Préposé à la protection des données et transparence Jura-Neuchâtel

Contenu d'une base légale pour le traitement de données sensibles (2017.1717)

Protection des données

Quel est le degré de précision recommandé pour légitimer le traitement de données sensibles ?

Avis du PPDT 2017.1717 publié le 1er septembre 2017, mis à jour le 15 décembre 2023

La question du degré de précision d'une base légale prévoyant le traitement de données sensibles est récurrente. Après un examen des travaux législatifs, de la doctrine et de la jurisprudence, il s'avère que la base légale doit au moins déterminer qui traite quelles catégories de données et dans quel but, ainsi que l'accès à ces dernières et pour quelle raison.

Préalablement, le principe de la légalité inscrit à l’article 16 CPDT-JUNE, permet les traitements de données « si une base légale le prévoit, si le traitement sert à l'accomplissement d'une tâche légale ou si la personne concernée y a consenti. ». Selon le rapport explicatif accompagnant la CPDT-JUNE, il est précisé que ce principe est le même qu’en droit fédéral ou qu’à l’ancien droit neuchâtelois et selon le message qui accompagnait l’ancienne loi cantonale de protection des données (aLCPD) :

« Ce principe général n'est pas seulement spécifique à la protection des données, puisqu'il régit l'ensemble des activités administratives effectuées par une autorité, qu'elle soit fédérale, cantonale, ou communale. Dans le contexte qui nous occupe, le respect de ce principe implique qu'une autorité n'est habilitée à traiter des données personnelles que si une base légale l'y autorise. Celle-ci peut être une disposition contenue, par exemple, dans une loi fédérale ou cantonale, une ordonnance ou un règlement d'exécution, ladite disposition autorisant expressément le traitement de données. Le principe de la légalité est également respecté s'il existe une relation claire entre un traitement de données et l'accomplissement d'une tâche légale pour laquelle il est effectué, sans que le traitement de données ait été prévu expressément. Conformément au principe de proportionnalité, le niveau de la base légale et son degré de précision dépendront de différents facteurs, notamment des catégories de données traitées, du domaine d'activité du maître du fichier, des catégories de personnes concernées, des risques d'atteinte aux droits de la personnalité, du fait que des données sont ou non communiquées à des tiers, de la taille du fichier et du nombre plus ou moins grand de personnes membres d'une ou plusieurs autorités ayant accès aux données. » (BOGC  mai 2008 – mars 2009, p. 955)

Bien que ni l’aLCPD, ni la CPDT-JUNE ne mentionnent expressément d’exigences particulières pour les bases légales relatives à des traitements de données sensibles, il n’empêche que par le biais du respect du principe de la proportionnalité, comme mentionné dans le rapport neuchâtelois, on arrive à la même exigence figurant expressément dans l’article 34 LPD.

Or, pour l’élaboration des lois fédérales, il existe un « Guide de législation en matière de protection des données » qui mentionne (au point 3.2.4.4):

Comme pour le traitement de données, la densité normative des dispositions dépendra du risque d'atteinte à la personnalité de la personne concernée et aux droits fondamentaux. Il ressort de ce qui précède que la loi doit régler les points suivants :

  • la ou les autorités responsables de la communication des données;

  • la finalité de la communication des données;

  • les catégories de données concernées, y compris les profilages;

  • les modes de communication des données;

  • le ou les destinataires

Ce guide se fonde sur quelques arrêts topics en matière de densité normative, notamment les arrêts du TF:

Un éventuel débat sur la question de savoir si le droit cantonal se veut réellement aussi exigeant que le droit fédéral n’a plus lieu d’être. Le nouveau droit européen (art. 10 Directive et 7bis Convention 108+), qui s'imposent directement aux cantons,  exige une formulation au moins aussi exigeante que l’article 34 LPD.

De surcroît, l’ancien droit jurassien, autant à l’origine de la CPDT-JUNE que le droit neuchâtelois, formulait le principe de la légalité de la même manière que le droit fédéral (art. 5 aLoi jurassienne sur la protection des données à caractère personnel).

