Retour 
Protection des données
La protection des données a pour but de protéger les droits de la personnalité et la vie privée. Qui traite des données personnelles est tenu d’agir dans le respect du droit et du principe de proportionnalité. La protection des données octroie par ailleurs à l’individu des droits applicables. Une personne a notamment le droit de savoir quelles données la concernant sont traitées. Dans certaines conditions, on peut aussi exiger la rectification, le blocage ou la suppression de données. Certaines données personnelles font en outre l’objet d’une protection plus stricte du fait que, dans leur cas, la violation des droits de la personnalité peut avoir de graves conséquences.
Le présent chapitre explique qui est soumis aux lois sur la protection des données (il y a une loi fédérale et des lois cantonales) et à quoi il faut être attentif lors du traitement de données personnelles courantes et de données personnelles particulièrement sensibles. Nous exposons aussi comment réagir à un traitement de données illicite et comment faire usage du droit d’accès et du droit de consulter les dossiers. Le chapitre se termine en abordant les particularités du droit des assurances sociales dans ce domaine.
Les organes de la Confédération tout comme les personnes privées sont soumis à la Loi fédérale sur la protection des données. Dans le domaine des assurances obligatoires, les assurances-maladie et les assurances-accidents sont considérées comme les organes exécutifs de l’assurance-maladie et de l’assurance-accidents obligatoires. Ces organes sont donc soumis à la Loi fédérale sur la protection des données. Dans le domaine des assurances complémentaires, les assurances-maladie sont soumis à la Loi fédérale sur la protection des données à titre de « per-sonnes privées ».
Sont soumis aux lois cantonales sur la protection des données, les organes publics des cantons et des communes (par ex. offices cantonaux AI) ainsi que les organismes responsables privés qui sont chargés d’une mission d’intérêt public (par ex. les organisations d’aide et de soins à domicile, les homes pour personnes âgées).
A quoi faut-il être attentif lors du traitement de données person-nelles courantes et de données personnelles particulières?
La protection des données règle le traitement des données. Que signifie exactement le « traitement » de données ? La notion de « traitement » recouvre tous les usages que l’on peut faire des données : le fait de se les procurer, de les conserver, de les utiliser, de les modifier, de les diffuser, de les archiver et de les détruire.
La protection des données fait la différence entre les données personnelles courantes et les données personnelles particulières. Les données personnelles particulières sont des données sensibles, à savoir des informations sur les opinions religieuses, philosophiques ou politiques, la santé, la sphère intime, l’origine ethnique, les mesures d’aide sociale ainsi que les poursuites et sanctions pénales. Du fait qu’elles sont liées à des risques élevés pour les droits de la personnalité, ces données personnelles sont protégées plus strictement (par ex. par le secret médical).
Les organes publics n’ont le droit de traiter des données personnelles que s’il existe une base légale pour cette activité. Pour le traitement de données courantes, une ordonnance suffit, pour les données personnelles sensibles, une loi approuvée par le Parlement est nécessaire. En l’absence de base légale, les données ne peuvent être traitées et communiquées qu’avec le consentement explicite de la personne concernée. Par ailleurs, le traitement des données doit être conforme au principe de proportionnalité, en d’autres termes, il doit être approprié et nécessaire pour atteindre le but visé et on ne doit pas pouvoir recourir à un autre moyen moins rigoureux qui serait tout aussi adéquat. Les organes publics doivent aussi s’assurer de l’exactitude des données personnelles et les protéger de manière appropriée.
En traitant des données personnelles, les personnes privées doivent veiller à ne pas commettre d’atteinte illicite à la personnalité. En d’autres termes, elles doivent elles aussi traiter les données en respectant le principe de proportionnalité, s’assurer de l’exactitude des données personnelles et protéger les données de manière appropriée. En outre, le traitement des données ne doit pas s’effectuer contre la volonté explicite d’une personne. Les données personnelles sensibles ne peuvent être communiquées à des tiers que si la personne concernée y a consenti, s’il existe une base légale ou encore un intérêt privé ou public prépondérant.
