La loi sur la protection des données

Icon_noun_Datenschutz
×
Icon_noun_Datenschutz
Icon_noun_Datenschutz

La Loi fédérale sur la protection des données (LPD) contient les règles intersectorielles à respecter de manière générale lors du traitement de données personnelles. Comme données personnelles au sens de la LPD sont considérées toutes les informations relatives à une personne physique identifiée ou identifiable. Les données liées à la santé et donc les données génétiques de personnes identifiées ou identifiables sont par définition des données personnelles particulièrement sensibles et devant être protégées.

Lorsqu’il s’agit de données pseudonymisées, i.e. cryptées, les données personnelles ne
pourront plus être attribuées à une personne spécifique sans recours au code de décryptage. Etant donné que la personne reste néanmoins identifiable au moyen de cette clé, le traitement de données pseudonymisées est toutefois soumis à la LPD. Seules les données personnelles irréversiblement anonymes échappent au cadre légal de la LPD.

La LPD définit les principes et prescriptions fondamentaux en vue de garantir le traitement légal des données personnelles :

Principe de transparence : tout traitement des données doit avoir lieu de manière transparente.

Principe de finalité : les données recueillies ne doivent être utilisées qu’à des fins évidentes pour la personne concernée ; les données ne doivent être recueillies, conservées, divulguées et traitées que dans la mesure où ces fins l’exigent.

Consentement au traitement des données : lorsque le traitement des données requiert le consentement de la personne concernée, comme par ex. dans le cadre de la recherche sur l’être humain, ce consentement ne sera légalement valable qu’à condition d’avoir été donné librement, sur la base d’informations appropriées, et de manière explicite s’il s’agit de données particulièrement sensibles.

Droit de révocation : le consentement au traitement des données peut à tout moment être révoqué par la personne concernée.

Sécurité des données : les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées.

Droit d’accès : toute personne est en droit de demander au titulaire d’une collecte de données, des informations sur le traitement des données la concernant.

Obligation d’information : le titulaire d’une collecte de données est obligé d’informer la personne concernée sur l’acquisition de données personnelles particulièrement sensibles. Cette obligation d’information vaut également pour des données collectées par des tiers.

Divulgation transfrontalière : les données personnelles ne doivent pas être divulguées à l’étranger si cela devait entraîner un risque sérieux pour les droits de la personnalité des personnes concernées.

Il convient de prendre en compte que la LPD en vigueur est en cours de révision. Du point de vue du Conseil fédéral, une révision est nécessaire, d’une part, du fait que la législation actuelle n’est plus adaptée à l’évolution technologique ultra-rapide, et d’autre part dans le but de rapprocher plus étroitement le droit suisse de la protection des données de celui de l’UE, notamment du RGPD. La LPD doit être adaptée aux nouvelles conditions technologiques et sociales pour ainsi améliorer tout particulièrement la transparence des traitements de données et renforcer l’autodétermination des personnes concernées quant à leurs données.

Révisée entièrement, la proposition de la LPD prévoit, entre autres, une restriction du privilège de la recherche en matière de la protection des données. La divulgation et la transmission (notamment à des universités ou groupes de recherche) de données personnelles liées à la santé étant couvertes par l’intérêt public ou privé et ainsi justifiables sous la LPD actuelle, la proposition de la LPD révisée restreint cette possibilité. L’intérêt de la recherche ne sera désormais considéré comme justification de la transmission de données personnelles que sous de strictes conditions ; de ce fait, il faudra, dans de nombreux cas, obtenir le consentement des personnes concernées. Les données liées à la santé continueront à être considérées comme des données personnelles particulièrement sensibles. La LPD révisée comprend expressément également des « données génétiques » et des « données biométriques ». La pratique juridique dans un cas particulier concret nécessite donc un alignement de la LPD avec la LRH et la LAGH. Cet alignement ne sera pas toujours facile, notamment en ce qui concerne les obligations d’information et les règles du consentement obligatoire qui sont d’une importance particulière au niveau des données liées à la santé.

Septembre 2018


icon_noun_literatur
×
icon_noun_literatur
icon_noun_literatur

Littérature

Loi fédérale sur la protection des données Lien

Autres sujets

Icon_noun_Europa

Union européenne

Législation