Il n’est pas nécessaire pour les non-spécialistes de connaître chaque article de loi. Ce qui est important lors du traitement des données personnelles, c’est de garder à l’esprit les principes fondamentaux de la loi.
Voici un aperçu de ces principes.
En tant qu’institution fédérale, l’EPFL doit disposer d’une base légale pour traiter les données personnelles. Ces exigences légales peuvent parfois être assez restrictives. En tout cas, elles peuvent surprendre les personnes qui arrivent à l’EPFL en provenance du secteur privé.
Avant de vous lancer dans un projet impliquant des données personnelles, vous devez vous assurer de l’existence de la base juridique requise.
A l’EPFL, notre principale base légale est établie par la Loi fédérale sur les écoles polytechniques fédérales (Loi sur les EPF). Cette loi autorise le traitement des données personnelles du corps estudiantin, du personnel et des participantes et participants à des projets de recherche. Des directives spécifiques de l’EPFL ont également été élaborées (Lex sur Polylex) pour les situations de données personnelles qui ne sont pas couvertes par la loi. Toutefois, si les données à traiter sont sensibles, vous devez vous assurer que le traitement est autorisé par une loi formelle ou obtenir le consentement explicite de la personne physique identifiée ou identifiable (c’est-à-dire la “personne concernée”).
La DPO de l’EPFL peut vous aider si vous avez une question.
Lors de la collecte de données personnelles, vous devez informer les personnes concernées de ce qui suit:
- le nom du responsable du traitement
- les catégories de données concernées
- la finalité du traitement (et la “finalité secondaire” ou l’utilisation ultérieure des données, le cas échéant)
- la durée de conservation des données
- la procédure d’exercice des droits associés à la personne concernée
- le nom de la ou du DPO
- le nom de l’État ou de l’organisation internationale auquel les données sont transférées (le cas échéant).
Les lois suisses sur la protection des données personnelles sont énoncées dans la loi fédérale sur la protection des données (LPD) ; celles de l’UE figurent dans le règlement général sur la protection des données (RGPD). Les deux réglementations comprennent un “privilège de recherche” selon lequel les scientifiques peuvent utiliser des données personnelles collectées dans le cadre d’un projet de recherche antérieur ou fournies par un organisme public, à condition que les données soient anonymisées ou pseudonymisées. Dans ce cas, aucune autre justification légale n’est nécessaire (comme l’obtention du consentement), puisque toutes les informations identifiables contenues dans les données ont été supprimées.
L’obligation d’informer s’applique non seulement lors de la première collecte de données, mais aussi tout au long de la vie des données, par exemple en cas de modification de l’objectif de votre projet de recherche, du type de données collectées, de la base juridique de la collecte des données ou des destinataires des données, par exemple.
Avez-vous vraiment besoin de toutes les données que vous prévoyez de collecter et de traiter ?
Vous ne devez collecter et traiter que les données nécessaires qui sont directement liées à la finalité de votre traitement. Il s’agit de l’un des principes les plus importants en matière de protection des données personnelles.
Le responsable du traitement est tenu de s’assurer que les données sont exactes et complètes au regard de l’objectif initial de la collecte et de l’utilisation. L’EPFL, en tant que responsable du traitement, doit corriger ou détruire les données personnelles inexactes ou incomplètes.
Le PFPDT donne aux personnes concernées le droit de faire rectifier les données personnelles inexactes.
La conservation des données est un élément fondamental de la protection des données personnelles, mais de nombreuses organisations ont du mal à le mettre en œuvre et à s’y conformer. Voici quelques questions à garder à l’esprit lorsque vous envisagez de traiter des données personnelles :
-
Combien de temps allez-vous conserver les données?
-
Prévoyez- vous d’archiver les données?
-
Avez-vous établi votre processus d’archivage?
-
Prévoyez-vous de supprimer les données?
-
Avez-vous établi votre processus de suppression?
Vous devez tenir compte de ces questions lors de la phase de conception de votre projet.
Le PFPDT exige que les responsables du traitement respectent les principes de “privacy by design” (protection des données par la conception technologique) et de “privacy by default” (seules les données absolument nécessaires à une finalité spécifique sont traitées, et cela est établi avant le début du traitement des données). Les organisations du secteur public et les entreprises doivent mettre en œuvre ces principes dès la phase de planification en mettant en place les mesures organisationnelles et techniques appropriées.
La prise en compte du respect de la vie privée dès la conception exige que les applications de traitement des données personnelles soient conçues de manière à ce que les données soient anonymisées ou supprimées par défaut.
La protection de la vie privée par défaut protège les utilisatrices et utilisateurs de services en ligne qui n’ont pas consulté les conditions d’utilisation (ou le droit d’opposition associé) du service en question, puisque seules les données personnelles absolument nécessaires à la finalité poursuivie sont traitées (à moins que les utilisatrices et utilisateurs n’autorisent activement le traitement ultérieur de leurs données personnelles).
Par “sécurité”, nous entendons ici la sécurité des données sous forme physique (par exemple, papier) et numérique.
La sécurité consiste à mettre en place les mesures organisationnelles et techniques nécessaires pour protéger la confidentialité, l’intégrité, la disponibilité et la traçabilité des données afin qu’une organisation puisse atteindre ses objectifs et remplir ses obligations. La sécurité n’est pas une fin en soi, mais un moyen indispensable. Elle doit être planifiée avec des ressources proportionnelles à la valeur des actifs à protéger et aux obligations légales, réglementaires et contractuelles de l’organisation.
Les mesures de sécurité doivent être planifiées avant la collecte et le traitement des données et doivent tenir compte de l’environnement dans lequel les données seront traitées. Les organisations partenaires ou les sous-traitants impliqués dans un projet doivent également être tenus de mettre en œuvre ces mesures, le cas échéant. Vos interlocuteurs en matière de sécurité des données à l’EPFL sont les responsables informatiques et les administrateurs informatiques. La sécurité des données est essentielle pour respecter les lois sur la protection des données.
Sur ce site web, vous trouverez des informations sur les mesures techniques et organisationnelles (TOM) à mettre en place lors du traitement des données personnelle.
Généralités
Définitions
Quelques définitions générales sur les données personnelles, le contrôleur des données, etc.
Droits de l’individu
Le droit d’accès est l’un des droits fondamentaux prévus par les lois sur la protection des données (RGPD et GDPR).
Obligation de l’EPFL
Dans cette section, nous résumons les principales obligations légales en matière de traitement des données à caractère personnel.
Formation
La formation du personnel à la protection des données est l’une des principales activités du DPD.