Données personnelles & sensibles

Les données personnelles en droit suisse

En Suisse, le traitement des données personnelles et sensibles est soumis à la Loi fédérale sur la Protection des Données (LPD) ainsi qu'aux lois cantonales (Loi cantonale vaudoise sur la protection des données personnelles - LPrD).

La loi définit les données personnelles comme « toutes les informations qui se rapportent à une personne identifiée ou identifiable ».

Les données personnelles peuvent contenir des identifiants directs (nom, date de naissance, adresse etc.) ou indirects (susceptibles de révéler l'identité d'une personne lorsqu'ils sont regroupés).

Les données sensibles sont des données personnelles portant sur :

  1. les opinions ou activités religieuses, philosophiques, politiques ou syndicales,
  2. la santé, la sphère intime ou l'appartenance à une race,
  3. des mesures d'aide sociale,
  4. des poursuites ou sanctions pénales et administratives.

Un profil de personnalité est quant à lui un assemblage de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique (art.3, lit.d, LPD).

La collecte des données personnelles et sensibles n'est possible qu'avec le consentement préalable et éclairé de la personne concernée ou lorsque cette collecte figure explicitement dans une loi.

Ces données ne peuvent être traitées que dans le but qui est indiqué lors de leur collecte.

A noter que les données anonymes ne sont pas considérées comme des données personnelles puisqu'elles ne correspondent pas à une personne identifiée ou identifiable. Attention toutefois à ce que l'anonymisation soit complète et irreversible afin de pouvoir se prévaloire de cette possibilité de traitement.

Une donnée pseudonymisée (codée) n'est pas anonyme et doit donc être traitée comme une donnée personnelle et être accompagnée de mesures de sécurisation.

Au niveau européen : le RGPD

Le Règlement Général de Protection des Données (RGPD) réglemente la protection des données et de la vie privée pour tout individu résidant au sein de l'UE, ainsi que la communication de données personnelles en dehors de l'UE. Dans le domaine de la recherche, sont soumises à ce règlement toutes les institutions et entreprises actives au niveau international qui collectent et traitent des données personnelles de résidents de l'UE ou envoient des données de ressortissants suisses à l'étranger (UE).

A l'instar des lois suisses et cantonales sur les données personnelles, le RGPD ne s’applique pas au traitement des données à caractère personnel des personnes décédées ou des personnes morales.

Le RGPD liste dans son article 9 un ensemble de données dites « particulières » dont le traitement est par principe interdit :

Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Néanmoins, l’article liste ensuite une série de 10 exceptions en vertu desquelles ces types de données peuvent faire l’objet de traitements, dont une concerne la recherche scientifique :

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Le RGPD prévoit encore que les données personnelles ne peuvent être collectées que pour des « finalités déterminées, explicites et légitimes » qui doivent en principe être définies en amont du traitement et être portées à la connaissance des personnes concernées (articles 13 et 14). Néanmoins, le considérant 33 admet qu’il n’est pas toujours possible de déterminer à l’avance la finalité exacte d’un traitement effectué à des fins de recherche scientifique. En matière de recherche, il existe donc une certaine marge de manœuvre pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé par le RGPD. Il peut être admis par exemple que cette finalité s’élargisse ou se précise au fil du projet de recherche et en fonction de ses nécessités.

Le cadre légal européen en matière de gestion des données personnelles doit être pris en compte dans le cadre d'une recherche menée en collaboration avec des chercheur·e·s européen·ne·s ou portant sur des données personnelles de résident·e·s de l'UE.

Les grands principes

De manière générale, le traitement des données personnelles, pour être conforme à la loi, doit respecter un certain nombre de principes, à savoir :

  • La bonne foi : les données doivent être traitées loyalement. De ce principe découle notamment la transparence de la collecte et du traitement, ou encore le fait que le traitement doit répondre à un intérêt raisonnable.
  • la proportionalité : le traitement doit être adéquat, pertinent et non excessif. Seules les données objectivement nécessaires à une recherche pour atteindre le but poursuivi peuvent être traitées.
  • la reconnaissabilité : la collecte et la finalité doivent être reconnaissable par la personne concernée.
  • la finalité : les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte.
  • l'exactitude : celui qui traite des données personnelles doit s'assurer qu'elles sont correctes et à jour.

(source : Sylvain Métille, Internet et droit - Protection de la personnalité et questions pratiques, Schulthess, 2017)

Suivez nous:    

Le saviez-vous ?

34% des chercheur·e·s de l'UNIL stockent leurs données sur le Cloud.

Enquête 2015 sur les données de recherche

Partagez:
Unicentre - CH-1015 Lausanne
Suisse
Tél. +41 21 692 20 81