Connaître et faire valoir mes droits

Droit d’accès

En vertu de l’art. 25 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD), vous pouvez à tout moment demander au responsable du traitement si des données personnelles vous concernant sont traitées et, le cas échéant, lesquelles.

Les renseignements doivent comprendre notamment :

• l’identité et les coordonnées du responsable du traitement
• le type de données traitées et la finalité du traitement
• les destinataires ou les catégories de destinataires
• la durée de conservation ou les critères permettant de la déterminer

Les renseignements sont en principe gratuits et fournis dans un délai de 30 jours.

Le droit d’accès vous permet de savoir quelles informations un responsable du traitement possède à votre sujet, dans quel contexte ou à quelles fins il les traite et à qui il les communique.

• Ici vous trouverez de plus amples informations sur le droit d’accès

  Conformément à la loi fédérale sur la protection des données (LPD), toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées, et peut – si nécessaire – les faire effacer ou rectifier. Ce droit d'accès permet à chacun de garder le contrôle des données récoltées à son sujet. Il est la clé qui permet à la personne concernée de faire valoir les droits que lui octroie la loi et de garantir la transparence du traitement. Chaque personne doit toutefois agir elle-même pour exercer ce droit.

  Lorsque la personne concernée exerce son droit d’accès, la LPD dresse une énumération non exhaustive des informations qui doivent être communiquées dans tous les cas à la personne concernée. La personne concernée doit dans tous les cas recevoir des informations sur l’identité et les coordonnées du responsable du traitement. Par ailleurs, la personne concernée doit être informée des données personnelles traitées ainsi que de la finalité du traitement. Elle doit également être informée de la durée de conservation des données ou, si cela n’est pas possible, des critères pour fixer cette dernière. Elle reçoit également les renseignements disponibles sur l’origine des données, dans la mesure bien sûr où elle n’a pas fourni elle-même ces données, et est informée, le cas échéant, de l’existence d’une décision individuelle automatisée, ainsi que de la logique sur laquelle se fonde la décision. Enfin, il y a lieu d’indiquer également à la personne concernée les destinataires ou les catégories de destinataires auxquels les données ont éventuellement été communiquées. Si les destinataires se trouvent à l’étranger, l’information doit spécifier l’Etat concerné et, le cas échéant, les garanties prévues ou l’application d’une des exceptions.

  Les personnes faisant valoir leur droit d'accès n'ont pas à motiver la demande auprès du responsable du traitement. En principe, le renseignement doit être fourni gratuitement dans un délai de 30 jours. Nous rendons attentif au fait que les demandes occasionnant des efforts disproportionnés peuvent occasionner des frais (d’un montant de 300 francs au maximum).

  Dans certains cas, le droit d'accès peut être refusé, restreint ou différé notamment si des intérêts prépondérants privés ou publics s'y opposent. Dans un tel cas de figure, le responsable du traitement indique le motif pour lequel il refuse, restreint ou diffère la communication des informations. A noter que lorsqu'un organe fédéral vous oppose un refus ou n'accorde qu'un accès limité, celui-ci doit vous communiquer une décision susceptible de recours. La motivation doit permettre à la personne concernée de vérifier si la restriction de son droit d’accès est justifiée. La mise en œuvre procédurale des droits des personnes concernées est renforcée car la LPD prévoit désormais de faciliter l’accès à la justice par la suppression des frais judiciaires en procédure civile.

  Pour connaître la procédure à suivre ou savoir comment faire valoir vos droits auprès du responsable du traitement, consultez la rubrique « Comment faire valoir vos droits auprès du responsable du traitement ».

  • Lettre modèle droit d'accès

    Word26.70 kB23 février 2024

  Questions fréquentes concernant la protection des données

  De A à Z

  Davantage d'informations sur «Questions fréquentes concernant la protection des données»

La demande d’accès n’est soumise à aucune forme particulière, mais vous pouvez utiliser notre lettre type pour vous assurer que votre demande soit correctement interprétée :

Droit de rectification

Le traitement de données personnelles erronées peut entraîner des inconvénients importants pour la personne concernée. Par exemple, si une personne portant le même nom que vous a régulièrement des retards de paiement et qu’en raison de cette confusion, une banque vous refuse un crédit si l’on vous refuse un crédit parce qu’une personne portant votre nom a fait preuve de mauvaises pratiques de paiement (voir Crédit et encaissement). Le traitement de données personnelles inexactes constitue dès lors une atteinte illicite à la personnalité.

