PREPOSE TV

Episode 18: Devoirs et obligations du maître de fichier – tenue d’un registre, art. 30 LIPDA

 

LIPDA

Art. 30 Registres
 
1. Chaque autorité tient un registre contenant tous les fichiers en sa possession. Ces registres sont publics.
 
2. Chaque registre contient pour chaque fichier des informations sur:
 
   a) les bases légales;
 
   b) les finalités du traitement pour lequel les données sont collectées;
 
   c) les autorités compétentes et le maître du fichier;
 
   d) les destinataires prévus.
 
 
3. Ne sont pas enregistrés les fichiers qui:
 
    a) sont publiés régulièrement;
 
   b) servent exclusivement à l’accomplissement de tâches de l’administration et ne déploient pas d’effets externes.
 
 4. Chaque nouveau fichier contenant des données sensibles doit être porté à la connaissance du préposé. Cette obligation vaut aussi pour tous les fichiers contenant des données sensibles ayant été créés avant l’entrée en vigueur de la présente loi.

Registres

Remarques préliminaires

Les registres servent à donner un aperçu de tous les fichiers contenant des données personnelles qu’une ou des autorité(s) entretiennent. Du point de vue de la transparence, leur existence est fondamentale, car l’absence de registres rend excessivement difficile l’exercice de leurs droits par les personnes concernées. La tenue d’un registre exige beaucoup de discipline tant de la part des autorités responsables que de celle des maîtres des fichiers : si les fichiers ne sont pas enregistrés systématiquement ou s’ils ne sont pas portés à la connaissance des organes responsables de la tenue des registres ou encore si les autorités de surveillance ne disposent pas de moyens de contrôle suffisants, l’obligation d’entretenir des registres est rapidement vidé de son sens.

La problématique des registres fait l’objet de plusieurs dispositions de droit supérieur auxquelles le droit cantonal doit se conformer. Ainsi, la Directive 95/46/CE prévoit à ses articles 18, 19 et 21 parag. 2 que l’autorité de contrôle tient un registre de certains traitements entièrement ou partiellement automatisés. La Convention STE no 108, entrée en vigueur pour la Suisse le 1er février 1998, exige quant à elle que la personne concernée puisse connaître l’existence d’un fichier automatisé de données

àcaractère personnel, ses finalités principales ainsi que l’identité et la résidence principale ou le principal établissement du maître du fichier (art. 8 let. a). Enfin, la loi fédérale sur la protection des données exige du préposé fédéral la tenue d’un registre des fichiers accessible en ligne et pouvant être consulté par toute personne (cf. le nouvel art. 11a, FF 2006 3424). Cette disposition peut être appliquée aux cantons en vertu de l’art. 37 al. 1 (FF 2006 3429), à moins que ceux-ci ne disposent d’une réglementation en matière de protection des données assurant un niveau de protection adéquat.

En conclusion, il est indispensable que les autorités tiennent des registres des fichiers en leur possession. Cependant, bien que la notion de registre central figure dans certaines dispositions du droit supérieur, leur tenue ne constitue pas une obligation pour les cantons, pour autant que leur législation en matière de protection des données offre des garanties suffisantes concernant la transparence de l’activité étatique qui est leur principal but. En l’absence d’un registre central, plusieurs registres publics suffisent (Rudin, Datenschutz Wegleitung, p. 18).

Afin de garantir la transparence en l’absence d’un registre central, l’article 29 impose d’abord l’obligation, à l’instar des autres cantons, pour chaque autorité qui traite des données, d’entretenir un registre contenant tous les fichiers en sa possession ainsi que certaines informations essentielles à leur sujet, notamment sur les bases légales, les buts de la collecte, les autorités responsables ou les destinataires prévus. Cette obligation devrait augmenter la transparence et responsabiliser les autorités qui traitent des données personnelles. Les personnes concernées pourront quant à elles se rendre auprès des autorités avec lesquelles elles ont eu des contacts et faire valoir leur droit de renseignement et de consultation. Sont exclus de cette obligation les fichiers qui sont publiés régulièrement, la transparence étant ainsi garantie, ainsi que ceux qui sont destinés uniquement à un usage interne par les autorités et qui ne déploient pas d’effets externes. Ce genre de disposition doit néanmoins être interprété de manière restrictive, car une grande partie des actes administratifs ont des effets sur les droits et obligations des personnes et déploient donc des effets externes.

Pour des raisons de transparence, mais également pour faciliter les tâches de contrôle du préposé, l’alinéa 4 de cette disposition impose l’obligation pour les autorités de porter chaque nouveau fichier à la connaissance du préposé. Pour éviter que cette obligation reste lettre morte, on peut envisager de l’introduire seulement pour les fichiers contenant des données sensibles. Il va de soi que le préposé peut en tout temps effectuer des contrôles auprès de toutes les autorités et émettre des recommandations au cas où il constaterait des violations de la loi (y compris du devoir de porter les fichiers à la connaissance du préposé ; cf. art. 37 al. 1 let. a). Cette obligation doit également s’étendre aux fichiers contenant des données sensibles qui ont été créés avant l’entrée en vigueur de la présente loi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *