21986_PL13347A_projetloirapportcomission.pdf

GRAND CONSEIL

de la République et canton de Genève

PL 13347-A

Date de dépôt : 16 avril 2024

Rapport

de la commission législative chargée d’étudier le projet de loi du
Conseil d’Etat modifiant la loi sur l’information du public, l’accès
aux documents et la protection des données personnelles (LIPAD)
(A 2 08)
Rapport de Diego Esteban (page 25)

ATAR ROTO PRESSE – 80 ex. – 05.24

PL 13347-A

2/52

Projet de loi
(13347-A)

modifiant la loi sur l’information du public, l’accès aux documents et la
protection des données personnelles (LIPAD) (A 2 08)

Le GRAND CONSEIL de la République et canton de Genève
décrète ce qui suit :
Art. 1
Modifications
La loi sur l’information du public, l’accès aux documents et la protection des
données personnelles, du 5 octobre 2001 (LIPAD – A 2 08), est modifiée
comme suit :
Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les
lettres d et e), lettre e (nouvelle teneur), al. 6 (nouveau)
1
La présente loi s’applique aux institutions publiques suivantes (ci-après :
institutions publiques), sous réserve des alinéas 3 et 5 :
c) la Cour des comptes ;
e) les groupements formés d’institutions visées aux lettres a, b et d.
6
Le traitement de données personnelles effectué par la Banque cantonale de
Genève n’est pas soumis à la présente loi.
Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i
ancienne devenant la lettre n)
Dans la présente loi et ses règlements d’application, on entend par :
b) données personnelles sensibles, les données personnelles sur :
1° les opinions ou activités religieuses, philosophiques, politiques ou
syndicales,
2° la santé, la sphère intime ou l’origine raciale ou ethnique,
3° des mesures d’aide sociale,
4° des poursuites ou sanctions pénales ou administratives,
5° les données génétiques,
6° les données biométriques identifiant une personne physique de façon
unique ;
c) profilage, toute forme de traitement automatisé de données personnelles
consistant à utiliser ces données pour évaluer certains aspects d’une
personne, notamment pour analyser ou prédire des éléments concernant
son rendement au travail, sa situation économique, sa santé, ses

3/52

PL 13347-A

préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa
localisation ou ses déplacements ;
d) traitement, toute opération relative à des données personnelles – quels
que soient les moyens et procédés utilisés – notamment la collecte,
l’enregistrement, la conservation, l’utilisation, l’extraction, la
consultation, la modification, la communication, le rapprochement ou
l’interconnexion, la limitation, l’effacement, la destruction ou
l’archivage ;
e) communication, le fait de rendre accessibles des données personnelles ou
un document, par exemple en autorisant leur consultation, en les
transmettant ou en les diffusant ;
f) personne concernée, la personne physique ou morale au sujet de laquelle
des données personnelles sont traitées ;
g) responsable du traitement, institution au sens de l’article 3 qui, seule ou
conjointement avec d’autres, détermine les finalités et les moyens du
traitement de données personnelles ;
h) sous-traitant, institution, organisme ou personne physique ou morale qui
traite des données personnelles pour le compte du responsable du
traitement ;
i) sécurité des données personnelles, ensemble des mesures
organisationnelles et techniques permettant d’assurer la confidentialité,
et l’intégrité des données personnelles ;
j) violation de la sécurité des données personnelles, toute atteinte à la
sécurité des données personnelles entraînant de manière accidentelle ou
illicite leur perte, leur modification, leur effacement ou leur destruction,
leur divulgation ou un accès non autorisé à ces dernières ;
k) anonymisation, traitement de données personnelles consistant à
supprimer définitivement toutes les données identifiantes ou tout moyen
de retrouver les données originales ;
m) décision individuelle automatisée, toute décision prise exclusivement sur
la base d’un traitement automatisé de données, y compris le profilage, et
qui a des effets juridiques sur la personne concernée ou qui l’affecte de
manière significative.

PL 13347-A

Section 4A
du chapitre I
du titre II

4/52

Cour des comptes (nouvelle)

Art. 13A Huis clos (nouveau)
Les délibérations et autres séances de la Cour des comptes se tiennent à huis
clos.
Art. 20A Cour des comptes (nouveau)
1
La Cour des comptes informe sur ses activités, notamment par le biais de la
publication de ses rapports et d’autres documents qu’elle considère d’intérêt
public. Dans ce cadre, elle veille à la protection du secret professionnel, de
fonction, fiscal, ou d’affaires des personnes entendues et de tout autre secret
prévu par la loi.
2
Sans préjudice de l’application des lois régissant ses activités, la Cour des
comptes ne peut donner d’informations susceptibles de permettre
l’identification de l’auteure ou de l’auteur d’une communication ou d’une
personne qu’elle a entendue.
3
Elle veille au respect des règles professionnelles prohibant la transmission
d’informations ou la transmission de documents en matière d’audit,
d’évaluation ou de révision.
4
Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la
divulgation de certaines informations.
Art. 26, al. 2, lettre d (nouvelle teneur)
2
Tel est le cas, notamment, lorsque l’accès aux documents est propre à :
d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes
ou d’investigations prévues par la loi ;
Art. 28, al. 3 (nouvelle teneur)
3
En cas de doute sur la réalisation d’une des exceptions prévues à l’article 26,
la personne qui est saisie de la demande d’accès doit en référer à la conseillère
ou au conseiller à la protection des données et à la transparence désigné
conformément aux mesures d’organisation et de procédure prévues à
l’article 50.

5/52

PL 13347-A

Art. 30, al. 5 (nouvelle teneur)
5
A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse
de la requérante ou du requérant ainsi que de l’institution ou des institutions
concernées, une recommandation écrite sur la communication du document
considéré. L’institution concernée rend alors dans les 10 jours une décision sur
la communication du document considéré. Elle notifie aussi sa décision à la
préposée cantonale ou au préposé cantonal.
Art. 31, al. 2 (nouvelle teneur)
2
Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées
à l’article 50, alinéa 3, pour les affaires respectives des institutions visées par
cette disposition.
Art. 33, al. 2 et 3 (nouvelle teneur)
2
Le droit de rectification est exercé par les instances désignées à l’article 50,
alinéa 3.
3
La rectification consiste dans la publication gratuite dans le média considéré,
à bref délai et sans modification, d’un texte rectificatif factuel, véridique,
concis et clair soumis par l’institution compétente, dans des conditions
d’insertion et de présentation comparables à celles ayant entouré la
présentation des faits en question. La publication comporte la précision que le
texte rectificatif émane de l’institution requérante, et elle peut être
accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou
non de sa présentation des faits et de l’indication de ses sources.
Art. 35

Principes (nouvelle teneur avec modification de la note)
Licéité
1
Tout traitement de données personnelles doit être licite.
Bonne foi et proportionnalité
2
Il doit être conforme aux principes de la bonne foi et de la proportionnalité.
Finalité et reconnaissabilité
3
Les données personnelles ne peuvent être collectées que pour des finalités
déterminées et reconnaissables pour la personne concernée et doivent être
traitées ultérieurement de manière compatible avec ces finalités.
Conservation, destruction, effacement et anonymisation
4
Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus
nécessaires au regard des finalités du traitement, dans la mesure où ces données
ne doivent pas être conservées en vertu d’une autre loi. Sur décision de
l’institution publique concernée, la destruction de données personnelles peut

PL 13347-A

6/52

être différée durant 2 ans au maximum à des fins d’évaluation de politiques
publiques.
Exactitude
5
Quiconque traite des données personnelles doit s’assurer qu’elles sont
exactes et prend toute mesure appropriée permettant de rectifier, d’effacer ou
de détruire les données personnelles inexactes ou incomplètes au regard des
finalités pour lesquelles elles sont collectées ou traitées.
6
Lorsqu’une institution publique constate que des données personnelles
qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1,
ou d’une autre base légale, sont inexactes, incomplètes ou obsolètes, elle en
informe l’institution concernée, à moins que cette information ne soit contraire
à une loi ou un règlement.
Art. 36
Base légale (nouvelle teneur avec modification de la note)
1
Les institutions publiques ne peuvent traiter des données personnelles que si
une base légale le prévoit ou si l’accomplissement de leurs tâches légales le
rend nécessaire.
2
Les traitements de données personnelles sensibles et les activités de profilage
ne peuvent avoir lieu que si :
a) une loi au sens formel le prévoit expressément ; ou
b) le traitement est indispensable à l’accomplissement d’une tâche définie
dans une loi au sens formel.
3
En dérogation aux alinéas 1 et 2, les institutions publiques peuvent traiter des
données personnelles nécessaires à l’accomplissement de leurs tâches légales,
y compris des données personnelles sensibles, et procéder à du profilage, si
l’une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement en l’espèce ; le
responsable du traitement doit être en mesure de démontrer l’existence
d’un tel consentement ;
b) la personne concernée a rendu ses données personnelles accessibles à tout
un chacun et ne s’est pas opposée expressément au traitement ;
c) la personne concernée se trouve dans l’incapacité physique ou juridique
de donner son consentement et le traitement est nécessaire à la
sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers de
la personne concernée ou d’un tiers et il n’est pas possible d’obtenir le
consentement de la personne concernée dans un délai raisonnable.

