respecter (voir ce modèle) (explications reprises de l'aide-mémoire fribourgeois concernant le traitement sur mandat (outsourcing) lorsque l’organe public fait traiter des données personnelles par un tiers privé; et celui de privatim, Aide-mémoire sur les risques et les mesures spécifiques à la technologie du Cloud, 02.2022)

B. Conditions communes à toutes sous-traitances

Sitôt qu'une entité soumise à la CPDT-JUNE sous-traite un traitement de données personnelles, éphémère ou non, les conditions de l'article 54 CPDT-JUNE doivent être respectées.

Ce dernier permet de confier des traitements de données à des tiers, mais uniquement si les conditions légales suivantes sont respectées :

(En cas de doute, il est possible de contacter le PPDT à l'aide du formulaire relatif à un projet de sous-traitance d'un traitement de données)

  1. Une base légale le prévoit ou une convention est passée avec le sous-traitant (voir modèle);

  2. L'entité ne peut confier que des traitements qu’il est lui-même en droit d’effectuer;

  3. Aucune obligation légale ou contractuelle de garder le secret ne l’interdit;

    • Principaux secrets spéciaux: le secret de fonction (art. 320 CP, RS 311.0, 20 LSt, RSN 152.510; 25 LPer, RSJU 173.11); secret professionnel (art. 321 CP); le secret en matière de recherche médicale (art. 321 bis CP);  le secret postal et de la télécommunication (art. 321 ter CP); l’exploitation de la connaissance de faits confidentiels (art. 161 CP); le secret de fabrication ou secret commercial (art. 162 CP);  la publication de documents officiels secrets (art. 293 CP); le secret militaire (art. 329 CP); le secret bancaire (art. 47 LB, RS 952.0); le secret des affaires (art. 321a, al. 4, 340, al. 2,697, 697e, 730b, al. 2, 803, al. 1, 857, al. 2 CO, RS 220; art. 51, al. 2 LDA, RS 231.1; 4 lit. c, 6 et 23 LCD, RS 241; 162 CP, RS 311.0); le secret sur les bourses et le commerce des valeurs mobilières (art. 47 LBVM, RS 954.1); le devoir de discrétion en matière de protection des données (49a et 50a LAVS; RS 832.10; le secret des données traitées dans le cadre de l’application de la loi sur le travail (art. 44 LTr, RS 822.11); le secret relatif aux contrôles en matière de lutte contre le travail au noir (art. 5 LTN, RS 822.41 ); le secret en matière de service public de l’emploi (art. 34 LSE, RS 823.11); le secret des données personnelles en matière d’assurances sociales (art. 33 LPGA, RS 830.1; 63 et 87 LAVS, RS 831.10; 70 LAI, RS 831.20; 76 LPP, RS 831.40 ); 92 LAMal, RS 832.10; 97 LAA, RS 832.20; 105 LACI, RS 835.0); le secret fiscal (art. 110 LIFD, RS 642.11; 39 LHID, RS 642.14; le secret des dossiers de police (art. 89ss LPol, RSNE 561.1); le secret statistique (art. 14, al. 2 LSF, RS 431.01);

    • lorsque les données personnelles sont soumises au secret de fonction, comme la plupart de celles détenues par les collectivités publiques, le responsable du traitement se doit de soumettre contractuellement le sous-traitant au secret de fonction. Cette démarche n'est possible que lorsque le traitement des données personnelles est concrètement effectué sur le territoire suisse. Il n'est pas possible de soumettre au secret de fonction des résidents d'autres pays (voir Sylvain Métille, L'utilisation de l'informatique en nuage par l'administration publique, PJA 2019, Dike Verlag AG, p. 609-621 (614)).

    • S'il s'agit de données soumises au secret professionnel, la sous-traitance peut se faire aux conditions relevées par le Tribunal fédéral et énumérées dans l'avis 2019.2938.

    • S'il s'agit de données fiscales, il faut impérativement une loi formelle levant le secret fiscal en faveur du sous-traitant.

    • S'il s'agit de données sensibles, il est possible de faire appel à un sous-traitant pour le traitement des données, pour autant que cette pratique ne soit pas légalement interdite, n'entraîne pas d'affaiblissement de la protection des données et que le mandant bénéficie des bases légales formelles pour traiter les données.

  4. La sécurité des données est assurée, y compris par le sous-traitant;

  5. Les données sont traitées uniquement en Suisse, excepté si le traitement n’y est possible qu'à un coût disproportionné ou s’il ne peut être effectué qu’à l’étranger.

