14/07/2014

Traitement des données: Ses principes

En tant que propriétaire d'une base de données, vous êtes responsable d'une utilisation conforme à la loi de ces données, quelle que soit la personne qui les traite. Vous pouvez confier le traitement des données à des tiers si aucune obligation légale ou contractuelle de confidentialité ne l'interdit.

Commenter   Partager   Imprimer

Aucun commentaire n'a été écrit sur cet article. Nous nous réjouissons si vous êtes le premier à le faire.
 
Ecrire un commentaire

Veuillez saisir une valeur !

Veuillez saisir une valeur !

Veuillez saisir une valeur ! Veuillez svp saisir une adresse électronique (e-mail) valide.

Veuillez saisir une valeur !

Veuillez saisir une valeur !

Veuillez saisir une valeur !

Veuillez remplir tous les champs obligatoires apparaissant en gras.
Réinitialiser
 
Traitement des données

Traitement des données

Conformément au nouvel article 10a, le tiers est autorisé à n'effectuer que les traitements que le mandant serait en droit d'effectuer lui-même. En tant que mandant, vous devez vous assurer que le tiers garantit la sécurité des données.

En cas d'externalisation, choisissez soigneusement la société chargée du traitement des données, veiller à définir des instructions claires et gardez le contrôle des données. Une clause de confidentialité est recommandée si des données personnelles ou du savoir-faire sont échangés entre les parties.

Principes de la protection des données

Les règles suivantes en matière de protection des données ne s'appliquent pas seulement aux données relatives à des personnes physiques, mais aussi aux informations sur les personnes morales et les sociétés de personnes (sociétés collectives et sociétés en commandite). Ces dernières, en tant qu'entreprises, sont équivalentes à des personnes morales.

Les principes fondamentaux s'appliquant au traitement des données sont formulés dans les art. 4 et 5 de la LPD:

  • les données personnelles ne doivent être traitées que de manière licite et conformément aux principes de la bonne foi et de la proportionnalité;
  • la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée;
  • les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances;
  • les données personnelles doivent être correctes et complètes au regard des finalités pour lesquelles elles sont traitées; Une actualisation est toujours nécessaire lorsque la personnalité de la personne concernée pourrait être blessée par leur inexactitude, ce qui n'est pas le cas pour toutes les données.

Les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées (art. 7 LPD). Vous trouverez des informations plus précises à ce sujet dans l'ordonnance relative à la loi sur la protection des données.

Il est important de noter que la disposition de l'art. 7 LPD ne s'applique pas uniquement aux ordinateurs et au courrier électronique, mais aussi aux autres sortes de documents! Les mesures techniques ne servent à rien si l'on trouve des informations confidentielles dans la corbeille à papier.

Aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée (art. 6 LPD). Cela peut être notamment le cas dans les Etats dictatoriaux où n'existe pas de protection légale adéquate. Des données personnelles peuvent être communiquées à l’étranger dans certains cas seulement, par exemple lorsque la personne concernée a donné son consentement ou qu'existe un intérêt public ou juridique prépondérant. Cette réglementation est importante en particulier pour l'Internet du fait de son caractère international.

Autorisation et devoir d'informer

En tant que propriétaire de la base de données, vous êtes tenus d'informer une personne lorsque votre entreprise collecte ou établit des données sensibles ou des profils de personnalité la concernant. C'est ce que prescrit le nouvel article 7a de la LPD. Une information active est par exemple nécessaire lorsque des informations sur la santé d'une personne sont collectées, par exemple dans le domaine de l'assurance-vie ou des caisses d'assurance maladie.

Ce devoir d'informer s'applique aussi lorsque les données sont collectées auprès de tiers. Doivent être communiquées toutes les informations nécessaires selon le principe de la bonne foi et de la proportionnalité, de sorte que la personne puisse faire valoir ses droits. Le mieux, pour pouvoir en apporter la preuve, est de s'acquitter de ce devoir d'information par écrit. Pour le traitement des données personnelles particulièrement sensibles, vous devez avoir le consentement de la personne concernée (art. 4 LPD). Ce consentement n'est valable que si la personne concernée exprime sa volonté librement et après avoir été dûment informée. Ce consentement est également nécessaire lorsque vous utilisez des données particulièrement sensibles collectées précédemment pour une nouvelle finalité, par exemple pour un nouveau contrat. Le mieux est de vous faire signifier ce consentement par écrit.

Droit d'accès

Toute personne peut demander au maître d’un fichier si des données la concernant sont traitées (art. 8 LPD), et se faire communiquer notamment

  • toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données;
  • le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données.

Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d’imprimé ou de photocopie.

En tant que maître d'un fichier, vous êtes également tenu de fournir les renseignements demandés si vous faites traiter ces données par un tiers. Cette obligation incombe toutefois au tiers, s’il ne révèle pas l’identité du maître du fichier ou si ce dernier n’a pas de domicile en Suisse.

Important: nul ne peut renoncer par avance au droit d'accès. Toute personne concernée peut requérir la rectification des données inexactes (art. 5 LPD).

Quand le traitement des données constitue-t-il une atteinte à la personnalité?

Quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées Il est important que nul dans votre entreprise ou dans l'entreprise que vous avez mandatée ne traite de données sans respecter les principes légaux. Il est également interdit sans motifs justificatifs de

  • traiter des données contre la volonté expresse de la personne concernée;
  • communiquer à des tiers des données sensibles ou des profils de la personnalité.

En règle générale, il n’y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement. Sont reconnus comme motifs justificatifs pour le traitement des données les intérêts prépondérants de la personne ou de l'entreprise qui traite les données, par exemple lorsqu'elles collectent des informations sur des personnes en vue de conclure un contrat ou qu'elles contrôlent l'honorabilité de partenaires commerciaux (art. 13 LPD). Ces données ne devraient être communiquées qu'à des personnes qui y ont un intérêt justifié dans le contexte donné. Les entreprises tierces auxquelles vous confiez un mandat pour le traitement de données peuvent faire valoir les mêmes motifs justificatifs pour le traitement que vous en tant que mandant.

Vous pouvez traiter des données personnelles à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition toutefois que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concernées.

Il est important que les motifs justificatifs soient solides et fondés et qu'en cas de doute, vous gardiez la confidentialité sur les données.

Plaintes pour violation de la LPD

Pour les plaintes et mesures préventives relatives à la protection de la personnalité, c'est le droit de la personnalité défini aux articles 28 et suivants du CC qui s'applique concernant la protection des données. Le demandeur peut en particulier requérir que le traitement des données, et notamment leur communication à des tiers, soient interdits ou que les données soient rectifiées ou détruites (art. 15 LPD).

La violation des obligations prévues par la LPD peut être sur plainte punie d'amende (art. 34 LPD). Est également, sur plainte, punie de l’amende la personne qui, intentionnellement, aura révélé d’une manière illicite des données personnelles secrètes et sensibles ou des profils de la personnalité. Cela concerne également les employés de la personne soumise à l’obligation de garder le secret, y compris lorsque les rapports de travail ont pris fin (art. 35 LPD).

Recommandations produits

  • Droit du travail I

    Droit du travail I

    Maîtrisez les questions de droit du travail.

    CHF 78.00

  • Droit du travail II

    Droit du travail II

    Maîtrisez les questions de droit du travail

    Plus d'infos