Protéger ses données

Une donnée personnelle est toute information se rapportant à une physique identifiée ou identifiable. Par exemple son adresse e-mail, son domicile, ses évaluations académiques.

Une donnée sensible est une donnée personnelle particulièrement protégée car elle concerne (la liste exhaustive figure à l’art. 14 CPDT-JUNE) : 

a) Les opinions ou les activités religieuses, philosophiques, politiques ou syndicales;
b) La santé (anamnèse, diagnostic, prescription, etc.), la sphère intime, l'origine ou l'ethnie;
c) Les données biométriques et génétiques;
d) Les mesures d'aide sociale ou d'assistance;
e) Les poursuites ou sanctions pénales et administratives.

La Loi fédérale sur la protection des données (LPD) s’applique aux personnes privées (personnes physiques et entreprises) et aux organes fédéraux. Elle ne s’applique donc pas aux hautes écoles publiques de la HES-SO qui sont des institutions cantonales, et à ce titre  sont soumises à la législation cantonale sur la protection des données :

• GE : Loi sur l'information du public, l'accès aux documents et la protection des données personnelles (LIPAD)
• FR : Loi sur la protection des données (LPrD)
• JU-NE : Convention intercantonale des 8 et 9 mai 2012 relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE)
• VD : Loi sur la protection des données personnelles (LPrD)
• VS : Loi sur l’information du public, la protection des données et l’archivage (LIPDA)

Exemple : si un·e chercheur·euse est affilié·e à une des hautes écoles du canton de Genève, elle ou il sera soumis-e à la LIPAD.

Il convient de préciser que l’EHL, la manufacture et Changins, sont des institutions de droit privé, elles sont soumises à la LPD.

Dans certains projets européens, si la ou le responsable du projet est situé·e en Europe,  le RGPD s’appliquera.  Par conséquent, une institution se verra imposer les principes RGPD, même si la loi applicable est la loi cantonale.

Les lois cantonales révisées sont basées sur la LPD du 25 septembre 2020 et sur le RGPD. Pour les cantons n’ayant pas encore révisé leur loi de protection des données, c’est une bonne pratique d’appliquer les principes figurant dans la LPD ou dans le RGPD, même si la loi en vigueur reste applicable.

L’entreprise privée suisse sera soumise à la LPD. L’institution cantonale sera soumise à la loi cantonale de son siège. Il faudra déterminer qui des deux est la ou le responsable du traitement, et notamment si l’institution cantonale est un sous-traitant de l’entreprise privée ou un·e responsable du traitement.

La Loi relative à la recherche sur l’être humain (LRH) établit les principes fondamentaux qui doivent être observés dans les projets de recherche sur l’être humain. Elle s’applique en priorité, et au surplus c’est la législation idoine sur la protection des données qui s’applique. La LRH s’applique à la recherche sur les maladies humaines et sur la structure et le fonctionnement du corps humain, pratiquée […] données personnelles liées à la santé (art. 2 al. 1 LRH). Les données de santé sont les informations concernant une personne déterminée ou déterminable qui ont un lien avec son état de santé ou sa maladie, données génétiques comprises (art. 3 let. f LRH).

Selon Art. 14 let. f Convention JUNE sur la protection des données et la transparence des 8 et 9 mai 2012, la ou le responsable du traitement est « l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données ». Cette notion est reprise par d’autres lois cantonales. Par exemple, Art. 3 al. 6 de la LIPDA (Loi valaisanne sur l’information du public, la protection des données et l’archivage du 9 octobre 2008) précise que la ou le responsable du traitement est : « l'autorité, le service ou tout autre organisme public ou privé qui, seul ou conjointement avec d’autres, dans l'accomplissement de ses tâches légales, détermine les finalités et les moyens du traitement de données personnelles.» En d’autres termes, c’est l’institution qui sera généralement la responsable du traitement au sens juridique. Dans le cas par exemple d’une violation des données, ce sera l’institution qui assumera la responsabilité juridique. Par contre, l’institution délèguera aux scientifiques toutes les tâches de la ou du responsable du traitement. Cette délégation pourra être décrite par exemple dans une politique interne de protection des données. Notons par ailleurs que la notion de propriété intellectuelle des données n’intervient pas dans la responsabilité.

On parle de sous-traitance lorsque l’entreprise principale (responsable du traitement) fait réaliser par une entreprise tierce tout ou partie des travaux ou services qu’elle s’est engagée à fournir à ses clients. La ou le responsable du traitement ne peut pas se décharger de sa responsabilité sur le sous-traitant : elle ou il doit notamment s’assurer que celle-ci ou celui-ci respecte la sécurité des données. Certaines législations cantonales exigent un contrat de sous-traitance, ce qui reste une bonne pratique. Si on envisage de communiquer des données personnelles à l’étranger, il faut s’assurer que le pays est en adéquation selon l’annexe 1 de l’OPDo.

