Qu’appelle-t-on des données?
Les données ne sont en fait rien d’autre que des informations. Aujourd’hui, on entend généralement par données des informations qui sont sauvegardées en format binaire sur un support numérique afin de faciliter leur traitement. Mais il peut aussi s’agir de données physiques.
Que sont les données personnelles?
Les données personnelles sont toutes les informations qui se rapportent à une personne identifiée ou identifiable. Il s’agit par exemple de son nom, de son adresse ou de sa date de naissance. Une personne est identifiée lorsque son identité ressort directement de ces informations. C’est le cas notamment pour les informations qui figurent dans un dossier personnel, dans un fichier client ou sur une pièce d’identité. Une personne est identifiable lorsque son identité ne peut être déterminée qu’en conjuguant lesdites informations avec d’autres informations (sans que cela induise des efforts disproportionnés), par exemple le nom ou l’adresse.
Qu’en est-il lorsque les données ne permettent pas de faire le lien avec une personne en particulier?
Les données personnelles ne relèvent des dispositions de la loi sur la protection des données que si elles permettent de faire le lien avec une personne bien précise, moyennant un effort raisonnable. Si ce n’est pas le cas ou si les données ont été anonymisées, elles ne sont plus considérées comme des données personnelles au sens de la loi et ne sont plus protégées.
Quels types de données distingue-t-on?
On distingue les données personnelles générales et les données personnelles sensibles.
Les données personnelles sensibles sont celles qui donnent des informations sur les valeurs et les opinions d’une personne, renseignent sur son état de santé ou son identité au sens strict ou sont généralement traitées par les autorités. Parmi ces données, citons:
- les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales,
- les données sur la santé, la sphère intime ou l’origine raciale ou ethnique,
- les données sur des mesures d’aide sociale,
- les données sur des poursuites ou sanctions pénales et administratives.
La nouvelle loi sur la protection des données appelée à entrer en vigueur le 1er septembre 2023 élargit l’éventail des données sensibles aux données suivantes:
- les données génétiques,
- les données biométriques identifiant une personne physique de manière univoque.
Y a-t-il des règles particulières à respecter s’agissant de données sensibles?
Oui, les données sensibles ne peuvent faire l’objet d’un traitement que si la personne concernée a expressément consenti au traitement prévu.
Qu’entend-on par «expressément consenti» dans ce contexte et de quel traitement s’agit-il exactement?
On estime qu’il y a consentement exprès lorsque ce consentement exprime la volonté réelle de la personne et que celle-ci a fait activement la démarche de donner son consentement.
Le terme «traitement» s’applique à toute opération relative à des données personnelles. Toutefois, la loi mentionne spécifiquement les opérations suivantes:
- Collecte
- Enregistrement
- Conservation
- Utilisation
- Modification
- Communication
- Archivage
- Effacement
- Destruction
Qu’est-ce que le profilage?
Le profilage consiste à saisir systématiquement les caractéristiques comportementales d’une ou de plusieurs personnes pour les évaluer et les utiliser, par exemple, dans le cadre de publicités ciblées. Toutefois, on entend par profilage uniquement l’interprétation automatisée des données. Lorsque ces données sont interprétées par un humain, il ne s’agit pas de profilage au sens strict de la loi.
Que faut-il encore savoir à propos des données personnelles?
Toute personne qui procède au traitement de données personnelles doit préalablement en informer la personne concernée de manière adéquate. Cette obligation concerne non seulement la collecte de données personnelles, mais aussi leur traitement ultérieur.
Que signifie «informer» dans ce contexte?
Le devoir d’information préalable qui incombe au responsable vise à s’assurer que les personnes concernées recevront toutes les informations nécessaires à la défense de leurs droits. Le but recherché est donc la transparence. Les informations communiquées contiennent au minimum:
- l’identité et les coordonnées de la personne responsable,
- la finalité du traitement,
- les destinataires auxquels les données personnelles sont transmises (le cas échéant).
Comment savoir si quelqu’un a enregistré des données te concernant et quelles sont ces données?
Si tu souhaites savoir si une entreprise a enregistré des données à ton sujet et quelle est la nature de ces données, tu peux adresser une demande de renseignements au responsable du traitement. En effet, la loi dit que toute personne a le droit de savoir si des données personnelles la concernant ont été enregistrées ou traitées et quelles sont ces données.
