Devoir d’informer

Devoir d’informer

Le devoir d’informer garantit la transparence des traitements et contribue à renforcer les droits de la personne concernée. En l’absence d’information, celle-ci ne se rend pas forcément compte que ses données personnelles sont traitées et ne peut donc pas faire valoir les droits que la LPD lui accorde. La LPD impose donc au responsable de traitement un devoir d’informer la personne concernée pour tout type de données collectées la concernant, que la collecte soit effectuée auprès d’elle ou non.

Pour toute collecte envisagée de données personnelles, le responsable du traitement doit informer au préalable la personne concernée de manière adéquate, que la collecte de données soit directement effectuée auprès d’elle ou non. 

Le responsable du traitement communique aux personnes concernées les informations sur la collecte de données personnelles de manière concise, transparente, compréhensible et facilement accessible. Si la LPD ne soumet l’information à aucune exigence de forme, le responsable du traitement en choisira une qui respecte le principe de transparence des données et contienne les éléments nécessaires (par ex. déclaration de protection des données, conditions générales, information sur un site internet, pictogramme, courrier séparé, informations dans un formulaire de consentement, etc.). L’information doit être facilement accessible, complète et aisément identifiable. Lorsque les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement devra trouver un moyen permettant à la personne concernée de prendre effectivement connaissance de l’information. 

Le responsable de traitement doit communiquer à la personne concernée toutes les informations nécessaires à la mise en œuvre de ses droits et garantissent la transparence du traitement. Concrètement, l’identité et les coordonnées du responsable du traitement devront être communiquées, de même que la finalité du traitement et, le cas échéant, les destinataires des données personnelles (comme par ex. les sous-traitants). Le degré de détails de l’information dépendra du type de données personnelles traitées ainsi que de la nature et de l’ampleur du traitement. Il est ainsi par exemple possible que l’on doive informer sur la durée du traitement ou l’anonymisation de données. Autrement que dans le RGPD, des informations devront aussi être fournies sur l’État destinataire et sur les garanties éventuelles d’un niveau approprié de protection des données. Les entreprises devront ainsi vérifier et actualiser leur déclaration relative à la protection des données. 

Le devoir d’informer est par ailleurs limité ou supprimé par les exceptions mentionnées à l’art. 20 LPD. C’est par exemple le cas si la personne concernée dispose déjà des informations (car elle a consenti préalablement au traitement de ses données) ou si le traitement des données personnelles est prévu par la loi. Lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le devoir d’informer cette dernière ne s’applique pas si cela est impossible à respecter ou nécessite des efforts disproportionnés. Ces exceptions doivent être interprétées de manière restrictive: le responsable du traitement ne doit pas se contenter d’une supposition. Il doit déployer tous les efforts qu’on est en droit d’attendre de lui dans le cas d’espèce pour remplir son devoir d’information. Par ailleurs, le responsable de traitement peut renoncer, restreindre ou différer la communication des informations lorsqu’un intérêt public ou privé prépondérant l’exige (par ex. intérêt de tiers ou existence d’une procédure judiciaire).

La LPD contient en outre un devoir spécifique d’information lors de décisions individuelles automatisées, à savoir lorsqu’une exploitation de données a lieu sans intervention humaine (par ex. avec des algorithmes) et qu’il en résulte une décision ou un jugement à l’égard de la personne concernée (par ex. profilage, décisions de taxation fiscale automatique, prestations médicales attribuées sur la base de décisions automatisées, évaluations automatisées de la solvabilité, etc.). En vertu de l’art. 21 LPD, le responsable du traitement devra informer cette dernière et lui accorder la possibilité de faire valoir son point de vue sur le résultat de la décision, ainsi que celui d’exiger que la décision soit revue par une personne physique. Lorsque la décision individuelle automatisée est en relation directe avec la conclusion ou l’exécution d’un contrat entre le responsable de traitement et la personne concernée et la demande de cette dernière est entièrement satisfaite (par ex. en cas de conclusion d’un contrat aux conditions souhaitées) ou que la personne concernée a entièrement consenti à ce que la décision soit prise de manière automatisée, le devoir d’informer tombe. Les organes fédéraux ont l’obligation de qualifier comme telle une décision individuelle automatisée. Si la personne dispose d’un moyen de recours contre cette décision, le droit de faire valoir son point de vue et celui de faire examiner la décision par une personne physique seront garantis dans le cadre de cette procédure.


Dispositions pénales

Aspects pénaux attachés aux violations des obligations instaurées par la LPD.

Droit d’accès

Conformément à la loi fédérale sur la protection des données, toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées.

Conseiller à la protection des données

Notification de conseillères et conseillers à la protection des données au PFPDT conformément à l'art. 10, al. 3 LPD pour les particuliers et à l'art. 10, al. 4 LPD pour les organes fédéraux.

Émoluments

A partir du 1.9.2023, le PFPDT prélèvera des émoluments pour certaines prestations.

Webmaster
Dernière modification 20.04.2023

Début de la page