7/52

PL 13347-A

La personne concernée ne consent valablement que si elle exprime librement
sa volonté concernant un ou plusieurs traitements déterminés et après avoir été
dûment informée. Le consentement doit être exprès en cas de traitement de
données personnelles sensibles, ou de profilage.
5
Le consentement peut être révoqué en tout temps et sans motifs. La mise en
œuvre effective du retrait du consentement peut toutefois requérir un délai
raisonnable pour des raisons techniques.
4

Art. 36A Numéro d’identification personnel commun (nouvelle teneur)
Un numéro d’identification personnel commun ne peut être utilisé que s’il est
institué par une loi cantonale. L’usage et la communication du numéro AVS
sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du
20 décembre 1946.
Art. 36B Traitement conjoint (nouveau)
Lorsque deux institutions publiques ou plus déterminent conjointement les
finalités et les moyens du traitement de données personnelles, elles sont
responsables conjointes du traitement et doivent définir de manière
transparente leurs obligations respectives dans la déclaration au sens de
l’article 43.
Art. 36C Sous-traitance (nouveau)
1
Le traitement de données personnelles peut être confié à un sous-traitant pour
autant qu’un contrat ou la loi le prévoie et que les conditions suivantes soient
réunies :
a) seuls sont effectués les traitements que le responsable du traitement est
en droit de réaliser ;
b) aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
2
La sous-traitance de données personnelles fait l’objet d’un contrat de droit
privé ou public en la forme écrite, prévoyant pour chaque étape du traitement
le respect des prescriptions de la présente loi et du règlement d’application de
la loi sur l’information du public, l’accès aux documents et la protection des
données personnelle, du 21 décembre 2011, ainsi que la possibilité d’effectuer
des audits sur le site du sous-traitant, ou, à défaut, d’obtenir les résultats
d’audits de tiers indépendants, respectivement de participer sans frais à
l’élaboration de ces audits. Les cas où la loi prévoit en détail les modalités de
la sous-traitance sont réservés.
3
Le contrat prévoit spécifiquement que le sous-traitant annonce dans les
meilleurs délais au responsable du traitement tout cas de violation de la sécurité
des données.

PL 13347-A

8/52

Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en
cascade) n’est possible qu’avec l’accord préalable écrit du responsable du
traitement et moyennant le respect, à chaque niveau de substitution, de toutes
les prescriptions du présent article.
5
Le responsable du traitement demeure responsable des données personnelles
qu’il fait traiter au même titre que s’il les traitait lui-même.
6
S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est
possible que si l’Etat concerné dispose d’une législation assurant un niveau de
protection adéquat conformément à la liste établie par le Conseil fédéral.
4

Art. 37

Protection des données personnelles dès la conception et par
défaut (nouveau, l’art. 37 ancien devenant l’art. 37A)
1
Le responsable du traitement est tenu de mettre en place des mesures
techniques et organisationnelles afin que le traitement respecte les
prescriptions de protection des données personnelles, en particulier les
principes fixés à l’article 35. Il le fait dès la conception du traitement.
2
Les mesures organisationnelles et techniques doivent être appropriées au
regard notamment de l’état de la technique, du type de traitement et de son
étendue, ainsi que du risque que le traitement des données présente pour la
personnalité ou les droits fondamentaux des personnes concernées.
3
Le responsable du traitement est tenu de garantir, par le biais de préréglages
appropriés, que le traitement soit limité au minimum requis par la finalité
poursuivie, pour autant que la personne concernée n’en dispose pas autrement.
Art. 37A Sécurité des données personnelles (nouvelle teneur)
1
Les institutions publiques doivent assurer, par des mesures organisationnelles
et techniques appropriées, une sécurité adéquate des données personnelles par
rapport au risque encouru.
2
Les mesures doivent permettre d’éviter la violation de la sécurité des données
personnelles.
3
Le Conseil d’Etat détermine, par voie réglementaire, les exigences minimales
en matière de sécurité des données personnelles.
4
Les institutions publiques sont tenues de contrôler périodiquement le respect
des mesures de sécurité mises en place au sens du présent article.
Art. 37B Analyse d’impact (nouveau)
1
Lorsqu’un traitement de données personnelles est susceptible d’entraîner un
risque élevé pour la personnalité ou les droits fondamentaux de la personne
concernée, le responsable du traitement procède au préalable à une analyse

9/52

PL 13347-A

d’impact relative à la protection des données personnelles. S’il envisage
d’effectuer plusieurs opérations de traitement semblables, il peut établir une
analyse d’impact commune.
2
L’existence d’un risque élevé, en particulier lors du recours à de nouvelles
technologies, dépend de la nature, de l’étendue, des circonstances et de la
finalité du traitement. Un tel risque existe notamment dans les cas suivants :
a) traitements de données personnelles sensibles à grande échelle ;
b) profilage ;
c) surveillance systématique de grandes parties du domaine public.
3
L’analyse d’impact contient notamment :
a) une description du traitement envisagé ;
b) une évaluation des risques pour la personnalité ou les droits
fondamentaux de la personne concernée ; ainsi que
c) les mesures prévues pour protéger la personnalité et les droits
fondamentaux de la personne concernée.
4
Lorsque l’analyse d’impact est requise selon l’alinéa 1 du présent article, elle
est jointe au projet d’acte législatif pour avis de la préposée cantonale ou du
préposé cantonal au sens de l’article 56A, alinéa 2, lettre e, de la présente loi.
5
Lorsque l’analyse d’impact requise à l’alinéa 1 du présent article n’est pas
liée à un projet d’acte législatif, elle est soumise à la préposée cantonale ou au
préposé cantonal pour avis avant le début du traitement.
Art. 37C Violation de la sécurité des données personnelles (nouveau)
1
Lorsqu’il constate une violation de la sécurité des données personnelles, le
responsable du traitement prend immédiatement les mesures appropriées afin
de mettre fin à la violation et d’en minimiser les effets, et en informe
immédiatement sa conseillère ou son conseiller à la protection des données et
à la transparence au sens de l’article 50.
2
Le responsable du traitement consigne dans un document interne la nature de
la violation, le type de données personnelles concernées et les catégories de
personnes touchées, les conséquences probables pour ces dernières et les
mesures prises pour y remédier.
3
Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé
cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son
conseiller à la protection des données et à la transparence, les cas de violation
de la sécurité des données personnelles entraînant vraisemblablement un risque
élevé pour la personnalité ou les droits fondamentaux de la personne
concernée.

PL 13347-A

10/52

Le sous-traitant annonce dans les meilleurs délais au responsable du
traitement tout cas de violation de la sécurité des données personnelles.
5
Le responsable du traitement informe la personne concernée lorsque cela est
nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé
cantonal l’exige.
6
Il peut restreindre l’information de la personne concernée, la différer ou y
renoncer, dans les cas suivants :
a) les intérêts prépondérants d’un tiers l’exigent ;
b) un intérêt public prépondérant l’exige, en particulier la sécurité intérieure
ou l’ordre public ;
c) un devoir légal de garder un secret l’interdit ;
d) la communication des informations est susceptible de compromettre une
enquête, une instruction ou une procédure judiciaire ou administrative ;
e) l’information est impossible à fournir ou exige des efforts
disproportionnés ;
f) l’information de la personne concernée peut être garantie de manière
équivalente par une communication publique.
4

Art. 38

Devoir d’informer lors de la collecte de données personnelles
(nouvelle teneur avec modification de la note)
1
Le responsable du traitement informe la personne concernée de manière
adéquate de la collecte de données personnelles la concernant, que cette
collecte soit effectuée auprès d’elle ou non.
2
Lors de la collecte, le responsable du traitement communique à la personne
concernée les informations nécessaires pour qu’elle puisse faire valoir ses
droits selon la présente loi et pour que la transparence des traitements soit
garantie ; il lui communique au moins les éléments suivants :
a) le responsable du traitement ;
b) la finalité du traitement ;
c) le cas échéant, les destinataires ou les catégories de destinataires
auxquelles des données personnelles sont transmises ;
d) les catégories de données personnelles traitées.
3
Lorsque des données personnelles sont communiquées à l’étranger, le
responsable du traitement communique également à la personne concernée le
nom de la corporation ou de l’établissement de droit public auquel elles sont
communiquées et, le cas échéant, l’application d’une des exceptions prévues à
l’article 39, alinéa 7.
4
Si les données personnelles ne sont pas collectées auprès de la personne
concernée, le responsable du traitement lui communique les informations
mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les

