A savoir

Traitement de données personnelles

Le traitement des données personnelles doit respecter les différents principes en matière de protection des données.

 

Un traitement au sens de la LIPAD comprend toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, à savoir notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données (art. 4 let. e LIPAD).

Quelques exemples de traitement :

  • archiver le dossier d’un-e collaborateur-trice à la retraite ;
  • communiquer des informations sur un-e étudiant-e à un tiers ;
  • détruire un fichier de données personnelles.

L’UNIGE peut confier le traitement de données personnelles à un tiers, à savoir à une personne physique ou morale externe, à la condition qu’aucune obligation légale ou contractuelle de garder le secret ne l’interdise (art. 13A al. 1 RIPAD). Elle demeure néanamoins responsable des données personnelles qu'elle fait traiter au même titre que si elle les traitait elle même (art. 13A al. 2 RIPAD).

Il est alors nécessaire de conclure au nom de l’UNIGE un contrat de sous-traitance avec ledit tiers, fixant les modalités et conditions de la sous-traitance et prévoyant pour chaque étape du traitement le respect des prescriptions légales applicables (sécurité des données, confidentialité, destruction, etc.). Le contrat doit aussi prévoir la possibilité pour l’UNIGE d’effectuer des audits sur le site du sous-traitant (art. 13A al. 3 RIPAD). Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en cascade) n'est possible qu'avec l'accord préalable écrit de l'institution et moyennant le respect, à chaque niveau de substitution, de toutes les prescriptions légales (art. 13A al. 4 RIPAD).

Si la sous-traitance envisagée implique un traitement des données personnelles à l’étranger, il convient de s’assurer au préalable que la législation en matière de protection des données personnelles du pays concerné assure un niveau de protection adéquat. Pour effectuer ce contrôle, il suffit de consulter la liste des pays dont la législation offre les garanties nécessaires, publiée sur le site du PFPDT (art.13A al. 5 et 6 RIPAD)

Est responsable de traitement (data controller) la personne qui définit les finalités et les moyens du traitement ; est sous-traitant (data processor) la personne qui traite les données à caractère personnel pour le compte du responsable de traitement.

Par exemple, si vous choisissez une agence digitale pour gérer votre site web et votre marketing web, alors vous êtes le responsable de traitement et l’agence web votre sous-traitant.

Une analyse d’impact relative à la protection des données personnelles doit être menée pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

C'est notamment le cas lorsque au moins deux des critères suivants sont remplis:

  • Évaluation/scoring (y compris le profilage)
  • Décision automatique avec effet légal ou similaire
  • Surveillance systématique
  • Données sensibles ou hautement personnelles(santé, géolocalisation, etc.)
  • Collecte à large échelle
  • Croisement de données
  • Personnes vulnérables (patients, personnes âgées, enfants, etc.)
  • Usage innovant (utilisation d’une nouvelle technologie)
  • Exclusion du bénéfice d’un droit/contrat

La communication de données personnelles est le fait de rendre accessibles des données personnelles ou un document, p.ex en autorisant leur consultation, en les transmettant ou en les diffusant (art. 4 let. f LIPAD). Une Fiche-info du PPDT clarifie l'examen qui doit intervenir avant toute communication de données personnelles.

La LIPAD distingue 4 situations, selon que la communication est demandée : (art. 39 LIPAD):

  • par un autre service ou une autre structure de l’UNIGE ou par une autre institution publique soumise à la LIPAD (p.ex: les HUG);
  • par une une corporation ou par un établissement de droit public suisse non soumis à la LIPAD (p.ex: une université suisse);
  • par une corporation ou un établissement de droit public étranger (p.ex: une université allemande);
  • par une tierce personne de droit privé (p.ex : une personne physique, une fondation de droit suisse).

Les conditions pour être autorisé-es à communiquer des données personnelles sont les suivantes :

1) Au sein de l’UNIGE ou à une autre institution publique soumise à la LIPAD (art. 39 al. 1 à 3 LIPAD)

La communication n’est possible que si:

  • le/la requérant-e démontre que le traitement qu’il/elle entend faire des données satisfait aux principes applicables à la protection des données selon la LIPAD et
  • cette communication ne doit pas être contraire à une loi ou un règlement.

Lorsque cette communication ne résulte pas explicitement d’une loi ou d’un règlement, il convient, une fois la communication effectuée, d’en informer le/la responsable LIPAD de l’UNIGE (pdt(at)unige.ch).