  6. Il est clairement convenu que le sous-traitant ne peut à son tour confier un traitement à un tiers qu'avec l'autorisation préalable de l'entité;

  7. Le tiers doit s'engager à accepter les mêmes contrôles que le mandant, notamment ceux du PPDT.

A relever que le mandant demeure responsable de la protection des données ; il a fortement intérêt à veiller notamment à ce que ne soient pas effectués des traitements autres que ceux qu’il a confiés.

Pour ce faire les entités sont encouragées à soumettre le sous-traitant aux règles de la CPDT-JUNE. S'il refuse, l'entité s'expose à engager sa responsabilité et peinera à assumer les obligations auxquelles elle est soumise.

Avant tout projet de sous-traitance/Cloud externe, l'entité doit être en mesure de répondre à toutes les questions du formulaire :
"Projet de sous-traitance/Cloud externe"

D. Sous-traitance dans un Cloud

Exigences supplémentaires

Les traitements des données se fondent toujours plus souvent sur l’utilisation de la technologie du Cloud et des offres semblables qui comportent des risques élevés supplémentaires pour la protection des données. Ceux-ci s’ajoutent ou s’accentuent par rapport aux risques causés par la sous-traitance traditionnelle du traitement des données à des tiers.

L’entité responsable doit exclure ou réduire ces risques à un niveau acceptable par des mesures adéquates ; si cela n’est pas possible, il convient alors de renoncer au service du Cloud.

Trois exigences supplémentaires propres au Cloud doivent être respectées :

  1. Assurer la confidentialité et la protection des secrets

    • Dans un Cloud, les données personnelles non sensibles traitées par le fournisseur du Cloud doivent être particulièrement protégées contre les accès non autorisés de tiers. Elles doivent être chiffrées, du moins lors de leur transmission (« data in transit »), selon l’état actuel de la technologie.

    • La confidentialité doit être préservée par des mesures appropriées lorsque le fournisseur du Cloud traite les données. Tant que cela est réalisé par le chiffrement, il convient de noter que les données sauvegardées par chiffrement (« data at rest ») ne restent pas chiffrées durant la suite de leur traitement (« data in process »).

    • En cas de données personnelles sensibles, des exigences plus élevées pour préserver la confidentialité des données doivent être appliquées :

    • Les données doivent être chiffrées et le chiffrement doit être réalisé par l'entité.  Les clés ne doivent être disponibles que par l’entité (ou un autre sous-traitant que celui des données personnelles). Elles doivent être protégées de la perte et de la soustraction, ainsi que de l’utilisation et de la prise de connaissance abusives.

    • Un chiffrement peut être envisagé chez le fournisseur de services du Cloud seulement si cela ne fait pas encourir des risques inacceptables aux droits fondamentaux des personnes concernées (ce que l’organe public doit indiquer de manière pertinente). Dans ce cas, il faut tenir compte du niveau auquel le chiffrement a lieu (application, banque de données ou disque dur). Le fournisseur de services du Cloud peut conserver les clés s’il s’engage par contrat à les utiliser uniquement avec le consentement exprès de l’entité. Il faut tenir un journal des accès. De plus, le fournisseur du service du Cloud doit protéger les clés de la perte et de la soustraction, ainsi que de l’utilisation et de la prise de connaissance abusives. Il doit aussi garantir que les données ne soient pas compromises lors du processus de chiffrement.

    • Les données personnelles qui sont soumises à une obligation légale de garder le secret ne peuvent être accessibles au fournisseur du Cloud (et, le cas échéant, à son sous-traitant) que dans la mesure où la disposition concernant la sauvegarde du secret en question permet de recourir à des auxiliaires. Cette disposition doit aussi déterminer quelles sont les personnes auxiliaires qui entrent en ligne de compte et quelles exigences doivent être remplies pour que la protection des secrets soit assurée. La violation des dispositions concernant la sauvegarde du secret sans motif justificatif reconnu doit être considérée comme une entrave juridique de la sous-traitance et pas seulement comme un risque.

  2. Assurer que les "données personnelles secondaires" concernant les utilisatrices et utilisateurs des services du Cloud ont la même protection que leurs "données personnelles primaires"

    • En règle générale, les fournisseurs (du Cloud) ne traitent pas seulement les données personnelles transmises par l’entité dans les services du Cloud (en particulier les données de contenu), mais aussi celles générées par eux-mêmes ou leurs services par l’intermédiaire des utilisatrices et utilisateurs (p. ex. des données secondaires, de télémétrie ou de journalisation). Ces données personnelles supplémentaires doivent être traitées avec la même diligence que celles que traite l’entité pour accomplir ses tâches. Elles doivent être soumises aux mêmes dispositions contractuelles et il faut garantir de la même manière la licéité de leur traitement et de leur protection.