11/52

PL 13347-A

données personnelles. S’il communique les données personnelles avant
l’échéance de ce délai, il en informe la personne concernée au plus tard lors de
la communication.
Art. 38A

Exceptions au devoir d’informer lors de la collecte de
données personnelles (nouveau)
1
Le responsable du traitement est délié du devoir d’information au sens de
l’article 38 si l’une des conditions suivantes est remplie :
a) la personne concernée dispose déjà des informations au sens de
l’article 38 ;
b) le traitement des données personnelles est prévu par la loi ;
c) l’information n’est pas possible ou exige un effort disproportionné.
2
Le responsable du traitement peut restreindre ou différer la communication
des informations, ou y renoncer, si un intérêt public ou privé prépondérant le
justifie, en particulier dans les cas prévus à l’article 46.
Art. 38B

Droits de la personne concernée en cas de décision
individuelle automatisée (nouveau)
1
Le responsable du traitement informe la personne concernée de toute décision
qui est prise exclusivement sur la base d’un traitement de données personnelles
automatisé et qui a des effets juridiques pour elle ou l’affecte de manière
significative.
2
A la demande de la personne faisant l’objet d’une décision individuelle
automatisée, le responsable du traitement lui communique la logique et les
critères à la base de celle-ci. Cette demande ne suspend pas le délai visé à
l’alinéa 3.
3
Toute personne faisant l’objet d’une décision individuelle automatisée peut
former une réclamation, dans les 30 jours à compter de sa notification, auprès
de son auteure ou auteur.
4
La décision sur réclamation ne peut pas être rendue de manière automatisée.
5
Les dispositions de la législation spéciale qui prévoient déjà une procédure
de réclamation sont réservées.
Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur)
A une autre institution publique soumise à la loi
1
Sans préjudice, le cas échéant, de son devoir de renseigner les instances
hiérarchiques supérieures dont elle dépend, une institution publique ne peut
communiquer des données personnelles en son sein ou à une autre institution
publique que si, cumulativement :

PL 13347-A

12/52

a) l’institution requérante démontre que le traitement qu’elle entend faire
des données sollicitées satisfait aux exigences prévues aux articles 35 à
38B ;
2
L’institution publique requise est tenue de s’assurer du respect des conditions
posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer sa
conseillère ou son conseiller à la protection des données et à la transparence, à
moins que le droit de procéder à cette communication ne résulte déjà
explicitement d’une loi ou d’un règlement.
5
L’institution publique requise est tenue de s’assurer du respect des conditions
posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en
informer sa conseillère ou son conseiller à la protection des données et à la
transparence, à moins que le droit de procéder à cette communication ne résulte
déjà explicitement d’une loi ou d’un règlement. S’il y a lieu, elle assortit la
communication de charges et conditions.
7
En l’absence du niveau de protection des données requis par l’alinéa 6, la
communication n’est possible que si elle n’est pas contraire à une loi ou un
règlement et si, alternativement :
a) elle intervient avec le consentement exprès, libre et éclairé de la personne
concernée ou dans son intérêt manifeste ;
b) elle est dictée par un intérêt public important manifestement prépondérant
reconnu par l’institution publique requise et que l’entité requérante
fournit des garanties fiables suffisantes quant au respect des droits
fondamentaux de la personne concernée ;
8
L’institution publique requise est tenue de consulter la préposée cantonale ou
le préposé cantonal avant toute communication. S’il y a lieu, elle assortit la
communication de charges ou conditions.
10
Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est
tenue de consulter les personnes concernées avant toute communication, à
moins que cela n’implique un travail disproportionné. A défaut d’avoir pu
recueillir cette détermination, ou en cas d’opposition d’une personne
consultée, l’institution publique requise sollicite le préavis de la préposée
cantonale ou du préposé cantonal. La communication peut être assortie de
charges et conditions, notamment pour garantir un niveau de protection
adéquat des données.
11
Outre aux parties, l’institution publique requise communique sa décision aux
personnes consultées ainsi qu’à la préposée cantonale ou au préposé cantonal.
Art. 40 (abrogé)

13/52

PL 13347-A

Art. 41

Traitement à des fins générales ne se rapportant pas à des
personnes (nouvelle teneur avec modification de la note)
1
Les institutions publiques soumises à la présente loi sont en droit de traiter
des données personnelles à des fins générales de statistique, de recherche
scientifique, de planification ou d’évaluation de politiques publiques,
indépendamment des buts pour lesquels elles ont été collectées, si les
conditions suivantes sont réunies :
a) les données personnelles sont rendues anonymes dès que la finalité du
traitement le permet ;
b) l’institution publique ne communique les données personnelles sensibles
à des personnes privées que sous une forme ne permettant pas d’identifier
les personnes concernées ;
c) le destinataire ne communique les données personnelles à des tiers
qu’avec le consentement de l’institution qui les lui a transmises ;
d) les résultats du traitement sont publiés sous une forme ne permettant pas
d’identifier les personnes concernées.
2
Les articles 35, alinéa 3, 36, alinéa 2, et 39 ne sont pas applicables.
Art. 42, al. 1, phrase introductive (nouvelle teneur)
1
Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de
tâches au sens de l’article 36, la création et l’exploitation d’un système de
vidéosurveillance ne sont licites que si, cumulativement :
Art. 43

Registre des activités de traitement (nouvelle teneur avec
modification de la note)
1
La préposée cantonale ou le préposé cantonal dresse et tient à jour un registre
public des activités de traitement des institutions publiques. Elle ou il le rend
facilement accessible.
2
Les institutions publiques déclarent leurs activités de traitement à la préposée
cantonale ou au préposé cantonal, en fournissant au moins les indications
suivantes :
a) le responsable du traitement ;
b) la dénomination, la base légale et la finalité du traitement ;
c) une description des catégories des personnes concernées et des catégories
des données personnelles traitées ;
d) les catégories des destinataires ;
e) le cas échéant, l’identité et les coordonnées des autres responsables du
traitement et la répartition des responsabilités.

PL 13347-A

14/52

Les institutions publiques fournissent également les indications suivantes à
la préposée cantonale ou au préposé cantonal, sur requête de ces derniers :
a) dans la mesure du possible, le délai de conservation des données
personnelles ou les critères pour déterminer la durée de conservation ;
b) dans la mesure du possible, une description générale des mesures visant
à garantir la sécurité des données personnelles selon l’article 37A ;
c) en cas de communication de données personnelles à l’étranger, le nom de
la corporation ou de l’établissement de droit public étranger destinataire
et, le cas échéant, l’application d’une des exceptions prévues à
l’article 39, alinéa 7 ;
d) le cas échéant, l’identité et les coordonnées des sous-traitants.
4
Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour
certaines catégories de traitement à des fins administratives internes qui ne
présentent manifestement pas de risques pour les droits des personnes
concernées.
3

Art. 44 (nouvelle teneur)
1
Toute personne physique ou morale de droit privé peut demander par écrit au
responsable du traitement, en s’adressant à sa conseillère ou à son conseiller à
la protection des données et à la transparence au sens de l’article 50, si des
données personnelles la concernant sont traitées.
2
La personne concernée reçoit les informations nécessaires à la mise en œuvre
de ses droits en matière de protection des données personnelles. A sa demande,
elle reçoit notamment les informations suivantes :
a) le responsable du traitement ;
b) les données personnelles traitées ;
c) la finalité du traitement ;
d) la durée de conservation des données personnelles, ou, si cela n’est pas
possible, les critères pour fixer cette dernière ;
e) les informations disponibles sur l’origine des données personnelles, dans
la mesure où ces données n’ont pas été collectées auprès de la personne
concernée ;
f) le cas échéant, les destinataires ou les catégories de destinataires auxquels
des données personnelles sont communiquées, ainsi que l’application
d’une des exceptions prévues à l’article 39, alinéa 7.
3
L’institution publique qui fait traiter des données personnelles par un soustraitant demeure tenue de communiquer les données et de fournir les
informations demandées.
4
Nul ne peut renoncer par avance à son droit d’accès.