Le Tribunal cantonal jurassien a eu l’occasion de préciser la formulation imposée dans le principe de la légalité :

 « Le traitement de ces données, singulièrement leur communication, nécessite l'existence d'une base légale formelle (cf. art. 5 al. 2 et 13 litt. a LPD). […] La désignation du destinataire de l'information dans la loi est une exigence essentielle du droit de la protection des données […]. Cette exigence s'impose également en vertu du principe de la légalité, selon lequel la base légale doit être suffisamment précise, c'est-à-dire claire et détaillée, afin que ses effets soient prévisibles […]. Pour pouvoir communiquer des données à caractère personnel, une compétence générale ne suffit pas […] » (Arrêt du Tribunal cantonal jurassien du 25.10.2012, ADM 65_2012, consid. 3.3 ss).

Enfin et pour mémoire, le rapport aLCPD mentionnait :

«Par ces dispositions, nous visons à trouver un équilibre entre les impératifs de la saine gestion administrative et la protection de la personnalité des personnes concernées. L'interconnexion de l'ensemble des fichiers gérés par les autorités ou la création d'un seul fichier contenant toutes les données traitées par l'administration pourraient être d'excellentes solutions en termes d'efficacité et d'optimalisation des ressources. En revanche, ce serait la fin de la protection de la personnalité. A l'inverse, un cloisonnement absolu des fichiers serait beaucoup trop contraignant pour les autorités et ne serait pas non plus favorable aux intérêts des administrés. Ces personnes pourraient se lasser rapidement d'être sollicitées par les autorités les plus diverses pour communiquer sans cesse les mêmes données. » (BOGC  mai 2008 – mars 2009, p. 960)

Au surplus, il est à noté que l'art. 6 de la loi cantonale tessinoise sur la protection des données personnelles prévoit que les traitements de données sensibles doivent figurer dans une base légale formelle qui doit notamment comprendre l'objet et la finalité du traitement, l'organe responsable, les organes participants et les utilisateurs, les destinataires des données, les modalités, le cercle des personnes concernées, la durée de conservation des données et les mesures de sécurité.

En conclusion, les traitements de données sensibles nécessitent une base légale formelle relativement détaillée. Cette dernière peut être de deux ordres : soit des dispositions prévoient expressément le traitement de données sensibles prévu avec les détails susmentionnés ; soit des dispositions décrivent les tâches légales du destinataire des données sensibles avec lesdits détails.  Voir par exemple quelques lois fédérales respectant les obligations actuelles, soit les articles 9 à 11 LSIS, 44b LTr, 98b LAsi, 99a et 99b LAsi, 48 al. 4 LPP et 85a LPP. Bien que la formulation des articles 84 et 84a LAMal ait été acceptée par le Tribunal administratif fédéral le 7 décembre 2007 (A-7375/2006), les exigences paraissent avoir sensiblement évoluées depuis et il serait dès lors préférable de prendre comme modèle les autres lois fédérales précitées.

Tant en droit jurassien que neuchâtelois, il n'est pas rare de trouver des bases légales formelles concernant des données sensibles qui ne semblent pas répondre aux exigences exposées ci-dessus, tel que, par exemple, l'article 28 al. 2 de la loi cantonale sur l'action sociale (LASoc; RSN 831.0).

A relever qu'une délégation en faveur d'une base légale matérielle est également possible pour une grave atteinte aux droits fondamentaux, pour autant que  la délégation ne soit pas exclue par la Constitution, soit formellement prévue par la loi, se limiter à un domaine déterminé et contenir les grandes lignes de l'atteinte aux droits fondamentaux eux-mêmes (Gregori Werder, Der "gläserne Gutachter" ?, in : Jusletter 7 novembre 2022; Eva Maria Belser/Bernhard Waldmann, Grundrechte I, 2e édition, Zurich 2021, n° 31).

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.