Protection des données

La protection des données a pour but de protéger les droits de la personnalité et la vie privée. Qui traite des données personnelles est tenu d’agir dans le respect du droit et du principe de proportionnalité. La protection des données octroie par ailleurs à l’individu des droits applicables. Une personne a notamment le droit de savoir quelles données la concernant sont traitées. Dans certaines conditions, on peut aussi exiger la rectification, le blocage ou la suppression de données. Certaines données personnelles font en outre l’objet d’une protection plus stricte du fait que, dans leur cas, la violation des droits de la personnalité peut avoir de graves conséquences.

Le présent chapitre explique qui est soumis aux lois sur la protection des données (il y a une loi fédérale et des lois cantonales) et à quoi il faut être attentif lors du traitement de données personnelles courantes et de données personnelles particulièrement sensibles. Nous exposons aussi comment réagir à un traitement de données illicite et comment faire usage du droit d’accès et du droit de consulter les dossiers. Le chapitre se termine en abordant les particularités du droit des assurances sociales dans ce domaine.


    Qui est soumis aux lois sur la protection des données?

    En Suisse, il existe aussi bien une Loi fédérale sur la protection des données (LPD) que des lois cantonales dans tous les cantons.

    Les organes de la Confédération tout comme les personnes privées sont soumis à la Loi fédérale sur la protection des données. Dans le domaine des assurances obligatoires, les assurances-maladie et les assurances-accidents sont considérées comme les organes exécutifs de l’assurance-maladie et de l’assurance-accidents obligatoires. Ces organes sont donc soumis à la Loi fédérale sur la protection des données. Dans le domaine des assurances complémentaires, les assurances-maladie sont soumis à la Loi fédérale sur la protection des données à titre de « per-sonnes privées ».

    Sont soumis aux lois cantonales sur la protection des données, les organes publics des cantons et des communes (par ex. offices cantonaux AI) ainsi que les organismes responsables privés qui sont chargés d’une mission d’intérêt public (par ex. les organisations d’aide et de soins à domicile, les homes pour personnes âgées).

    A quoi faut-il être attentif lors du traitement de données person-nelles courantes et de données personnelles particulières?

    La protection des données règle le traitement des données. Que signifie exactement le « traitement » de données ? La notion de « traitement » recouvre tous les usages que l’on peut faire des données : le fait de se les procurer, de les conserver, de les utiliser, de les modifier, de les diffuser, de les archiver et de les détruire.

    La protection des données fait la différence entre les données personnelles courantes et les données personnelles particulières. Les données personnelles particulières sont des données sensibles, à savoir des informations sur les opinions religieuses, philosophiques ou politiques, la santé, la sphère intime, l’origine ethnique, les mesures d’aide sociale ainsi que les poursuites et sanctions pénales. Du fait qu’elles sont liées à des risques élevés pour les droits de la personnalité, ces données personnelles sont protégées plus strictement (par ex. par le secret médical).

    Les organes publics n’ont le droit de traiter des données personnelles que s’il existe une base légale pour cette activité. Pour le traitement de données courantes, une ordonnance suffit, pour les données personnelles sensiblesune loi approuvée par le Parlement est nécessaire. En l’absence de base légale, les données ne peuvent être traitées et communiquées qu’avec le consentement explicite de la personne concernée. Par ailleurs, le traitement des données doit être conforme au principe de proportionnalité, en d’autres termes, il doit être approprié et nécessaire pour atteindre le but visé et on ne doit pas pouvoir recourir à un autre moyen moins rigoureux qui serait tout aussi adéquat. Les organes publics doivent aussi s’assurer de l’exactitude des données personnelles et les protéger de manière appropriée.

    En traitant des données personnelles, les personnes privées doivent veiller à ne pas commettre d’atteinte illicite à la personnalité. En d’autres termes, elles doivent elles aussi traiter les données en respectant le principe de proportionnalité, s’assurer de l’exactitude des données personnelles et protéger les données de manière appropriée. En outre, le traitement des données ne doit pas s’effectuer contre la volonté explicite d’une personne. Les données personnelles sensibles ne peuvent être communiquées à des tiers que si la personne concernée y a consenti, s’il existe une base légale ou encore un intérêt privé ou public prépondérant.

    Comment recourir contre une atteinte à la protection des données?

    Un certain nombre de personnes sont soumises au secret professionnel (par ex. secret médical) ou traitent des données sensibles dans leur activité professionnelle. Si l’une d’entre elles communique des données à des tiers sans base légale ou sans consentement explicite des intéressés, elle s’expose à des sanctions pénales.

    En cas de traitement des données illicite, la personne concernée peut exiger que le traitement des données cesse, que son caractère illicite soit constaté et que les conséquences soient éliminées. Par ailleurs, elle peut aussi demander que les données soient détruites ou rectifiées ou que la communication à des tiers soit bloquée. Elle peut également exiger la publication de décisions ou leur communication à des tiers. Dans certaines conditions, la personne a droit à des dommages-intérêts et à une réparation morale. Faire valoir ses droits à l’égard des personnes privées relève de la procédure civile. A l’égard des organes publics c’est la procédure administrative qui s’applique.

    Exemple

    Madame M. constate que le loueur de son appartement a informé les autres locataires qu’elle touchait l’aide sociale. Comme Madame M. n’avait pas donné expressément son accord pour qu’il communique cette information, elle peut porter plainte auprès du tribunal civil compétent pour atteinte à la personnalité.