15/52

PL 13347-A

Art. 45 (nouvelle teneur)
1
La personne qui fait valoir son droit d’accès doit justifier de son identité.
2
Les renseignements sont, en règle générale, fournis par écrit sur un support
physique ou électronique. En accord avec le responsable du traitement, la
personne concernée peut également consulter ses données personnelles sur
place.
3
Le responsable du traitement fournit gratuitement les renseignements
demandés. Le Conseil d’Etat peut prévoir des exceptions, notamment si la
communication de l’information implique un travail disproportionné.
4
A moins que des circonstances exceptionnelles le justifient, les
renseignements sont fournis dans un délai de 30 jours.
Art. 47, al. 2, lettres a, d et e (nouvelle teneur)
2
Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des
institutions publiques, à propos des données la concernant, qu’elles :
a) effacent ou détruisent celles qui ne sont pas nécessaires ;
d) s’abstiennent de communiquer celles qui ne répondent pas aux exigences
de qualité visées à l’article 35 ;
e) publient leur décision prise suite à sa requête ou la communiquent aux
institutions ou tiers ayant reçu de leur part des données ne répondant pas
aux exigences de qualité visées à l’article 35.
Art. 49 (nouvelle teneur)
1
Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit
au responsable du traitement dont relève le traitement considéré.
2
Le responsable du traitement saisi traite la requête avec célérité. S’il y a lieu,
il la transmet à la conseillère ou au conseiller à la protection des données et à
la transparence compétent au regard des procédures adoptées au sein de son
institution en application de l’article 50.
3
L’institution concernée statue par voie de décision dans les 30 jours sur les
prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la
préposée cantonale ou au préposé cantonal.

PL 13347-A

16/52

Art. 50

Conseillères et conseillers à la protection des données et à la
transparence et procédures (nouvelle teneur de la note), al. 1
(nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens
devenant les al. 3 à 6), al. 3, phrase introductive (nouvelle
teneur), lettre e (nouvelle, les lettres e à i anciennes devenant
les lettres f à j), al. 4 et 6 (nouvelle teneur)
1
Des conseillères et conseillers à la protection des données et à la transparence
(ci-après : conseillères et conseillers LIPAD) ayant une formation appropriée
et les compétences utiles sont désignés et des procédures sont mises en place
au sein des institutions publiques, pour y garantir une correcte application de
la présente loi.
2
Plusieurs institutions publiques peuvent désigner ensemble une conseillère
ou un conseiller LIPAD.
3
Les mesures d’organisation générales et les procédures visées à l’alinéa 1
sont adoptées, après consultation de la préposée cantonale ou du préposé
cantonal, par les instances suivantes :
e) la Cour des comptes pour elle-même ;
4
Le Conseil d’Etat prescrit par substitution les mesures et les procédures
nécessaires à une correcte application du titre III de la présente loi, si une
instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après
avoir été mise en demeure de le faire.
6
La liste des conseillères et conseillers LIPAD désignés en application du
présent article est publique.
Art. 51 (nouvelle teneur)
1
Les conseillères et conseillers LIPAD sont les interlocutrices et interlocuteurs
privilégiés des personnes concernées et de la préposée cantonale ou du préposé
cantonal pour tout ce qui a trait au traitement des données personnelles et à la
transparence de l’institution qui les a désignés.
2
Elles et ils ont une fonction de conseil et de soutien et sont associés de
manière appropriée aux activités de traitement accomplies au sein de
l’institution publique.
3
Elles et ils accomplissent en particulier les tâches suivantes :
a) donner aux membres de l’institution publique les instructions utiles sur le
traitement des données personnelles nécessaires à l’accomplissement de
leurs tâches légales ou des demandes d’accès aux documents ;
b) concourir à l’établissement de l’analyse d’impact relative à la protection
des données ;

17/52

PL 13347-A

c) communiquer à la préposée cantonale ou au préposé cantonal les activités
de traitement des institutions publiques au sens de l’article 43, ainsi que
leurs mises à jour régulières ;
d) annoncer à la préposée cantonale ou au préposé cantonal les violations de
la sécurité des données personnelles qui leur ont été communiquées par
le responsable du traitement.
4
Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de
l’institution à laquelle elles ou ils appartiennent, la compétence :
a) d’exiger d’eux tous renseignements utiles sur le traitement des données
personnelles ou celui des demandes d’accès aux documents régies par la
présente loi, qu’ils effectuent ou sont appelés à effectuer ;
b) de prendre par voie d’évocation les décisions d’application de la présente
loi entrant ordinairement dans leur sphère de compétence.
5
Les membres des institutions publiques informent leur conseillère ou
conseiller LIPAD, notamment :
a) de tout nouveau traitement de données personnelles ;
b) de toute requête de communication et de toute intention de destruction de
données personnelles, à moins que ces opérations ne soient prévues
explicitement par une loi, un règlement ou une décision du Conseil
d’Etat ;
c) de toute information ou consultation qu’ils adressent directement à la
préposée cantonale ou au préposé cantonal.
Art. 52, al. 2 et 3 (nouveaux)
2
La préposée cantonale ou le préposé cantonal se concerte avec l’archiviste
d’Etat lorsque l’application de la présente loi implique celle de la loi sur les
archives publiques, du 1er décembre 2000.
3
Elle ou il entretient des contacts réguliers avec la commission consultative.
Art. 55A Autocontrôle (nouveau)
La préposée cantonale ou le préposé cantonal s’assure, par des mesures de
contrôle appropriées portant notamment sur la sécurité des données
personnelles, du respect et de la bonne application en son sein des dispositions
de la présente loi.
Art. 56

Compétences de la préposée cantonale ou du préposé
cantonal en matière d’information du public et d’accès aux
documents (nouvelle teneur avec modification de la note)
1
La préposée cantonale ou le préposé cantonal surveille l’application de la
présente loi en matière d’information du public et d’accès aux documents.

PL 13347-A
2

18/52

Elle ou il est chargé, en application du titre II de la présente loi :
a) de traiter les requêtes de médiation relatives à l’accès aux documents ;
b) d’informer d’office ou sur demande sur les modalités d’accès aux
documents ;
c) de centraliser les normes et directives que les institutions édictent pour
assurer l’application de l’article 50 ;
d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de
la mise en œuvre de la présente loi ;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de transparence.

Art. 56A

Compétences de la préposée cantonale ou du préposé
cantonal en matière de protection des données personnelles
(nouveau)
1
La préposée cantonale ou le préposé cantonal surveille l’application de la
présente loi en matière de protection des données personnelles, notamment en
procédant à des contrôles auprès des institutions publiques.
2
Elle ou il a la charge, en vertu du titre III de la présente loi :
a) d’émettre les préavis requis en vertu de la présente loi ;
b) de collecter et de centraliser les avis et informations que les institutions
publiques, ou leurs conseillères et conseillers LIPAD, doivent lui fournir,
et, s’il y a lieu, de prendre position dans l’exercice de ses compétences ;
c) de conseiller les instances compétentes des institutions publiques sur les
mesures d’organisation et les procédures à prescrire en leur sein ;
d) d’assister les conseillères et conseillers LIPAD dans l’accomplissement
de leurs tâches ;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de protection des données personnelles ;
f) de dresser, de mettre à jour et de rendre accessible au public le registre
des activités de traitement des institutions publiques ;
g) de dresser, de mettre à jour et de rendre accessible au public la liste des
conseillères et conseillers LIPAD désignés au sein des institutions
publiques ;
h) de renseigner d’office ou sur demande les personnes concernées sur leurs
droits ;
i) d’exercer le droit de recours prévu à l’article 62, ainsi que dans les autres
cas prévus dans la loi.

19/52

PL 13347-A

Art. 56B

Pouvoirs de contrôle de la préposée cantonale ou du préposé
cantonal en matière de protection des données personnelles
(nouveau)
1
La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur
dénonciation, un contrôle auprès d’une institution publique ou d’un soustraitant, afin de vérifier qu’ils respectent les dispositions de protection des
données personnelles. Elle ou il décide librement des contrôles qu’elle ou il
opère et de la suite à donner à une dénonciation.
2
La préposée cantonale ou le préposé cantonal peut notamment demander des
renseignements, exiger la production de documents, procéder à des inspections
et se faire présenter des traitements de données. Elle ou il peut recourir, au
besoin, à des expertes et experts dans les domaines techniques.
3
Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au
préposé cantonal. Les autres secrets institués par la loi sont réservés.
4
Si la personne concernée est à l’origine de la dénonciation, la préposée
cantonale ou le préposé cantonal l’informe des suites données à celle-ci.
Art. 56C

Mesures administratives de la préposée cantonale ou du
préposé cantonal (nouveau)
1
Si des dispositions de protection des données ne sont pas respectées, la
préposée cantonale ou le préposé cantonal peut ordonner la modification, la
suspension ou la cessation de tout ou partie du traitement ainsi que
l’effacement ou la destruction de tout ou partie des données personnelles.
2
Elle ou il peut suspendre ou interdire la communication de données
personnelles à l’étranger si elle est contraire aux conditions de l’article 39 ou
à des dispositions d’autres lois cantonales concernant la communication de
données personnelles à l’étranger.
3
Elle ou il peut notamment ordonner à l’institution publique :
a) de se conformer à son devoir d’informer lors de la collecte des données
personnelles (art. 38) ;
b) de répondre de manière appropriée à la demande de la personne
concernée qui exerce ses droits en vertu de la présente loi, notamment
son droit d’accès, son droit de rectification ou son droit d’opposition ;
c) de lui fournir les informations prévues en matière de communications
transfrontières de données personnelles (art. 38, al. 3) ;
d) de déclarer un traitement de données personnelles au registre des activités
de traitement (art. 43) ;
e) de prendre des mesures organisationnelles et techniques en matière de
protection des données personnelles (art. 37A) ;