Pour ce faire, utilise notre modèle et joins à ta demande une copie de ta carte d’identité ou de ton passeport. De nombreuses entreprises prévoient aussi la possibilité de demander des renseignements par e-mail ou au moyen d’un formulaire en ligne. Renseigne-toi d’abord sur le site internet de l’entreprise pour savoir si la demande peut s’effectuer par voie électronique.
Tu trouveras d’autres informations sur la demande de renseignements dans notre conseil juridique.
Sous quelle forme recevras-tu ces renseignements?
Les renseignements sont communiqués par écrit, généralement par voie électronique dans un format couramment utilisé, ou au moyen d’un courrier adressé par voie postale.
Faut-il joindre une copie de la carte d’identité ou du passeport à la demande de renseignements?
Oui, il faut pouvoir identifier de manière fiable la personne à l’origine de la demande. Il est d’usage de transmettre une copie de la carte d’identité, mais l’identification peut aussi se faire par d’autres moyens.
La demande de renseignements est-elle payante?
La demande de renseignements est normalement gratuite, avec toutefois une exception. En effet, une participation aux frais peut être demandée à la personne concernée si la communication des informations engendre un volume de travail disproportionné. C’est notamment le cas lorsque les données ont déjà été anonymisées ou s’il est nécessaire d’effectuer des recherches dans des archives qui n’ont pas été numérisées.
Dans ce cas, néanmoins, les coûts ne peuvent excéder CHF 300. En outre, les frais à ta charge doivent t’être communiqués avant l’envoi des renseignements.
Comment s’aperçoit-on que ses données ont été utilisées de manière abusive?
Il n’y a pas de moment précis pour observer un tel abus. Plusieurs choses peuvent néanmoins te mettre la puce à l’oreille, comme du démarchage téléphonique en provenance de l’étranger. Cela étant, la personne qui t’appelle peut tout à fait avoir acquis tes données légalement. Dans ce cas, tu peux faire valoir ton droit d’accès auprès du responsable du traitement. Les renseignements fournis doivent alors faire mention de la provenance des données.
Quels sont tes droits en matière de données personnelles?
En tant que personne concernée, tu peux non seulement adresser une demande de renseignements, mais aussi exiger que tes données:
- te soient remises;
- soient transmises à une autre personne;
- soient effacées ou détruites en tout ou partie;
- soient utilisées uniquement pour des finalités bien déterminées;
- soient rectifiées;
- ne soient pas communiquées à d’autres personnes.
Que peux-tu faire en cas d’utilisation abusive de tes données?
Tout dépend de l’abus commis. Si quelqu’un est entré en possession de tes données et les utilise pour te harceler au téléphone, tu peux faire usage du droit à la suppression de tes données. En revanche, si tes données ont été utilisées pour commettre une infraction pénale, tu dois absolument porter plainte. En pareil cas, il est également recommandé de solliciter les conseils d’un juriste. Nos experts se feront un plaisir de t’aider à cette occasion.
Lorsque quelqu’un enregistre des données te concernant, sont-elles conservées pour toujours?
Non. La loi prévoit, pour la personne concernée, non seulement le droit de se renseigner sur les données personnelles enregistrées mais aussi celui d’exiger leur effacement en tout ou partie.
Quelle est la marche à suivre pour faire effacer ses données par une entreprise?
La demande d’effacement peut être adressée par lettre recommandée.
Que faire si l’entreprise à laquelle on a demandé des renseignements ne réagit pas?
Il est possible d’intenter une action en exécution du droit d’accès à l’encontre du détenteur d’un fichier, soit au domicile de la personne concernée, soit au domicile du détenteur du fichier. Le juge statue dans le cadre d’une procédure simplifiée. Nos experts se feront un plaisir de t’aider à cette occasion.
Que va changer l’entrée en vigueur de la nouvelle loi sur la protection des données, le 1er septembre 2023, pour les particuliers?
- Pour les particuliers, il n’y aura pas de grands changements. Les personnes concernées conserveront les mêmes droits qu’avant la révision. Leurs droits seront même renforcés, et la transparence entourant le traitement des données sera accrue.
- C’est surtout à l’égard des entreprises que les exigences de sécurité des données vont s’accroître. Si tu souhaites savoir ce qui va changer pour les entreprises, nous te recommandons notre conseil juridique pour les entreprises.