2) A une corporation ou un établissement de droit public suisse non soumis à la LIPAD (art. 39 al. 4 et 5 LIPAD)

La communication n’est possible que si:

  • la corporation ou l’établissement de droit public suisse démontre que le traitement qu’elle/il entend faire des données sollicitées satisfait à des exigences légales assurant un niveau de protection adéquat de ces données et
  • la communication des données considérées n’est pas contraire à une loi ou un règlement.

Lorsque cette communication ne résulte pas explicitement d’une loi ou d’un règlement, il convient, avant la communication, d’en informer le/la responsable LIPAD de l’UNIGE (pdt(at)unige.ch).

3) A une corporation ou un établissement de droit public étranger (art. 39 al. 6 à 8 LIPAD)

La communication n’est possible que si:

  • la corporation ou l’établissement de droit public étranger démontre que le traitement qu’elle/il entend faire des données sollicitées satisfait à des exigences légales assurant un niveau de protection de ces données équivalant aux garanties offertes par la présente loi et
  • la communication des données considérées n’est pas contraire à une loi ou un règlement.

Si le niveau de protection des données mentionné dans la première condition n’est pas garanti, la communication n'est possible que si elle n’est pas contraire à une loi ou un règlement et si, alternativement :
a) elle intervient avec le consentement explicite, libre et éclairé de la personne concernée ou dans son intérêt manifeste;

b) elle est dictée par un intérêt public important manifestement prépondérant reconnu par l’Université de Genève et que la corporation ou l’établissement de droit public étranger fournit des garanties fiables suffisantes quant au respect des droits fondamentaux de la personne concernée;

c) le droit fédéral ou un traité international le prévoit.

Dans tous les cas, l’UNIGE doit consulter, par l’intermédiaire de son/sa responsable LIPAD (pdt(at)unige.ch), le Préposé cantonal à la protection des données et à la transparence avant toute communication (PPDT).

4) A une tierce personne de droit privé (art. 39 al. 9 à 12 LIPAD)

La communication n’est possible que si:

  • une loi ou un règlement le prévoit explicitement ou
  • un intérêt privé digne de protection de la tierce personne de droit privé le justifie sans qu’un intérêt prépondérant des personnes concernées (c’est-à-dire des personnes dont les données personnelles sont traitées) ne s’y oppose.

Dans ce cas, l’Université de Genève doit consulter les personnes concernées avant toute communication, à moins que cela n’implique un travail disproportionné (p.ex : si les personnes concernées sont sans résidence ou domicile connus). A défaut d’avoir pu recueillir cette détermination, ou en cas d’opposition d’une personne consultée, l’UNIGE doit requérir, par l’intermédiaire de son/sa responsable LIPAD (pdt(at)unige.ch), le préavis du Préposé cantonal à la protection des données et à la transparence (PPDT).

A noter :

  • Lorsque l’Université de Genève fait appel à un mandataire ou à un prestataire de service par contrat de droit privé ou public (p.ex: à un consultant pour réaliser une expertise), nous sommes dans un cas de sous-traitance et non de communication;
  • Lorsque les données personnelles concernent une personne décédée, des conditions additionnelles sont prévues pour la communication de leurs données à des proches (art. 48 LIPAD).

En principe, les données personnelles doivent être détruites ou anonymisées dès que leur conservation n’est plus nécessaire aux fins desquelles elles ont été collectées, sauf si leur conservation est requise par une autre loi (par exemple, loi sur archives publiques, loi sur la santé, etc.) (art. 40 al. 1 LIPAD)

 

Dans le cadre de l'accomplissement de ses tâches légales, l'UNIGE est en droit de traiter des données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d'évaluation de politiques publiques, pour son propre compte ou celui d’une autre institution publique en ayant la mission légale, aux conditions cumulatives que (art. 41 al. 1 LIPAD)

  • a) le traitement de données personnelles soit nécessaire à ces fins;
  • b) ces données soient détruites ou rendues anonymes dès que le but du traitement spécifique visé le permet;
  • c) les données collectées à ces seules fins ne soient communiquées à aucune autre institution, entité ou personne;
  • d) les résultats de ce traitement ne soient le cas échéant publiés que sous une forme excluant la possibilité d'identifier les personnes concernées;
  • e) le préposé cantonal en soit préalablement informé avec les précisions utiles sur le traitement qu’il est prévu de faire des données personnelles et sa nécessité;
  • f) le traitement portant sur des données personnelles sensibles ou impliquantl’établissement de profils de la personnalité fasse préalablement l’objet d’une autorisation du Conseil d’Etat, qui doit requérir le préavis du préposé cantonal et assortir au besoin sa décision de charges ou conditions.