PL 13347-A

20/52

f) de prendre des mesures de protection des données personnelles dès la
conception et par défaut (art. 37) ;
g) de procéder à une analyse d’impact relative à la protection des données
personnelles ou de la compléter (art. 37B) ;
h) de lui transmettre les informations pertinentes en lien avec une violation
de la sécurité des données personnelles (art. 37C) ;
i) d’informer les personnes concernées à la suite d’une violation de la
sécurité des données personnelles (art. 37C) ;
j) de désigner une conseillère ou un conseiller LIPAD (art. 50).
4
Si une institution publique ne donne pas suite à l’ordre de la préposée
cantonale ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale
ou le préposé cantonal peut saisir les instances compétentes au sens de
l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures
nécessaires.
Art. 56D Procédure (nouveau)
1
La procédure est régie par la loi sur la procédure administrative, du
12 septembre 1985.
2
L’institution publique visée par une décision de la préposée cantonale ou du
préposé cantonal a qualité pour recourir contre celle-ci.
Art. 56E

Collaboration entre les autorités cantonales, fédérales et
étrangères chargées de la protection des données (nouveau)
1
Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé cantonal
doit collaborer avec les autorités cantonales, fédérales et étrangères chargées
de la protection des données personnelles.
2
La communication de données personnelles dans le cadre de l’entraide
administrative est accordée lorsque les conditions fixées par l’article 39 sont
remplies.
Art. 59, lettre a (nouvelle teneur)
La commission consultative a pour attributions :
a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de
donner son avis sur tout objet touchant aux domaines de la protection des
données, de la transparence et de l’archivage ;

21/52

PL 13347-A

Art. 68, al. 8 (nouveau)
Modifications du … (à compléter)
8
Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté
avant l’entrée en vigueur de la loi … (à compléter), du … (à compléter), pour
autant que les finalités du traitement restent inchangées et que de nouvelles
données personnelles ne soient pas collectées.
Art. 2
Modifications à d’autres lois
1
La loi instituant les numéros d’identification personnels communs, du
20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit :
Art. 1 (nouvelle teneur)
La présente loi a pour but d’instituer les numéros d’identification personnels
communs au sens de l’article 4, lettre n, de la loi sur l’information du public,
l’accès aux documents et la protection des données personnelles, du 5 octobre
2001, utilisés par les institutions publiques au sens de l’article 3 de ladite loi.
***
La loi générale relative au personnel de l’administration cantonale, du
pouvoir judiciaire et des établissements publics médicaux, du 4 décembre 1997
(LPAC – B 5 05), est modifiée comme suit :
Art. 2D
Traitement de données personnelles (nouveau)
1
L’employeur traite les données personnelles au sens de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, dans la mesure nécessaire à la réalisation des
tâches qui lui sont assignées par la présente loi.
2
L’employeur peut traiter des données personnelles sensibles au sens de la loi
sur l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, notamment pour :
a) déterminer les effectifs nécessaires ;
b) recruter du personnel afin de garantir les effectifs nécessaires ;
c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi
que, pendant les rapports de travail, pour déterminer la capacité de
travail ;
d) gérer le traitement et les diverses prestations alloués aux membres du
personnel, établir les dossiers du personnel et gérer les communications
adressées aux assurances sociales ;
e) promouvoir le développement professionnel des membres du personnel ;
2

PL 13347-A

22/52

f) mettre en place et optimiser les conditions de travail pour prévenir les
maladies et accidents professionnels du personnel et veiller à préserver
sa santé ;
g) assurer une planification, un pilotage et un contrôle au moyen d’analyses
de données, de comparaisons, de rapports et de plans de mesures ;
h) gérer des actes de procédure ou des décisions d’autorités concernant les
rapports de travail.
3
Lors de recrutements, l’employeur peut, avec l’accord de la personne
candidate, lui faire passer des tests de personnalité ou utiliser le profilage. Les
résultats de ces tests ou du profilage doivent être détruits dans un délai de
12 mois.
4
L’employeur peut traiter les données visées à l’alinéa 1 dans un système
d’information.
5
Les modalités relatives au traitement des données sont fixées par règlement.
***
La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du
29 août 2013 (LHES-SO-GE – C 1 26), est modifiée comme suit :

3

Art. 6A
Traitement de données personnelles (nouveau)
1
La HES-SO Genève est en droit de traiter, à des fins de recherche, des
données personnelles, y compris sensibles, et de procéder à du profilage, dans
la mesure nécessaire à la réalisation de sa mission de recherche scientifique
fondamentale et appliquée.
2
Les dispositions de la loi fédérale relative à la recherche sur l’être humain,
du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux
documents et la protection des données personnelles, du 5 octobre 2001, ainsi
que celles de leurs réglementations d’application respectives, demeurent
réservées.
***
La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme
suit :
4

Art. 7A
Traitement de données personnelles (nouveau)
1
L’université est en droit de traiter, à des fins de recherche, des données
personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure

23/52

PL 13347-A

nécessaire à la réalisation de sa mission de recherche scientifique fondamentale
et appliquée.
2
Les dispositions de la loi fédérale relative à la recherche sur l’être humain,
du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux
documents et la protection des données personnelles, du 5 octobre 2001, ainsi
que celles de leurs réglementations d’application respectives, demeurent
réservées.
***
La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA –
C 2 08), est modifiée comme suit :

5

Art. 11A, phrase introductive (nouvelle teneur)
Dans le cadre des activités du service visant à traiter les demandes de chèque
annuel de formation et conformément à l’article 36, alinéa 1, de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, le service est autorisé à :
***
La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est
modifiée comme suit :

6

Art. 34 (nouvelle teneur)
Le rapport de révision des états financiers individuels et consolidés de l’Etat
de Genève contient l’opinion du réviseur au sens de l’article 31 et recommande
l’approbation des états financiers avec ou sans réserves, ou leur renvoi au
Conseil d’Etat. Il est joint aux états financiers publiés et approuvés par le
Conseil d’Etat. Les communications écrites complémentaires ne peuvent pas
faire l’objet d’une demande d’accès aux documents au sens de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001. Il en va de même s’agissant des documents
relatifs à d’autres entités reçus par la Cour des comptes dans le cadre de la
révision des états financiers individuels et consolidés de l’Etat de Genève.
***

PL 13347-A
7

24/52

La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit :

Art. 122B, al. 2 (nouvelle teneur)
2
Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la loi
sur l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées à celles
permettant de connaître le statut vaccinal d’une personne relatif à la maladie
concernée.
***
La loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM
– K 2 05), est modifiée comme suit :

8

Art. 4A
Traitement de données personnelles (nouveau)
1
Les établissements sont en droit de traiter, à des fins de recherche, des
données personnelles, y compris sensibles, et de procéder à du profilage, dans
la mesure nécessaire à la réalisation de leur mission de recherche médicale
fondamentale et clinique.
2
Les dispositions de la loi fédérale relative à la recherche sur l’être humain,
du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux
documents et la protection des données personnelles, du 5 octobre 2001, ainsi
que celles de leurs réglementations d’application respectives, demeurent
réservées.
Art. 3
Entrée en vigueur
Le Conseil d’Etat fixe la date d’entrée en vigueur de la présente loi.

