DROIT | ETAT | ECONOMIE
➞ L’obligation de traiter les données dans le but indiqué lors de leur collecte ➞ Le principe de proportionnalité, qui oblige à se limiter aux données indispensables pour atteindre le but poursuivi ➞ Le principe de sécurité des données, tant par des mesures organisationnelles que par des mesures techniques
La loi consacre le droit d’accès de toute personne aux données qui la concernent (art. 25 al. 1 LPD). Ce droit est de nature strictement personnelle (voir ci-dessus).
Le responsable du traitement devra alors lui communiquer:
➞ toutes les données la concernant qui sont contenues dans le fichier, y compris les informa- tions disponibles sur l’origine des données ; ➞ le but et éventuellement la base juridique du traitement, les catégories de données person- nelles traitées, de participants au fichier et de destinataires des données. Ces renseignements doivent être fournis gratuitement et par écrit. En cas de refus, la personne concernée peut saisir le juge pour contraindre le responsable du traitement à communiquer les renseignements. La LPD précise également la notion d’atteinte à la personnalité, s’agissant des données, ainsi que les conditions auxquelles la victime peut exercer les actions concernant la protection de la personnalité (art. 28 ss CC, voir ci-dessus). En particulier, elle spécifie les motifs justificatifs sus- ceptibles de lever l’illicéité (cf. art. 28 al. 2 CC). Un intérêt prépondérant pourra être, par exemple, le fait que les données traitées sont en relation avec l’exécution d’un contrat (contrat de travail, mandat donné à un avocat, etc.). Un motif justificatif légal pourra être, par exemple, le droit des enquêteurs de police et des tribunaux de consulter ou réclamer certaines données (casier judi- ciaire, relevés de télécommunications, données d’accès à Internet, etc.).
L’art. 32 LPD apporte aussi certains compléments aux actions découlant du Code civil.
Nouvelle loi sur la protection des données
La première loi fédérale sur la protection des données a été adoptée en 1992. Trente ans plus tard, le mode de vie des Suisses a bien changé : usage quotidien d’Internet et des smartphones, développement spectaculaire des réseaux sociaux, recours au Cloud pour le stockage des données, Internet des objets, etc. Dans ce contexte, un remaniement complet de la loi sur la protection des données s’est avéré nécessaire pour assurer à la population une protection de ses données adéquate et adaptée aux dernières évolutions. C’est ainsi qu’est entrée en vigueur, le 1er septembre 2023, une révision majeure de la LPD, vi- sant à offrir aux personnes concernées une transparence accrue et ainsi à renforcer leurs droits sur leurs propres données (« autodétermination informationnelle »), mais également à améliorer la compatibilité du droit suisse avec le droit européen, et notamment le Règlement européen sur la protection des données (RGPD), adopté en 2016.
Voici quelques-uns des principaux changements introduits par la nouvelle loi:
1 Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales. 2 Les données génétiques et biométriques sont entrées dans la définition des données sensibles. 3 Les principes de « Privacy by Design » et de « Privacy by Default » ont été introduits. Comme son nom l’indique, le principe de « Privacy by Design » (protection des données dès la conception) implique, pour les développeurs, d’intégrer la protection et le respect de la vie privé des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de « Privacy by Default » (protection des données par défaut) assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utili- sateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisateurs. 4 Des analyses d’impacts doivent maintenant être menées, en cas de risque élevé pour la per- sonnalité ou les droits fondamentaux des personnes concernées.
28
Powered by FlippingBook