    • Ces données personnelles supplémentaires doivent être enregistrées et exploitées exclusivement à des fins qui seraient aussi autorisées à l’entité; elles doivent être communiquées à l’organe de manière transparente. En général, il s’agit de buts qui n’ont pas un caractère personnel. Entrent en ligne de compte la planification et le rapport des capacités techniques, le maintien de la sécurité de l’information et des services, la maintenance technique de l’infrastructure ou la saisie des frais dépendant de l’utilisation, par exemple. Des traitements pour d’autres finalités sont licites uniquement si les données sont recueillies de manière anonyme, préalablement anonymisées ou efficacement pseudonymisées.

    • Selon le contexte, il convient de noter que les données personnelles supplémentaires peuvent devenir des données personnelles sensibles (p. ex. lorsque des données de connexion indiquent que la personne concernée séjourne dans un hôpital psychiatrique ou dans un établissement pénitentiaire).

  3. Assurer une indépendance envers le fournisseur de prestations

    • L'entité doit s'assurer de pouvoir disposer des données personnelles en tout temps et que la possibilité existe et que les coûts soient supportables d'une migration si une changement s'impose.

Si d'autres risques résiduels son identifiés, l'entité doit prendre les mesures nécessaires permettant de minimiser ces risques.

F. Sous-traitants respectueux de la nLPD ou/et du RGPD

Un sous-traitant doit en premier lieu se conformer aux exigences applicables au mandant, soit celles de la CPDT-JUNE. Ces dernières doivent en principe être imposées contractuellement, voire par la loi, au sous-traitant. L’art. 54 al. 2 CPDT-JUNE précise même que «  Le responsable du traitement demeure responsable de la protection des données; il veille notamment à ce que le sous-traitant respecte la présente convention et qu'il n'effectue pas d'autre traitement que celui confié. Le responsable du traitement doit en particulier s'assurer que le sous-traitant est en mesure de garantir la sécurité des données. ».

Le fait qu’un sous-traitant se dit respecter la nLPD ou RGPD permet juste de laisser penser que le standard de sécurité et confidentialité devrait en principe être respecté.

Autrement dit, parmi les 24 obligations, cet engagement ne permet que de supposer que les no 11, 13 devraient être respectées. Toutes les autres restent du ressort exclusif du responsable de traitement.

Par ailleurs, il ne faut pas oublier que l’art. 54 al. 2bis CPDT-JUNE impose que « Le sous-traitant ne peut à son tour confier un traitement à un tiers qu'avec l'autorisation préalable du responsable du traitement. ».

 

 

Prises de position sommaires du PPDT

2023 - 2022 - 2021 - 2020 - 2019 - 2018 - 2017 - 2015 -2014 - 2013

  1. La facturation de RHNE constitue un traitement de données personnelles sensibles et nécessite donc une base légale formelle, avec une densité normative adéquate, pour pouvoir être déléguée à une autre entité cantonale. La loi doit au moins contenir les exigences de l’art. 24 CPDT-JUNE sur le devoir d’information. L’externalisation de la facturation exige en plus une levée du secret médical, notamment en obtenant le consentement exprès et éclairé du patient (pour plus de détail sur la levée du secret médical, voir avis 2013.0460).
    A relever enfin que, en principe, la simple qualité de patient d’un médecin constitue une donnée personnelle sensible soumise au secret médical (dossier 2023.4945).

  2. Selon la dernière détermination du Conseil fédéral dans le cadre de la révision de la LPD, les OPF sont soumis à la surveillance des préposés cantonaux et aux règles cantonales de protection des données, sous réserve du respect de la hiérarchie des normes fédérales : « Les registres publics de droit privé qui relèvent de la compétence des cantons sont régis par le droit cantonal de protection des données, y compris lorsque ces données sont traitées en exécution du droit fédéral. Le droit cantonal ne doit toutefois pas empêcher l’application uniforme et juste du droit privé fédéral et en particulier le principe de publicité des registres. L’abrogation de l’art. 2, al. 2, let. d, LPD n’a ainsi pas de conséquences pour les registres cantonaux suivants: le registre foncier, le registre des bateaux, les registres cantonaux du commerce, les registres concernant la poursuite pour dettes et faillites et le registre public sur les pactes de réserves de propriété. ».
    Les commandements de payés ne contiennent pas systématiquement des données sensibles au sens de la loi, mais peuvent en avoir. Notamment lorsque le créancier est un organisme d’aide sociale. Le cas échéant, on obtient l’information que le poursuivi est ou a été bénéficiaire d’une prestation sociale. Par conséquent, pour être légitimé à communiquer à un autre service ou à des tiers des données sensibles, il faut une base légale adoptée par le Parlement. Par conséquent, la sous-traitance de l’impression de ceux-ci doit répondre aux exigences de ce modèle. Sans compter, que de nos jours, les produits étant souvent sous forme de cloud, il faut encore respecter les exigences pour ce dernier (dossier 2022.4185).