25/52

PL 13347-A

Rapport de Diego Esteban
La commission législative a étudié ce projet de loi lors des séances des 9 et
20 octobre 2023, ainsi que celle du 9 février 2024, sous la présidence de
M. Charles Poncet. Elle a siégé en présence de M. Fabien Mangilli, Directeur
des affaires juridiques de la Chancellerie d’État, et Mmes Coralie Pasche et
Athina Hanna, Directrices adjointes. La commission a été assistée dans ses
travaux par Mme Tina Rodriguez, Secrétaire scientifique du Secrétariat Général
du Grand Conseil (SGGC). Les procès-verbaux ont été rédigés par M. Vincent
Dey.
Que toutes ces personnes, ainsi que l’unique auditionné, M. Stéphane
Werly, Préposé cantonal à la protection des données et à la transparence, soient
remerciées pour leur précieuse contribution aux travaux de la commission.
Pour prendre connaissance de l’exposé des motifs complet du Conseil
d’État sur ce projet de loi dont la version originale fait 24 pages, la commission
vous recommande de vous référer au projet de loi tel que déposé 1. Le
rapporteur souligne la qualité de cet exposé des motifs, qui contient une
synthèse détaillée des résultats de la consultation sur l’avant-projet.
Dans le présent rapport, la Direction des affaires juridiques de la
Chancellerie d’État sera abrégée en DAJ, le Préposé cantonal à la protection
des données et à la transparence en PPDT, et le règlement général de l’Union
européenne sur la protection des données en RGPD.
Synthèse
Le fameux RGPD, adopté en 2016 par l’Union Européenne, a marqué une
évolution notable dans le droit de la protection des données sur notre continent.
Les standards de protection de données ayant été particulièrement rehaussés,
la Suisse devait également améliorer son niveau de protection, afin qu’il soit
jugé « adéquat » au sens du droit européen et que notre pays puisse continuer
à accéder au marché de l’UE.
C’est dans ce sens que la loi fédérale sur la protection des données (LPD)
révisée est entrée en vigueur en 2023. Dernière étape de cette réaction en
chaîne, le volet cantonal – à savoir ce projet de loi modifiant la LIPAD – a été
présenté au Grand Conseil la même année. Ce projet de loi de 24 pages n’a
guère suscité de débats, hormis les dispositions concernant la sous-traitance et
celles réglant l’articulation entre l’exigence d’une base légale formelle pour un
1

À lire ici : https://ge.ch/grandconseil/data/texte/PL13347.pdf

PL 13347-A

26/52

traitement de données ou des activités de profilage, et d’un régime dérogatoire
concernant le consentement de la personne concernée.
Face aux réserves exprimées par plusieurs membres de la commission, la
DAJ a présenté un amendement afin que la systématique de la LIPAD
corresponde davantage au droit fédéral. Une solution qui a convaincu la
commission de procéder sans retard à l’adaptation du droit cantonal. Face à un
enjeu aussi sensible que technique, la commission a estimé pouvoir se fier à la
solution longuement élaborée sous la direction de la DAJ, tout en gardant à
l’esprit que la mise en œuvre des nouveaux outils, et en particulier des
nouvelles compétences du PPDT, méritera une analyse attentive pour s’assurer
de la concrétisation des intentions exprimées à travers ce projet de loi.
6 octobre 2023 : présentation de M. Fabien Mangilli, Directeur, et de
Mmes Athina Hanna et Coralie Pasche, Directrices adjointes de la
Direction des affaires juridiques (DAJ) de la Chancellerie d’État.
M. Mangilli présente le fonctionnement de la DAJ et les directrices
adjointes qui l’accompagnent pour cette présentation, et précise que
Mme Hanna est la rédactrice de ce projet de loi, alors que Mme Pasche a
passablement travaillé au sein de la consultation. Si les deux précitées sont
celles qui ont le plus travaillé sur ce projet de loi, M. Mangilli dispose d’une
certaine connaissance sur des détails techniques.
Il évoque le règlement général 2016/679 de l’Union européenne (UE) sur la
protection des données (RGPD) 2, qui n’est pas un acquis de l’espace Schengen
et n’est pas directement applicable à la Suisse. Toutefois, il concerne la Suisse
dans la mesure où de nombreux prestataires de services sont situés dans l’UE.
Il s’agit donc pour la Suisse d’accéder au marché de l’UE, et a minima de
pouvoir traiter et transférer des données au sein de l’UE. Une « déclaration
d’équivalence », à savoir la reconnaissance par l’UE que le niveau de
protection des données en Suisse est suffisant, est donc nécessaire. La directive
2016/680 de l’UE 3 est en revanche un acquis Schengen, qui doit être repris par
la Suisse. La directive diffère peu du RGPD, si ce n’est que son champ
d’application est moindre. Il existe également une Convention n°108 du
Conseil de l’Europe sur la protection des données 4, directement applicable à la
2
3
4

À consulter ici :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
À consulter ici :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32016L0680
À consulter ici :

27/52

PL 13347-A

Suisse, pour laquelle il existe un protocole d’accord approuvé par l’Assemblée
fédérale en juin 2020 5.
La Suisse a formellement ratifié ce protocole début septembre 2023, son
entrée en vigueur intervenant une fois qu’un minimum de signatures par les
membres du Conseil de l’Europe aura été apposé. Cela a nécessité sur le plan
fédéral une révision totale de la LPD 6. Cette loi s’applique tant aux institutions
qu’aux personnes privées. Une révision de la LIPAD est la dernière étape de
cet « effet domino ». En raison des nombreuses étapes préalables, les cantons
ont attendu les travaux sur le plan fédéral pour s’adapter, afin d’éviter d’aller
dans des directions opposées à la Confédération.
M. Mangilli indique que la révision proposée a été adoptée par le Conseil
d’État en juillet 2023, résultat d’un avant-projet élaboré sous l’égide du groupe
interdépartemental LIPAD/RIPAD, composé des responsables LIPAD des
différents départements, avec la participation ponctuelle du PPDT. Une
consultation publique a été menée de juillet à octobre 2022, 45 des 69 entités
sollicitées ayant répondu, avec un accueil global plutôt positif. Un rapport sur
les résultats de la consultation figure en page 116 de l’exposé des motifs du
projet de loi (PL 13347).
Il indique que quatre principales adaptations sont proposées : une
adaptation terminologique, basée sur la loi fédérale (et qui concerne
notamment le profilage et les responsables du traitement), un renforcement des
droits des personnes concernées, un renforcement des obligations des
responsables du traitement (des études d’impact devront être effectuées), et un
renforcement de la compétence du PPDT, avec un véritable pouvoir de
décision à l’égard des institutions. Il s’agit enfin d’institutions publiques, les
personnes privées n’étant pas comprises dans le champ d’application.
Mme Hanna affirme que ce projet de loi suit trois principes. En premier lieu,
une approche fondée sur les risques : plus le risque d’atteinte à la sécurité des
données est élevé, plus les exigences auxquelles les mesures prises par les
responsables du traitement sont soumises seront élevées. En second lieu : ce

5

6

https://www.coe.int/fr/web/data-protection/convention108andprotocol#:~:text=Convention%20pour%20la%20protection%20des,de%20la%
20protection%20des%20donn%C3%A9es.
À consulter ici :
https://www.parlament.ch/fr/ratsbetrieb/suche-curiavista/geschaeft?AffairId=20190068
À consulter ici :
https://www.kmu.admin.ch/kmu/fr/home/faits-ettendances/digitalisation/protection-des-donnees/nouvelle-loi-sur-la-protectiondes-donnees-nlpd.html

PL 13347-A

28/52

projet de loi est technologiquement neutre. Tous les types de traitement sont
concernés, peu importe la technologie utilisée, sachant que les évolutions sont
très rapides. En troisième lieu : la modernisation et l’adaptation de la
terminologie.
Concernant ce dernier point, au-delà de l’harmonisation avec le droit
supérieur, il s’agit de prévenir contre les risques liés à l’interprétation des
termes. Par exemple, les opinions et activités culturelles ne figurent plus dans
la liste des données personnelles sensibles, ce qui était une spécificité
genevoise. La notion de profilage a remplacé le profil de personnalité,
l’appartenance ethnique a été remplacée par « origine raciale ou ethnique », la
notion de traitement a été élargie à celles de l’effacement, l’interconnexion et
le rapprochement, afin d’englober les nouvelles technologies. La définition du
traitement est exemplative, et remplace la notion de fichier, ce qui implique
que celle de « maître de fichier » a été transformée en « responsable du
traitement ». La notion de « sous-traitant » a également été introduite. Les
données génétiques et biométriques ont été ajoutées à la liste des données
personnelles sensibles. Le projet de loi introduit également une définition de
l’anonymisation, par clarté, mais aussi parce qu’elle concerne de nombreuses
dispositions. Il introduit également la notion de décision individuelle
automatisée.
Concernant les droits des personnes concernées, l’objectif est de renforcer
l’autodétermination au sujet des données personnelles ainsi que la transparence
sur les traitements effectués afin que ces droits puissent effectivement être
exercés. Les modifications concernent donc un devoir d’informer, un
renforcement du droit d’accès à ses propres données, et de nouvelles
obligations en matière de décisions individuelles automatisées. Pour ces
dernières, il existe une obligation d’informer ainsi qu’une possibilité de former
une réclamation, en précisant le cadre de celle-ci.
Concernant le renforcement des obligations des responsables du traitement,
l’analyse d’impact qui a déjà été évoquée est la concrétisation du principe de
la proportionnalité et de l’approche basée sur les risques. Tout traitement doit
donc faire l’objet d’une analyse pour s’assurer que seuls les traitements
nécessaires seront effectués. L’analyse d’impact intervient donc en amont,
mais elle n’est obligatoire qu’en cas de risque potentiellement élevé pour la
personnalité et les droits fondamentaux de la personne concernée. L’analyse
décrit le traitement envisagé, évalue les risques identifiés et précise les mesures
à prendre pour pallier ces risques. Il y a deux conséquences possibles : soit un
projet de loi est jugé nécessaire, soit ce n’est pas le cas, mais l’approbation du
PPDT est indispensable. Le Conseil fédéral a émis des directives, le préposé