    Exemple

    En consultant le dossier que l’AI a constitué à son sujet, Monsieur A. découvre que l’AI, dans un document interne, mentionne une tumeur au cerveau, ce qui est faux. Sur ce, Monsieur A. demande que le dossier de l’AI soit corrigé. Comme, de fait, Monsieur A. n’a jamais été atteint d’une tumeur au cerveau, l’AI corrige le dossier. Si l’AI se refusait à rectifier les données, Monsieur A. pourrait demander une décision sujette à recours et procéder par la voie judiciaire.

    Droit d’accès et droit de consulter les dossiers

    Toute personne a le droit d’avoir accès à ses propres données personnelles. A sa demande écrite, il faut donc lui donner connaissance de toutes les données existantes, de leur origine et du but de leur traitement.

    En règle générale, la communication de ces informations est gratuite. Les données concernant la santé peuvent être communiquées par un médecin désigné par la personne concernée. Le refus du droit d’accès n’est possible que si cette éventualité est prévue par la loi ou si les intérêts prépondérants de tiers l’exigent. Si une personne constate que les informations figurant dans son dossier ne sont pas correctes, elle peut demander leur rectification ou leur suppression.

    Exemple

    Dans le cadre d’une procédure devant aboutir à la constitution d’une curatelle, Monsieur T. désire consulter le dossier des autorités de la protection de l’adulte. Les autorités refusent à Monsieur T. la possibilité de consulter directement l’expertise psychiatrique qui se trouve dans le dossier, tout en lui proposant de communiquer l’expertise au psychiatre traitant et de lui permettre ainsi d’en prendre connaissance. Dans la mesure où la consultation directe du dossier pourrait faire naître un risque de suicide, la procédure suivie par l’autorité de protection de l’adulte est correcte.

    Comme dans le cas des atteintes à la protection des données, la démarche consistant à faire valoir le droit d’accès à l’égard de personnes privées relève de la procédure de droit civil. Quand il s’agit d’organes publics, elle relève du droit administratif.

    Exemple

    Madame N. désire consulter le dossier constitué à son sujet par son assurance responsabilité civile privée. L’assurance responsabilité civile lui refuse partiellement l’accès au dossier, en motivant son refus par le fait que des intérêts prépondérants de tiers s’y opposent. Madame N. peut essayer de défendre son droit d’accès auprès du tribunal civil compétent en déposant une demande.

    Exemple

    Monsieur R., qui habite dans un home municipal pour personnes âgées, désire consulter le dossier constitué à son sujet. Le home ne lui accorde qu’un droit d’accès partiel et motive cette restriction également par l’existence d’intérêts prépondérants de tiers. Monsieur R. peut demander une décision sujette à recours et interjeter recours.

    Particularités du droit des assurances sociales

    La personne qui dépose une demande de prestations auprès d’une assurance sociale (par ex. AI, assurance-accidents, service des prestations complémentaires), doit exposer sa situation d’une manière qui frôle les limites du respect de la sphère privée. Lorsque l’intéressé signe le formulaire d’annonce, il donne en outre pouvoir à toutes les personnes impliquées (en particulier aux employeurs, médecins, représentants des assurances et services publics) de communiquer les renseignements nécessaires à l’examen du droit aux prestations. Ces personnes sont donc tenues de fournir des renseignements. En signant une demande de prestations, le requérant signe en quelque sorte une procuration générale, car il ne peut pas savoir à l’avance à quelles personnes et à quels services l’assurance sociale va effectivement s’adresser. 

    En revanche, le requérant a un intérêt digne d’être protégé à ce que les données rassemblées à son sujet ne soient pas communiquées indistinctement à des tiers. La Loi fédérale sur la partie générale du droit des assurances (LPGA) prévoit donc une obligation de garder le secret pour les personnes qui participent à l’exécution des assurances sociales. Cette obligation signifie que les assurances sont tenues de garder le secret à l’égard des tiers (par ex. les employeurs). 

    Exemple

    Depuis un accident, Monsieur S. n’est plus en mesure d’exercer son activité professionnelle. Il dépose une demande de rente auprès de l’AI. En signant le formulaire d’annonce, Monsieur S. donne pouvoir à son employeur, à ses médecins et aussi à l’assurance-accidents de fournir des renseignements à l’AI sur demande. En revanche, du fait de l’obligation de garder le secret, l’AI n’est pas autorisée à fournir de nouveaux renseignements à l’employeur.

    Une exception existe à l’obligation générale de garder le secret : il s’agit de l’assistance administrative. Elle permet aux assurances sociales de solliciter auprès des autorités administratives et judiciaires ou auprès d’autres assurances sociales, par une demande écrite et motivée, les données qui sont nécessaires pour faire valoir une prétention.

    Bases légales

    • Champ d’application de la Loi fédérale sur la protection des données :
      art. 2 LPD
    • Domaine d’application des lois cantonales sur la protection des données : lois cantonales sur la protection des données
    • Données sensibles: art. 3, let. c LPD, lois cantonales sur la protection des données
    • Traitement de données : art. 3, let. e et 4-7 LPD, lois cantonales sur la protection des données
    • Traitement de données par les organes de la Confédération :
      art. 16-25bis LPD
    • Traitement de données par des personnes privées :
      art. 12-15 LPD
    • Traitement de données par les organes publics des cantons et des communes et par des organismes responsables privés ayant des tâches publiques : lois cantonales sur la protection des données
    • Dispositions pénales : art. 34 et 35 LPD, lois cantonales sur la protection des données
    monter