  3. L’emploi du temps professionnel des membres de la fonction publique est transparent. Autrement dit, il est accessible à tout un chacun. En d’autres termes, les règles de protection des données ne s’appliquent pas dans un tel cas, à commencer par celle relative au lieu d’hébergement. Par conséquent, il n’y a pas de contre-indication à l’utilisation de Framadate, selon les conditions contractuelles du 13.05.2022, (dossier 2022.4283).

  4. Selon les conditions contractuelles du 30.05.2022, et dans la mesure où l’application Wiris Quizzes for Moodle ne récolte absolument aucune donnée personnelle, il n’y a pas de contre-indication à l’utilisation (dossier 2022.4302).

  5. Au regard de la politique de confidentialité du fournisseur et sans règles d’utilisation particulières, l’application Kailo-edu n’est pas utilisable dans le respect des règles de protection des données, selon les conditions contractuelles du 30.05.2022 (dossier 2022.4306).

  6. Selon les conditions contractuelles du 31.05.2022, l’application Algopyhton peut être utilisée conformément aux règles de protection des données, sous réserve que l’enseignant crée un compte pour lui et les élèves, en utilisant des pseudos non significatifs pour ces derniers et sans adresse e-mail (dossier 2022.4309).

  7. Selon les conditions contractuelles du 02.09.2022, la plateforme La Digitale  https://ladigitale.dev/ hébergée en Suisse peut être utilisée, pour autant que le service informatique concerné confirme que les standards usuels de sécurité sont respectés, selon les conditions contractuelles du 02.09.2022 (dossier 2022.4416).

  8. Les adresses courriels professionnelles des enseignants peuvent être utilisées comme identifiant pour une plateforme et cette dernière devra, en principe, être utilisée depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP) (dossier 2021.4060).

  9. Un « chat » peut être mis en place pour répondre aux questions des administrés, pour autant que la confidentialité et la sécurité des données soient garanties. Le prestataire devrait garantir le chiffrement des données et l’entité cantonale devrait être seule à détenir la clef de chiffrement. Faute de quoi, les données ne peuvent pas sortir de Suisse et le sous-traitant doit offrir toutes les autres garanties (dossier 2021.4007).

  10. L’application Padlet n’offre pour l’instant pas les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Pour parer à ces exigences juridiques, il faudrait que les utilisateurs puissent rester anonymes ou que la Suisse reconnaisse à nouveau les USA comme un pays offrant une protection équivalente. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 18.10.2021 (dossier 2021.3970).

  11. L’application Pix peut être utilisée, sous réserve d’indiquer clairement et préalablement aux utilisateurs : le lieu de situation du service, le nom du fournisseur de service, les données récoltées ainsi que les finalités, selon les conditions contractuelles du 19.10.2021 (dossier 2021.3970).

  12. L’application Kahoot n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Elle peut être utilisée pour autant que l’accès à un quiz ne se fasse pas avec la création d’un compte par les élèves. Ces derniers ne doivent pouvoir se connecter sur l’application qu’en entrant le code PIN du quizz créé par leur enseignant, en s’identifiant à l’aide d’un prénom fictif d’utilisateur. De plus, les résultats des exercices ne pourront pas être associés facilement à un élève. L’utilisation devra se faire depuis le réseau interne de l’école afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 20.10.2021 (dossier 2021.3970).

  13. L’application Quizlet n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Le principe de la proportionnalité impose que d’autres produits plus respectueux de la protection des données soient utilisés, vue que l'offre en la matière existe, selon les conditions contractuelles du 21.10.2021 (dossier 2021.3970).

  14. L’application Active Presenter n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une utilisation est possible si les étudiants/élèves restent anonymes, en ne livrant pas de données personnelles reconnaissables pour se connecter et si l’utilisation se fait exclusivement depuis le réseau interne de l’école, afin d’assurer un meilleur anonymat, notamment grâce à une adresse IP translatée (pas de traçabilité via l’adresse IP), selon les conditions contractuelles du 29.11.2021 (dossier 2021.4034).