29/52

PL 13347-A

fédéral a de son côté émis un aide-mémoire : le canton s’en inspirera dans la
mise en œuvre.
Concernant la sécurité des données, deux principes de précautions ont été
ajoutés dans la loi : la protection dès la conception et la protection par défaut.
Le premier principe oblige les responsables à prendre les mesures nécessaires
dès les premières étapes de conception des opérations de traitement. L’idée est
de prévenir plutôt que de guérir. Le second implique que les responsables du
traitement doivent mettre en place les préréglages appropriés, que l’utilisatrice
ou l’utilisateur a la possibilité de changer, par exemple en créant un compte
d’utilisateur. Tous les logiciels et le matériel doivent par conséquent être
configurés de manière à protéger au maximum les données des utilisatrices et
utilisateurs.
Concernant l’obligation d’annoncer les violations de la sécurité des
données, certaines mesures sont prises immédiatement. S’il est constaté qu’il
existe des risques pour la personnalité ou les droits fondamentaux de la
personne concernée, les responsables du traitement doivent avertir le PPDT
dans les meilleurs délais, ainsi que la personne concernée si cela est nécessaire
à sa protection (changer un mot de passe par exemple) ou si le PPDT demande
une telle annonce. Sur le plan fédéral, un portail favorise la notification de
toutes ces violations.
Concernant la sous-traitance, elle figurait dans le règlement, mais il est
proposé de la fixer dans la loi. Cela correspond à une exigence des directives
européennes découlant du RGPD. Le niveau de protection adéquat a été
maintenu, dans le sens de la nouvelle disposition constitutionnelle concernant
le droit à l’intégrité numérique.
Enfin, concernant le devoir d’informer la personne concernée, il porte sur
le renforcement de la transparence au sujet de l’existence, la méthode et les
motifs d’un traitement. Cela permettra aux personnes d’agir et d’exercer leurs
droits.
Mme Pasche informe que les organes publics ont l’obligation de désigner
une personne en charge de la protection des données. À Genève, cela existe
déjà : le canton désigne des responsables LIPAD. Ce projet de loi ne procède
qu’à une adaptation terminologique, on parle désormais de conseillères et de
conseillers LIPAD. Ces personnes endossent un rôle d’interlocuteur privilégié
entre la population, le PPDT et les autorités. Elles recourent également aux
analyses d’impact et annoncent les violations. Il existe désormais la possibilité
de désigner une seule personne pour plusieurs institutions de petite taille et
disposant de ressources plus réduites par exemple.

PL 13347-A

30/52

S’agissant du renforcement des compétences du PPDT, il s’agit d’une
exigence du droit supérieur. Le pouvoir de contrôle est renforcé, tout comme
la possibilité de demander des renseignements et documents ; un pouvoir de
décision existe désormais, ce qui est une nouveauté. L’autorité peut recourir
contre cette décision.
Enfin, s’agissant des cantons, il faut relever leur marge de manœuvre assez
restreinte. Raison pour laquelle ce projet de loi est particulièrement technique,
et s’il introduit certaines nouveautés, il n’y a pas de bouleversement. Elle
mentionne enfin que la législation fédérale est déjà en vigueur, mais que
Genève n’est pas le seul canton qui sera en décalage. Elle invite la commission
à accueillir favorablement ce projet de loi.
Échanges avec les commissaires
Des commissaires (UDC) demandent quels étaient les points négatifs
relevés lors de la consultation. Mme Hanna évoque la proposition de soumettre
à la LIPAD certaines entreprises privées délégataires de tâches publiques, qui
n’a pas été conservée dans le projet de loi finalement déposé. La Banque
cantonale genevoise (BCGE) n’est pas comprise dans le champ d’application
en raison de critères précis fixés par la jurisprudence, ce qui est détaillé dans
l’exposé des motifs afin de prévenir la demande de certaines entités de
bénéficier du même régime d’exception. M. Mangilli précise qu’en revanche,
la Cour des comptes figure désormais dans le champ d’application.
Des commissaires (PLR) relèvent que le PPDT avait jugé les articles 36 et
36A plus souples qu’au niveau fédéral et recommandé que le canton s’aligne
sur la Confédération, et demandent si une telle différence est nécessaire.
M. Mangilli mentionne que la LIPAD contient déjà des exigences similaires
en cas de traitement de données personnelles sensibles. Mme Hanna répond que
le projet de loi met les données personnelles sensibles, le profilage ainsi que le
traitement dont les finalités sont susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée sur un pied d’égalité. Ces trois
traitements présenteraient un risque similaire d’atteinte aux droits
fondamentaux. Dans tous les cas, l’exigence d’une base légale existe, car le
traitement doit a minima être indispensable à une tâche contenue dans une base
légale formelle. À son sens, l’exigence d’une base légale est respectée, soit
pour la tâche, soit pour le traitement en tant que tel. Sa crainte est que s’il faut
modifier la loi pour chaque traitement, comme cela est prévu dans le droit
fédéral, cela impliquerait des modifications énormes. Il n’existerait pas
d’avantages avérés dans les faits.

31/52

PL 13347-A

Ces mêmes commissaires (PLR) demandent, à l’inverse, quels problèmes
seraient rencontrés dans la mise en œuvre si la commission décidait de suivre
la recommandation du PPDT sur ces dispositions. Mme Hanna répond qu’une
base légale devrait être établie pour chaque traitement de données, concernant
tant les données sensibles que le profilage. Le travail est plus conséquent si le
critère de l’exigence de base légale est le traitement que s’il s’agit de la tâche.
Dans l’analyse de la proportionnalité, il a été estimé que ce niveau d’exigence
était trop élevé par rapport aux avantages potentiels.
Ces mêmes commissaires (PLR) demandent des précisions concernant les
commentaires fournis par les préposés. Mme Hanna répond qu’ils ont été
analysés et pris en considération dans la mesure du possible, sachant que les
préposés ont participé aux travaux. Les motifs de l’art. 36A par exemple ont
été complétés sur la base de leurs contributions.
Des commissaires (UDC) questionnent le principe même d’une collecte de
données sensibles sans base légale formelle et sans le consentement des
personnes concernées. Mme Hanna répond que c’est déjà le cas, mais qu’il ne
s’agit pas d’un « no man’s land » : la tâche correspondante doit figurer de
manière suffisamment précise dans une loi au sens formelle, et le traitement
doit être indispensable à son accomplissement. Il existe donc un cadre
juridique pour cette pratique. Les commissaires comprennent que le
consentement dispense de la base légale.
Des commissaires (S) demandent des exemples de cas d’application de
l’art. 36A, en questionnant la nécessité de devoir procéder à des traitements
pouvant porter atteinte aux droits fondamentaux sans ouvrir un débat à part
entière sur la question. Mme Hanna informe qu’il n’était pas envisagé que ce
cas de figure se produise de manière récurrente ou banalisée, mais qu’il s’agit
plutôt d’une exception. M. Mangilli évoque le cas de la gestion d’une prison
avec des données sur les condamnations pénales : le traitement exige le
consentement éclairé de la personne, ce qui implique l’existence d’une base
légale. Il mentionne également la situation dans laquelle, à travers un portail,
une personne peut consentir à ce que l’administration accède à des données
personnelles en vue de vérifier qu’elle n’a jamais fait l’objet d’une procédure
administrative. Le consentement permettrait ainsi à une autorité administrative
de se renseigner auprès d’une autre afin d’obtenir des informations ou
documents contenant des données personnelles sensibles : le consentement
ferait office de validation du traitement, et dans ce cas, la base légale et le
consentement forment un tout. Si cela n’était pas prévu, il pourrait y avoir des
obstacles dans certaines activités de l’État et certaines de ses interactions avec
des administrées ou administrés.