C’est pourquoi toute personne qui traite des données personnelles doit prendre des mesures appropriées pour s’assurer de leur exactitude. Le droit de rectification découle de cette obligation du responsable du traitement (art. 6, al. 5 LPD).

Si vos données personnelles sont inexactes ou incomplètes, vous pouvez exiger leur rectification sur la base de l’art. 32, al. 1 LPD. Le droit de rectification va de pair avec le droit d’accès, car c’est souvent dans le cadre d’une demande d’accès que l’on apprend l’existence de données erronées nous concernant.

Si le responsable du traitement est un organe fédéral, vous pouvez demander la rectification de vos données sur la base de l’art. 41, al. 2, let. a LPD. Ce droit peut notamment être utile lorsqu’une inscription n’est plus d’actualité et que cela a des conséquences négatives pour vous en tant que personne concernée (par exemple si vous recevez une facture pour la redevance de radio-télévision alors que vous n’habitez plus dans le ménage concerné).

Droit d’effacement

Dans certaines conditions, vous pouvez exiger l’effacement ou la destruction de vos données personnelles :

• Si vos données personnelles ne sont plus nécessaires pour la finalité initiale, vous pouvez demander leur effacement en vous fondant sur les principes de proportionnalité ou de minimisation des données (art. 6, al. 4 LPD). Par exemple, si les données sur la solvabilité datent de plus de dix ans (voir Crédit et encaissement).
• Si vous avez consenti à leur traitement par le passé, mais que vous n’êtes plus d’accord et que vous voulez retirer votre consentement.
• Si vos données ont été traitées de manière illicite. Par exemple, si une photo de vous a été publiée sans votre autorisation (voir Prendre et publier des photos).
• Ou, de manière générale, si les données ont été traitées en violation des principes de bonne foi et de transparence ou détournées de l’usage prévu. Par exemple, lorsque vous recevez de la publicité adressée et que vous ne comprenez pas d’où proviennent vos données d’adresse.

Le responsable du traitement peut toutefois refuser l’effacement s’il dispose d’un motif justificatif, par exemple une base légale ou un intérêt prépondérant. Dans certaines circonstances, si l’effacement n’est pas possible, une limitation des traitements à des finalités spécifiques peut être envisagé (voir ci-dessous).

Ces droits sont régis par l’art. 32, al. 2, let. c LPD (traitement des données par des personnes privées) et par l’art. 41, al. 2, let. a LPD (traitement des données personnelles par des organes fédéraux).

Droit à la limitation du traitement des données (bloquage et désindexation de données)

De manière similaire à une demande d’effacement, si vous contestez l’exactitude des données ou la proportionnalité de leur traitement, vous pouvez demander la limitation du traitement des données, notamment en interdisant leur transmission à des tiers sur la base de l’art. 32, al. 2, let. b LPD.

Il se peut par exemple que certaines informations vous concernant aient été archivées ou rendues publics en raison d’intérêts privés ou publics, mais que vous considérez que l’accès par tout un chacun à ces informations est disproportionné. Il se peut notamment que les informations se rapportent à des faits anciens, comme une manifestation sportive à laquelle vous avez participé il y a plusieurs années (voir Données concernant les participants à une manifestation de sport populaire). Il se peut encore que la finalité du traitement pourrait être atteinte avec un accès limité à des personnes ayant un intérêt particulier à ces informations (par exemple, dans le cas d’informations relatives à votre solvabilité). Cela peut également concerner la publication de données issues de registres publics (comme le registre du commerce).

Dans le contexte d’Internet, l’exercice du droit à la limitation du traitement des données prend souvent la forme d’une demande de désindexation des informations. Cette démarche vise à restreindre l’accès des moteurs de recherche à certains contenus, afin qu’ils n’apparaissent plus lors de la recherche du nom d’une personne. La désindexation doit être effectuée par le responsable du traitement.

Lorsqu’il s’agit d’informations publiées à l’origine pour un motif d’intérêt public et que celui-ci n’est plus d’actualité, on parle de droit à l’oubli (voir Le droit à l’oubli sur Internet).

