A savoir
Droits de la personne
Le droit d'accès à ses propres données est la clé qui permet à la personne concernée de faire valoir en toute connaissance de cause les différents droits que lui octroie la loi. L'UNIGE et plus spécifiquement les responsables des traitements de données personnelles sont obligées de répondre aux demandes des personnes concernées voire aux plaintes si ces personnes estiment que leurs droits ont été violés.
Des informations complémentaires sont fournies par le PPDT dans la Fiche-info sur le droit d'accès et la Fiche-info sur le droit à l'oubli.
Au sens de la LIPAD (art. 44 ss)
La version actuellement en vigueur de la LIPAD ne prescrit pas explicitement les informations que le responsable du traitement doit fournir à la personne concernée (contrairement à la nouvelle LPD et au RGPD).
Néanmoins, la déclaration des fichiers de l'UNIGE contenant des données personnelles dans le Catalogue des fichiers (art. 43 LIPAD), qui est public, fournit les précisions utiles sur les informations traitées, la base légale de leur traitement, leur état de validité ou la fréquence de leur mise à jour et de leur épuration, et leur accessibilité.
Par ailleurs, la collecte de données personnelles doit être faite de manière reconnaissable pour la personne concernée (art. 38 LIPAD).
Toute personne justifiant de son identité peut demander par écrit si des données la concernant sont traitées par l'UNIGE. Cette demande est à adresser par courriel à pdt(at)unige.ch.
Sous réserve d'un intérêt public prépondérant, l'UNIGE doit lui communiquer toutes les données la concernant contenues dans un fichier, y compris les informations disponibles sur l'origine de ses données.
NB: un fichier est défini comme tout système destiné à réunir, sur quelque support que ce soit, des données personnelles d'un segment de population déterminé, et structuré de manière à permettre de relier les informations recensées aux personnes qu'elles concernent.
Toute personne peut, à propos des données la concernant, exiger que l'UNIGE:
a) s’abstienne de procéder à un traitement illicite;
b) mette fin à un traitement illicite et en supprime les effets;
c) constate le caractère illicite du traitement;
d) s’abstienne de les communiquer à des personnes de droit privé à des fins d’exploitation commerciale.
Sauf disposition légale contraire, elle est en particulier en droit d’obtenir, à propos des données la concernant, que l'UNIGE:
a) détruise celles qui ne sont pas pertinentes ou nécessaires;
b) rectifie, complète ou mette à jour celles qui sont respectivement inexactes, incomplètes ou dépassées;
c) fasse figurer, en regard de celles dont ni l’exactitude ni l’inexactitude ne peuvent être prouvées, une mention appropriée, à transmettre également lors de leur communication éventuelle;
d) s'abstienne de communiquer celles qui ne répondent pas aux exigences de qualité en termes de pertinence, nécessité, exactitude;
e) publie sa décision prise suite à la requête ou la communique aux institutions publiques ou tiers ayant reçu de la part de l'UNIGE des données ne répondant pas aux exigences de qualité.
Au sens du RGPD (art. 13 ss)
Le RGPD prescrit les informations à fournir lorsque les données à caractère personnel sont collectées (art. 13) ou pas (art. 14) auprès de la personne concernée. Pour l'essentiel, le responsable du traitement doit fournir:
- l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
- le cas échéant, les coordonnées du délégué à la protection des données;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
- les catégories de données à caractère personnel concernées (lorsque les données ne sont pas collectées auprès de la personne concernée);
- les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
- le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission, ou si nécessaire la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
Le responsable de traitement fournit de surcroît les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:
- la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
- l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
- lorsque le traitement est fondé sur le consentement, l'existence du droit de le retirer à tout moment;
- le droit d'introduire une réclamation auprès d'une autorité de contrôle;
- lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, la source d'où elles proviennent et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;
- l'existence d'une prise de décision automatisée, y compris un profilage, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:
a) les finalités du traitement;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées, en vertu de l'article 46, en ce qui concerne ce transfert.
Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement […]
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, et il n'existe pas d'autre fondement juridique au traitement;
c) la personne concernée s'oppose au traitement en vertu de l'article 21;
d) les données à caractère personnel ont fait l'objet d'un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.
La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement lorsque l'un des éléments suivants s'applique:
a) l'exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données à caractère personnel;
b) le traitement est illicite et la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;
c) le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice;
d) la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
On peut encore citer le droit à la portabilité des données (art. 20), le droit d'opposition (art. 21), le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage (art. 22).