Comment recourir contre une atteinte à la protection des données?
Un certain nombre de personnes sont soumises au secret professionnel (par ex. secret médical) ou traitent des données sensibles dans leur activité professionnelle. Si l’une d’entre elles communique des données à des tiers sans base légale ou sans consentement explicite des intéressés, elle s’expose à des sanctions pénales.
En cas de traitement des données illicite, la personne concernée peut exiger que le traitement des données cesse, que son caractère illicite soit constaté et que les conséquences soient éliminées. Par ailleurs, elle peut aussi demander que les données soient détruites ou rectifiées ou que la communication à des tiers soit bloquée. Elle peut également exiger la publication de décisions ou leur communication à des tiers. Dans certaines conditions, la personne a droit à des dommages-intérêts et à une réparation morale. Faire valoir ses droits à l’égard des personnes privées relève de la procédure civile. A l’égard des organes publics c’est la procédure administrative qui s’applique.
Exemple
Madame M. constate que le loueur de son appartement a informé les autres locataires qu’elle touchait l’aide sociale. Comme Madame M. n’avait pas donné expressément son accord pour qu’il communique cette information, elle peut porter plainte auprès du tribunal civil compétent pour atteinte à la personnalité.
Exemple
En consultant le dossier que l’AI a constitué à son sujet, Monsieur A. découvre que l’AI, dans un document interne, mentionne une tumeur au cerveau, ce qui est faux. Sur ce, Monsieur A. demande que le dossier de l’AI soit corrigé. Comme, de fait, Monsieur A. n’a jamais été atteint d’une tumeur au cerveau, l’AI corrige le dossier. Si l’AI se refusait à rectifier les données, Monsieur A. pourrait demander une décision sujette à recours et procéder par la voie judiciaire.
Les données concernant la santé peuvent être communiquées par un médecin désigné par la personne concernée. Le refus du droit d’accès n’est possible que si cette éventualité est prévue par la loi ou si les intérêts prépondérants de tiers l’exigent. Si une personne constate que les informations figurant dans son dossier ne sont pas correctes, elle peut demander leur rectification ou leur suppression.
Exemple
Dans le cadre d’une procédure devant aboutir à la constitution d’une curatelle, Monsieur T. désire consulter le dossier des autorités de la protection de l’adulte. Les autorités refusent à Monsieur T. la possibilité de consulter directement l’expertise psychiatrique qui se trouve dans le dossier, tout en lui proposant de communiquer l’expertise au psychiatre traitant et de lui permettre ainsi d’en prendre connaissance. Dans la mesure où la consultation directe du dossier pourrait faire naître un risque de suicide, la procédure suivie par l’autorité de protection de l’adulte est correcte.
Comme dans le cas des atteintes à la protection des données, la démarche consistant à faire valoir le droit d’accès à l’égard de personnes privées relève de la procédure de droit civil. Quand il s’agit d’organes publics, elle relève du droit administratif.
Exemple
Madame N. désire consulter le dossier constitué à son sujet par son assurance responsabilité civile privée. L’assurance responsabilité civile lui refuse partiellement l’accès au dossier, en motivant son refus par le fait que des intérêts prépondérants de tiers s’y opposent. Madame N. peut essayer de défendre son droit d’accès auprès du tribunal civil compétent en déposant une demande.
Exemple
Monsieur R., qui habite dans un home municipal pour personnes âgées, désire consulter le dossier constitué à son sujet. Le home ne lui accorde qu’un droit d’accès partiel et motive cette restriction également par l’existence d’intérêts prépondérants de tiers. Monsieur R. peut demander une décision sujette à recours et interjeter recours.