Vous pouvez également exercer votre droit à la limitation afin d’éviter que ne soient communiquées des données dont l’exactitude est contestée ou doit encore être clarifiée (par exemple, dans le cas d’informations relatives à votre solvabilité). Dans le cadre de la limitation, les données peuvent être sauvegardées, mais pas traitées ou communiquées.

Si le responsable du traitement est un organe fédéral, la personne concernée peut également faire limiter le traitement. Un organe fédéral ne peut communiquer des données personnelles à une autre autorité (suisse ou étrangère) que s’il existe une base légale à cet effet. Ainsi, une personne concernée peut, sur la base de l’art. 41, al. 1 LPD, s’opposer à la transmission d’informations à une autorité étrangère, par exemple dans le cadre de l’assistance administrative en matière fiscale, si elle estime que les conditions légales ne sont pas remplies.

Droit d’opposition

Vous avez le droit de vous opposer à tout moment au traitement de vos données personnelles auprès du responsable du traitement (art. 30, al. 2, let. b LPD).

Après réception de votre opposition, le responsable du traitement arrête le traitement de vos données ou justifie pourquoi il peut et va le poursuivre.

Droit à la remise et à la transmission des données personnelles (droit à la portabilité des données)

Dans la mesure où cela est techniquement possible, vous pouvez demander de recevoir, dans un format courant et lisible par une machine, les données personnelles qu’un responsable du traitement traite sur la base de votre consentement ou d’un contrat conclu avec vous. Vous pouvez également les faire transmettre à un autre responsable du traitement.

Ce droit est explicitement réglementé à l’art. 28 LPD en relation avec l’art. 20 s. OLPD et facilite le changement de fournisseur et la réutilisation de vos données. Il peut toutefois être restreint conformément à l’art. 29 LPD.

Droits dans le contexte des décisions individuelles automatisées

À l’ère de la numérisation et de la généralisation des traitements de données basés sur l’IA, les décisions sont de plus en plus souvent prises de manière entièrement automatisée. Ainsi, elles ne sont pas prises par des êtres humains, mais exclusivement par des algorithmes, sur la base d’informations existantes et selon une logique programmée. En l’absence de contrôle humain, il s’agit d’une décision individuelle automatisée. Dans la mesure où cette décision entraîne un préjudice important pour la personne concernée, les arts. 21 et 25 LPD prévoient d’une part un droit à l’information et d’autre part un droit d’exiger que la décision individuelle automatisée soit revue par une personne physique.

Droit d’être informé en cas de décisions individuelles prises de manière automatisée

Vous devez être informé en cas de décision individuelle automatisée. Avec une demande d’accès, vous pouvez également obtenir des informations sur la logique sur laquelle repose la décision.

Droit à une revue des décisions automatisées par une personne physique

Vous avez également le droit d’exprimer votre point de vue sur de telles décisions et de demander un contrôle manuel.

Comment exercer vos droits auprès du responsable du traitement

Déposez votre demande par écrit, par courrier postal ou électronique. Vérifiez si le responsable du traitement indique des canaux spécifiques par lesquels il souhaite recevoir des demandes.

Décrivez concrètement le droit que vous souhaitez exercer. Si vous contestez la véracité d’une information, justifiez votre demande.

Comme il s’agit de droits strictement personnels, vous devez les faire valoir vous-même ou en votre nom par la personne vous représentant légalement.

Pour s’assurer qu’il s’agit bien de vous, les responsables du traitement doivent prendre des mesures proportionnées pour vérifier votre identité et vous devez y collaborer. Si le responsable du traitement ne connaît de vous qu’un pseudonyme ou une adresse électronique, il peut exiger que vous vous connectiez à votre compte ou que vous déposiez votre demande par courriel depuis l’adresse qui lui est connue.

Dans certaines circonstances, le responsable du traitement peut demander une copie d’une pièce d’identité afin de confirmer votre identité.

Conseils pour l’exercice de vos droits

Adressez-vous au bon endroit

Dans le cadre de leur devoir d’informer, les responsables du traitement doivent vous fournir des informations de contact. Vous les trouverez généralement dans leur politique de confidentialité ou leurs dispositions relatives à la protection des données (voir Déclaration de protection des données sur Internet).

