Qu'est-ce que des données « personnelles » ?
Les données personnelles sont les informations qui se rapportent à une personne identifiée ou identifiable (c’est-à-dire dont l’identification est possible sans recours à des moyens disproportionnés) sous forme notamment de mots, images ou signes. Il doit s’agir de personnes déterminées ce qui exclura en principe les statistiques dont le principe est de travailler avec des données « anonymisées » (ne permettant pas d'identifier les personnes concernées). La LPrD (art. 4 al. 1 let. a LPrD) part de l'idée que toutes données personnelles sont dignes de protection. Ce sont en premier lieu le but et le contexte dans lesquels une information est utilisée qui déterminent le besoin de protection. Encore faut-il que les données se réfèrent à une personne qui soit au moins identifiable.
Quand parle-t-on de données « sensibles » ?
Le besoin de protection d'une donnée dépend en premier lieu du contexte et du but dans lesquels cette donnée est utilisée. Il y a cependant des données, énumérées de façon exhaustive à l'art. 4 al. 1 let. c LPrD, qui peuvent être considérées comme sensibles par nature. Ce sont des informations qui ont une importante répercussion sur la personnalité de la personne concernée, qui ont trait à des caractéristiques essentielles, qui concernent le domaine personnel secret ou privé ou qui affectent la réputation ou le crédit d’une personne (opinions ou activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime, l’appartenance à une race ou à une ethnie, les données génétiques ou biométriques identifiant une personne physique de manière univoque, des mesures d’aide sociale, des poursuites ou sanctions pénales ou administratives).
Quelles sont les exigences à respecter en matière de données sensibles ?
Ces données exigent dans tous les cas des mesures de protection particulières :
> un devoir de diligence accru (art. 11 LPrD),
Le traitement de données sensibles ne peut avoir lieu que si :
> Une loi au sens formel le prévoit expressément, ou
> l'accomplissement d'une tâche clairement définie dans une loi au sens formel l'exige absolument et la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux des personnes concernées (art. 5 al. 2 let. a et b LPrD).
Qu'est-ce qu'un « traitement » ?
Cette notion désigne toute opération relative à des données personnelles - quels que soit les moyens et procédés utilisés - notamment la collecte, l'enregistrement, la conservation, l'exploitation, la modification, la communication, l'interconnexion, l'externalisation, l'effacement, l'archivage ou la destruction (art. 4 al. 1 let. d LPrD). Deux instruments y sont rattachés : d'une part, le registre des activités de traitement (art. 38 s LPrD) et, d'autre part, le droit d'accès (art. 27 ss LPrD). Un traitement peut être manuel (carthothèques, registres, listes, catalogues... ) ou automatisé (ensemble structuré d'informations conservé sur système informatique ou support magnétique).
Qu'est- ce que le « registre des activités de traitement » ?
Le registre des activités de traitement est le répertoire en ligne inventoriant les activités de traitement réalisés par les organes publics (art. 4 al. 1 let. j LPrD). En effet, l'Autorité de surveillance tient un registre public des activités de traitement accomplies par les organes soumis à la LPrD
(art. 38 al. 1 LPrD). Le registre des activités de traitement est un outil important pour les différents partenaires de la protection des données. D'abord, il oblige les organes publics à examiner ce qui existe chez eux, le bien-fondé des récoltes et des communications, les questions en relation avec le stockage, la conservation, la sécurité des données personnelles et leur permettent d'avoir une vue d'ensemble sur leurs traitements de données. Ensuite, il permet aux particuliers d'avoir la possibilité de prendre connaissance de l'existence et des caractéristiques des traitements tenus par chaque collectivité, et permet ainsi à tout individu d'exercer son droit d'accès. Enfin, ils fournissent à l'Autorité de surveillance des informations pour ses tâches légales de conseils, de contrôle et de surveillance.
Qu'entend-on par « personne concernée » ?
On entend par personne concernée la personne physique ou morale au sujet de laquelle des données sont traitées (art. 4 al. 1 let. b LPrD).
Qui est le « responsable du traitement » ?
Ce terme désigne l’organe public qui, seul ou conjointement avec d'autres détermine les finalités et les moyens du traitement de données personnelles (art. 4 al. 1 let. h LPrD).