Si plusieurs responsables du traitement décident ensemble de la finalité du traitement et des moyens mis en œuvre, on peut parler de responsables conjoints du traitement. Dans les autres cas, on aura un·e seul·e responsable du traitement, qui devra s’assurer que tous les principes de protection des données sont respectés, notamment la sécurité de l’information assurée par les équipes IT. Le responsable de traitement est l’institution. Celle-ci délègue des compétences en matière de traitement aux collaborateurs-trices, qui sont des responsables de traitement délégués. L’archivage constitue un traitement spécifique. Si l’archivage est une des opérations dans le cadre de la recherche, on pourra considérer que la ou le chercheur·euse en est le responsable du traitement délégué. S’il s’agit en revanche d’un processus global au sein d’une institution, un archiviste pourra en être la ou le responsable du traitement délégué.

L’établissement d’un contrat de sous-traitance est une bonne pratique. Certaines législations cantonales l’imposent. Ce contrat permet d’exiger notamment que la ou le sous-traitant·e mette en place des mesures de sécurité et qu’il ne traite pas les données confiées autrement que ce qui est convenu.

Le registre des activités de traitement est une obligation légale qui va dépendre de la loi applicable, et notamment du canton dans lequel se trouve l'établissement. Certaines lois cantonales imposent la tenue du registre des activités de traitement qui consiste à recenser tous les traitements de données personnelles. S'il existe un·e DPO (Data protection Officer ou délégué à la protection des données), c'est généralement elle ou lui qui se chargera de consolider les informations fournies par le·la chercheur·euse dans le registre. Tout cela relève de l'organisation interne de l'établissement (responsable du traitement) en matière de protection des données. Le·la chercheur·euse devra fournir les informations concernant le traitement qu'il effectuera avec son projet. On pourra généralement définir que chaque projet traitant des données personnelles correspond à un traitement.

En règle générale, il n'y a pas d'atteinte à la personnalité lorsque la personne concernée a rendu les données personnelles accessibles à tout un chacun. Toutefois, il s’agit de s’assurer qu’elle ne s'est pas opposée expressément au traitement. Il faudra analyser le but dans lequel les données personnelles avaient été mises à disposition publiquement et s’assurer que la nouvelle utilisation prévue soit compatible avec ce but. De manière générale, il faudra renoncer aux traitements auxquels les personnes ne pouvaient raisonnablement pas s’attendre ou alors demander leur consentement.

En droit suisse, la personnalité et donc sa protection s’éteint avec la mort de la personne.

La LPD ne s’applique donc pas aux données d’une personne décédée.

Malgré les différents comportements qui peuvent constituer des atteintes à la personnalité, il y a divers motifs justificatifs de ces atteintes. Cela veut dire que pour certains motifs, la licéité peut être levée. C'est par exemple le cas de cet article 31 al. 2 let. f LPD, les intérêts prépondérants de la ou du responsable du traitement entrent notamment en considération lorsque les données personnelles recueillies concernent une personnalité publique et se réfèrent à son activité publique. Il faudra mettre en balance l’intérêt de la ou du responsable de traitement avec la protection de la personne concernée.

On pourra partir du principe que les personnes concernées ont donné leur consentement pour la publication dans les archives publiques, ou alors qu’il s’agit d’une obligation légale. On peut réutiliser ces données, ce qui constituera un nouveau traitement pour lequel il faudra respecter les principes de protection des données.

Le consentement n’est pas toujours requis.  C’est un motif justificatif qui permet notamment de justifier une atteinte illicite à la personnalité.

Idéalement, il faudrait anonymiser les données dès que possible. Comme l’anonymisation est souvent synonyme de perte de valeur des données pour la ou le chercheur·euse, on lui préférera la pseudonymisation. Celle-ci consiste à remplacer les données identifiantes par un code et stocker la correspondance entre code et données identifiantes dans une table de correspondance bien protégée et accessible à peu de personnes. Il existe de multiples possibilités de sécuriser les données personnelles. On citera notamment le chiffrement symétrique ou asymétrique.

Lorsque le consentement de la personne concernée est requis, celle-ci doit pouvoir s’exprimer librement et après avoir été informée. Un consentement exprès (exprimé clairement et de façon non équivoque, oralement ou par écrit) est exigé lorsqu’on traite des données sensibles ou que l’on fait du profilage à risque élevé. Si un consentement est demandé, la personne concernée devra également pouvoir le retirer. La forme écrite ou électronique du consentement s’impose donc afin de permettre ce suivi du consentement. Une personne concernée devra donc pouvoir retirer son consentement et il faudra mettre en œuvre un processus qui permettra de gérer cette demande même si le chercheur a quitté l’institution. D’un point de vue juridique, la responsabilité de gérer ce consentement incombera à l’institution.

La LPD comme les lois cantonales mentionnent des dispositions spécifiques pour la communication (transfert) de données à l’étranger. En principe, il faudra s’assurer que le pays concerné est en adéquation. L’annexe 1 de l’OPDo donne une liste des Etats en adéquation.

Il faut déterminer le siège juridique de l’entreprise qui gère la plateforme data repository. Si l’entreprise a son siège aux USA, elle est soumise à la législation américaine (Cloud Act) qui autorise les instances de justice à accéder aux données des clients de l’entreprise. Avant de

choisir de déposer vos données aux USA, il faudra faire une analyse de risque et notamment renoncer à transférer des données sensibles.