Accordez un délai de traitement raisonnable

Fixez un délai réaliste pour le traitement de votre demande : conformément à l’art. 25 LPD, la loi accorde 30 jours aux responsables du traitement pour fournir des informations. Si un responsable du traitement ne peut pas fournir l’information dans un délai de 30 jours, il doit vous en informer et vous indiquer dans quel délai il pourra le faire. Pour les autres demandes, telles que l’effacement ou la rectification, un délai plus court ou plus long peut être approprié selon la situation.

Protégez vos comptes en ligne

Nous recevons souvent des demandes de personnes qui ne peuvent plus se connecter à leurs profils de médias sociaux et qui n’ont plus accès à l’adresse e-mail ou au numéro de téléphone associés à ces comptes. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) ne peut malheureusement pas vous aider dans cette situation. Les prestataires sont tenus de protéger vos données personnelles contre tout accès non autorisé et doivent donc prendre des mesures pour vérifier votre identité. Certains prestataires proposent d’autres méthodes d’identification, mais ce n’est pas obligatoire.

Pour éviter de tels problèmes, nous vous recommandons vivement de protéger vos comptes avec des mots de passe sûrs et de n’utiliser que des adresses e-mail et des numéros de téléphone valides. Si vous n’utilisez plus un compte, téléchargez vos données et supprimez-le.

Exercer vos droits en justice

Si un responsable du traitement privé (une entreprise, une association, un parti politique, etc.) ne répond pas à votre demande après un délai raisonnable ou si vous estimez que la décision du responsable du traitement de ne pas donner suite à votre demande n’est pas correcte, vous avez la possibilité de faire valoir vos droits en justice sur la base de l’art. 32, al. 2 LPD en relation avec l’art. 28 s. CC.

Dans un premier temps, vous devez déposer une demande de conciliation auprès de l’autorité de conciliation du tribunal de district ou d’arrondissement de votre lieu de résidence ou du lieu de résidence/siège social du responsable du traitement. Cette démarche peut être effectuée oralement sur place ou par écrit.

Renseignez-vous sur les formalités par téléphone ou sur le site Internet du tribunal compétent. Lors de l’audience de conciliation, on tente d’abord de parvenir à un accord entre les parties.

En cas d’échec de la conciliation, vous recevrez une autorisation de procéder et pourrez intenter une action auprès du tribunal civil. Vous pouvez faire appel à un avocat ou une avocate, mais ce n’est pas obligatoire. Pour les litiges relevant de la loi sur la protection des données, aucune avance de frais n’est exigée et aucun émolument n’est perçu. La gratuité ne s’applique toutefois pas aux éventuels frais de représentation (honoraires d’avocat)..

Il convient de noter qu’en cas de litige concernant l’exercice du droit d’accès, le tribunal applique une procédure simplifiée qui est à la fois plus rapide et moins coûteuse qu’une procédure ordinaire (art. 243, al. 2, let. d CPC).

Exercer vos droits auprès d’un organe fédéral

Si le responsable du traitement est un organe fédéral, celui-ci doit répondre à votre demande (droit d’accès, d’opposition, d’effacement, etc. Cf. art. 41 LPD) par une décision formelle. Celle-ci comprend une indication des voies de recours, c’est-à-dire des informations sur la manière dont vous pouvez contester la décision et le délai dans lequel vous devez le faire.

Si l’organe fédéral ne rend pas de décision, vous pouvez en exiger une.

Si vous souhaitez la contester, vous devez généralement déposer un recours auprès de l’autorité compétente dans un délai de 30 jours. Les modalités de contestation et l’autorité compétente peuvent toutefois varier selon le domaine. Ces informations sont précisées dans l’indication des voies de recours. La procédure de recours est régie par la loi sur la procédure administrative (PA).

Il convient de noter que la procédure de recours nécessite généralement le versement d’une avance, mais que celle-ci est remboursée en cas de gain de cause.

Déposer une dénonciation auprès du PFPDT

Si un responsable du traitement privé ou un organe fédéral ne répond pas à votre demande après un délai raisonnable ou si vous estimez que la décision de ne pas donner suite à votre demande n’est pas correcte, vous avez la possibilité de déposer une dénonciation auprès du PFPDT.

En cas de violation importante des règles de protection des données, le PFPDT peut intervenir auprès du responsable du traitement.