  15. L’application BlinkLearning n’offre pour l’instant pas toutes les garanties suffisantes pour être utilisée par les établissements scolaires ou de formation. Une possibilité pour une utilisation conforme aux règles de protection des données serait le chiffrement des données selon les standards usuels, avec la conservation de la clef par l’entité responsable du traitement, selon les conditions contractuelles du 02.09.2021 (dossier 2021.3918).

  16. Il n’est pas conseillé aux entités de s’engager à respecter le RGPD. Les obligations imposées par ce dernier sont plus exigeantes et onéreuses que celles prévues dans la CPDT-JUNE (dossier 2021.4061).

  17. Un centre de loisir communal situé dans une zone frontière et fréquenté par des frontaliers n’est pas soumis au RGPD si son site internet ne cible pas expressément cette clientèle. Pour plus de détails, voir l’avis 2018.2320 (dossier 2020.3468).

  18. La sous-traitance n’est pas autorisée si un secret l’interdit, tel que celui de l’article 11 de la Loi sur l’aide aux victimes d’infractions (LAVI). Contrairement au secret professionnel, les auxiliaires ne sont pas prévus. Il est même spécifié que le secret s’applique à tous les particuliers et toutes les autorités. Seul le consentement de la personne concernée permet la levée du secret. Par conséquent, il n’est pas possible de sous-traiter les données non anonymisées (dossier 2019.3042).

  19. Les écoles peuvent utiliser Microsoft Office365, pour autant qu'elles utilisent le contrat spécial prévu à cet effet, disponible auprès d'Educa.ch et qu'elles se limitent aux applications figurant dans liste disponible auprès du PPDT (dossier 2018.2465).

  20. Une newsletter traitant des données, telles que nom, genre, date de naissance, langue, adresse email, numéro de téléphone, adresse de domicile, employeur, adresse du travail, titre, expertise, autres informations démographiques, historique d'achats et présence à un évènement, répond aux exigences des règles de protection des données, pour autant que les personnes concernées soient clairement informées que les données partiront aux USA auprès d’une société ayant adhéré au Swiss Privacy Shield. Une reproduction du Data Processing Agreement (Accord de traitement des données) serait le bienvenu (dossier 2017.2077).

  21. Les services compétents en matière d'agriculture sont en droit de sous-traiter à AGRIDEA le traitement informatique des données relatives aux solutions de paiements directs, de la caisse des épizooties et des crédits agricoles, pour autant qu'ils respectent les exigences posées par la CPDT-JUNE (dossier 2016.1335).

  22. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe Harbor (dossier 2015.1017).

  23. NOMAD est en droit de communiquer un fichier d'adresses de bénéficiaires en difficulté pour que son sous-traitant puisse les contacter afin d'évaluer s'il est possible de les aider (2015.0990).

  24. Les communes recourant aux services d'Easyvote se doivent de respecter l'article 54 CPDT-JUNE (dossier 2014.0833).

  25. Des services industriels sont en droit de communiquer des données relatives aux installations de chauffage lorsqu'elles ne peuvent pas être rattachées à un bâtiment. Sinon, ils doivent respecter les conditions de l'article 54 CPDT-JUNE.

  26. Une entité est en droit de sous-traiter le traitement des postulations des candidats sous réserve du respect de nombreuses conditions (dossier 2013.0415 / 2013.0437).

  27. Le Service des contributions neuchâtelois est en droit de sous-traiter le scannage des feuilles d'impôts auprès d'un mandataire. Pour ce faire il doit préalablement obtenir les garanties que les règles de la CPDT-JUNE seront scrupuleusement respectées (dossier 2013.0648).

  28. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).

Transparence


    

Prises de position sommaires du PPDT

2022

  1. Les contrats de prestation passés par l'Etat avec des tiers sont en principe accessibles, à moins qu'une des exceptions au sens de l’art. 72 CPDT-JUNE puisse être valablement invoquée (dossier 2022.4125).

  2. Les contrats de prestations passés par l’Etat sont des documents officiels dont le refus d’accès ne peut reposer que sur les exceptions figurant à l’art. 72 CPDT-JUNE. Deux catégories d’exceptions sont prévues dans la loi : les intérêts publics, expliqués ici, et les intérêts privés, expliqués ici. En l’occurrence, a priori, seules la révélation d’un secret de fabrication ou d’affaires et la mise en en danger de la sécurité publique paraissent mériter une attention particulière, pour certains d’entre eux (par ex : transport de détenus, sécurité des prisons, …). Si l’exception est réalisée, il faut néanmoins examiner si un caviardage permet d’éviter le refus pur et simple (dossier 2022.4220).

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.