Particularités du droit des assurances sociales
La personne qui dépose une demande de prestations auprès d’une assurance sociale (par ex. AI, assurance-accidents, service des prestations complémentaires), doit exposer sa situation d’une manière qui frôle les limites du respect de la sphère privée. Lorsque l’intéressé signe le formulaire d’annonce, il donne en outre pouvoir à toutes les personnes impliquées (en particulier aux employeurs, médecins, représentants des assurances et services publics) de communiquer les renseignements nécessaires à l’examen du droit aux prestations. Ces personnes sont donc tenues de fournir des renseignements. En signant une demande de prestations, le requérant signe en quelque sorte une procuration générale, car il ne peut pas savoir à l’avance à quelles personnes et à quels services l’assurance sociale va effectivement s’adresser.
En revanche, le requérant a un intérêt digne d’être protégé à ce que les données rassemblées à son sujet ne soient pas communiquées indistinctement à des tiers. La Loi fédérale sur la partie générale du droit des assurances (LPGA) prévoit donc une obligation de garder le secret pour les personnes qui participent à l’exécution des assurances sociales. Cette obligation signifie que les assurances sont tenues de garder le secret à l’égard des tiers (par ex. les employeurs).
Exemple
Depuis un accident, Monsieur S. n’est plus en mesure d’exercer son activité professionnelle. Il dépose une demande de rente auprès de l’AI. En signant le formulaire d’annonce, Monsieur S. donne pouvoir à son employeur, à ses médecins et aussi à l’assurance-accidents de fournir des renseignements à l’AI sur demande. En revanche, du fait de l’obligation de garder le secret, l’AI n’est pas autorisée à fournir de nouveaux renseignements à l’employeur.
Une exception existe à l’obligation générale de garder le secret : il s’agit de l’assistance administrative. Elle permet aux assurances sociales de solliciter auprès des autorités administratives et judiciaires ou auprès d’autres assurances sociales, par une demande écrite et motivée, les données qui sont nécessaires pour faire valoir une prétention.
Depuis le 1.1.2022, cette exception fait l’objet d’une réglementation spéciale sur les enregistrements sonores d’entretiens d’expertise médicale conservés au dossier : ces enregistrements ne peuvent être écoutés que par la personne assurée elle-même, par les assureurs ayant confié le mandat (p. ex. l’office AI ayant ordonné l’expertise), par les autorités de décision (p. ex. tribunal cantonal des assurances en cas de procédure de recours), et par la Commission fédérale d’assurance qualité des expertises médicales. Les assurances sociales qui ne sont pas impliquées dans la procédure concrète ne jouissent donc pas du droit d’écoute.
- Champ d’application de la Loi fédérale sur la protection des données :
art. 2 et 3 LPD - Domaine d’application des lois cantonales sur la protection des données : lois cantonales sur la protection des données
- Données sensibles: art. 5, let. c LPD, lois cantonales sur la protection des données
- Traitement de données : art. 5, let. e et 6-13 LPD, art. 7 OPDo lois cantonales sur la protection des données
- Traitement de données par les organes de la Confédération :
art. 33-42 LPD, art. 25-28 OPDo - Traitement de données par des personnes privées :
art. 30-32 LPD, art. 23 et 24 OPDo - Traitement de données par les organes publics des cantons et des communes et par des organismes responsables privés ayant des tâches publiques : lois cantonales sur la protection des données
- Dispositions pénales : art. 60-66 LPD, lois cantonales sur la protection des données
- Possibilité de faire valoir un traitement illicite de données par des personnes privées :
art. 28, 28a et 28l (lettre l minuscule) CC - Possibilité de faire valoir une atteinte à la protection des données par des organes publics : Loi fédérale sur la procédure administrative, lois cantonales sur la procédure administrative
- Droit d’accès : art. 25-29 LPD, lois cantonales sur la protection des données
- Consultation du dossier dans le droit des assurances sociales :
art. 47 et 48 LPGA, art. 8-9b OPGA - Droit d’écouter l’enregistrement sonore des entretiens médicaux :
art. 7l OPGA - Autorisation à la communication de renseignements dans le droit des assurances sociales :
art. 28 LPGA - Obligation de garder le secret dans le droit des assurances sociales :
art. 33 LPGA - Aide administrative dans le droit des assurances sociales :
art. 32 LPGA
imprimer la page