PL 13347-A

32/52

Ces mêmes commissaires (S) expriment un besoin de vulgarisation et
d’exemplification de ce mécanisme, craignant que la formulation légale offre
une carte blanche pour violer les droits fondamentaux en lien avec la protection
des données. M. Mangilli précise que la LIPAD connaît déjà un mécanisme
similaire, et que même si la formulation n’est pas idéale, la Chancellerie a en
toute bonne foi eu l’impression, dans ce projet de loi, de renforcer le cadre et
non pas d’assouplir les règles.
Ces mêmes commissaires (S) demandent si le consentement sous forme de
petite fenêtre apparaissant sur un site web avec de longs textes et un simple
bouton « j’accepte » satisfait aux exigences de la loi, et demandent des
exemples concrets. Mme Hanna indique que les travaux sur le plan fédéral n’ont
pas été d’une grande aide pour préciser ce point. Elle répond qu’il existe une
gradation en fonction de la sensibilité des données : en cas d’atteinte
potentielle aux droits fondamentaux, le consentement doit être exprès.
Ces mêmes commissaires (S) demandent des précisions au sujet de la
suppression des données liées aux opinions et activités culturelles. Mme Hanna
indique que le RGPD les range dans les données « simples », mais pas dans les
données sensibles, ce qui est uniquement le cas à Genève.
Ces mêmes commissaires (S) questionnent l’exclusion totale de la BCGE
du champ d’application de la LIPAD, et demandent si l’entier du traitement de
données est réellement déjà couvert par le droit fédéral. Mme Hanna rappelle
que l’idée est que la loi s’applique aux institutions de droit public, mais que la
BCGE exerce une activité de droit privé. Le droit fédéral s’applique aux privés,
ce qui n’est pas le cas de la LIPAD : considérer que la BCGE n’est pas une
institution publique, mais plutôt une personne morale de droit privé, empêche
de l’assujettir à la LIPAD.
Des commissaires (PLR) constatent que l’extension de la LIPAD aux
délégataires privés a été favorablement accueillie, mais que le projet de loi a
abandonné cette piste sans l’expliquer clairement, et demandent davantage
d’explications sur ce choix. Mme Pasche évoque des remarques reçues quant à
l’articulation de l’art. 3, qui est difficile à lire. Vu que cela pouvait impliquer
d’autres modifications, de nouvelles discussions ont été menées au sein du
groupe interdépartemental LIPAD. La conclusion était que cette articulation
n’était pas aboutie, mais que cette modification pourrait être proposée
ultérieurement, dans la mesure où elle n’est pas exigée par le droit supérieur.
Le droit fédéral comprend une articulation différente : la LPD est applicable
aux personnes privées, et les activités soumises à concurrence sont exclues de
la loi sur la transparence.

33/52

PL 13347-A

Des commissaires (S) recommandent à la Chancellerie de formuler une
proposition dans le cadre de ce projet de loi, car un projet portant uniquement
sur ce point pourrait connaître un traitement moins consensuel.
Des commissaires (UDC) demandent si le droit fédéral ne s’applique pas
dans tous les cas aux délégataires. Mme Pasche répond dans l’affirmative : un
délégataire privé menant une tâche publique demeure soumis à la LPD.
M. Mangilli précise qu’il faut distinguer les délégataires et la sous-traitance :
en cas de sous-traitance, le traitement se fait au nom de l’institution avec des
règles particulièrement strictes. Les entités dites subventionnées ont pour
certaines des contrats de prestations avec l’État afin d’accomplir une ou
plusieurs tâches publiques, mais ont une autre activité en parallèle qui n’est
pas subventionnée. Un problème aurait pu subvenir si la LIPAD s’appliquait à
une partie de l’activité de l’institution, mais pas à l’autre.
Ces mêmes commissaires (UDC) évoquent une affaire à Zurich dans
laquelle le Conseil d’État a utilisé l’équivalent zurichois de la LIPAD pour
obstruer les demandes d’accès aux documents. M. Mangilli rappelle
l’exclusion de la BCGE du champ d’application de la loi, mais aussi l’ajout de
la Cour des comptes dans l’art. 20A, à la demande de celle-ci. Il s’agissait
uniquement de régler l’accès à certains documents et aux réunions à huis clos,
mais pas de réduire l’accès aux documents.
Discussion
Des commissaires (S) auraient souhaité que la loi se montre plus exigeante
avec l’admissibilité des motifs d’un traitement, et proposent l’audition du
PPDT.
Des commissaires (PLR) estiment au contraire que le rapport écrit du PPDT
suffit et que seul un complément semble nécessaire, et proposent donc de le
solliciter par écrit plutôt que de le faire déplacer pour une audition qui risque
d’être très brève.
Des commissaires (UDC) rappellent que les commissaires ne sont pas
toutes et tous des spécialistes, et que l’audition pourrait se révéler plus
didactique.
Les mêmes commissaires (PLR) se rallient à l’audition du PPDT.

PL 13347-A

34/52

Votes
1er débat
La présidence met aux voix l’entrée en matière du PL 13347 :
Oui :
9 (2 S, 1 Ve, 1 LC, 1 UDC, 2 PLR, 1 MCG, 1 LJS)
Non :
0
Abstentions : 0
L’entrée en matière est acceptée.
20 octobre 2023 : audition de M. Stéphane Werly, Préposé cantonal à la
protection des données et à la transparence (PPDT).
M. Mangilli indique en préambule qu’une discussion est en cours avec
M. Werly concernant l’art. 36 de la loi, mais qu’une proposition finalisée n’est
pas encore prête.
La présidence informe que l’art. 36 et l’art. 36A du PL seront donc mis à
part dans le cadre de l’examen article par article du projet de loi, et repris à une
séance ultérieure.
M. Werly salue en premier lieu le travail de grande qualité de la DAJ. Il
précise que ses suggestions concernant l’art. 36 étaient plutôt des
interrogations, dans l’idée de trouver une solution. Il explique que l’objectif de
cette révision de la LIPAD est une mise en conformité avec le droit supérieur.
Concernant l’art. 36 du PL, actuellement lorsqu’une institution publique traite
des données personnelles, elle doit se fonder sur une base légale, ou alors le
traitement doit entrer dans le cadre des tâches de la loi. L’exigence de base
légale concerne les données personnelles sensibles.
En droit fédéral, l’art. 34 LPD – entré en vigueur le 1er septembre 2023 –
fixe cette exigence dans trois cas particuliers : lorsqu’il s’agit d’un traitement
de données sensibles, lorsque cela concerne un profilage (c’est-à-dire établir
un profil de personnalité) ou dans l’éventualité où la finalité du traitement ou
le mode de traitement est susceptible de porter gravement atteinte aux droits
fondamentaux de la personne concernée. Dans le message du Conseil fédéral 7,
il est indiqué qu’une atteinte grave aux droits fondamentaux résulte soit de la
finalité, soit du mode de traitement. Dans le premier cas, il est traité des
données personnelles afin d’évaluer, par exemple, la dangerosité d’une
personne, afin d’évaluer son potentiel pour exercer une fonction ou son
aptitude à accomplir une obligation, ceci selon son mode de vie. Il s’agit donc

7

Page 6695 : https://www.fedlex.admin.ch/eli/fga/2017/2057/fr

35/52

PL 13347-A

d’une formulation particulièrement indéterminée. Il est également donné
l’exemple de décisions individuelles automatisées.
Dans l’éventualité où il s’agit d’un traitement de données sensibles ou d’un
profilage, il est possible de se fonder sur une base légale matérielle, c’est-à-dire
une simple ordonnance, pour autant que deux conditions soient remplies : il
faut que le traitement de données soit indispensable à l’accomplissement d’une
tâche qui est définie dans une loi au sens formel, et il faut que le but du
traitement ne présente pas de risque particulier, ceux-ci ne présentant pas de
danger pour les droits fondamentaux. S’il s’agit en revanche de risque
d’atteinte aux droits fondamentaux, il est nécessaire d’avoir une loi au sens
formel.
Concernant l’art. 36 al. 1 du PL, il relève que les données personnelles sont
traitées afin d’accomplir des tâches. Par exemple, l’autorité reçoit les données
des personnes qui lui demandent des recommandations en matière de
protection des données, raison pour laquelle cette autorité traite des noms et
des prénoms. Au sein de la loi, il n’est toutefois pas indiqué qu’elle est
autorisée à les traiter. Cependant, elle ne traite que les données nécessaires à
l’accomplissement de ses tâches dans le cadre de ses missions. Au contraire,
aucune base légale n’autorise cette autorité à traiter de données sur la santé
d’une personne par exemple. C’est l’art. 36 al. 2 let. b du PL qui diffère du
droit fédéral.
M. Werly indique collaborer avec la DAJ depuis 2017 et avoir étudié le
message du Conseil fédéral sur la LPD. La question posée par l’art. 36 a été au
cœur des discussions dès le début, la solution figurant dans le projet de loi
paraissant acceptable. Le titre de l’art. 36A (« consentement ») semble
soulever des interrogations : il ne s’agit pas d’un cadre de droit privé, il ne faut
surtout pas donner l’impression que le consentement peut justifier un
traitement de données personnelles, dans la mesure où le consentement est un
fait justificatif qui doit être exceptionnel. Il ne peut en aucun cas justifier des
traitements systématiques.
Échanges avec les commissaires
Des commissaires (UDC) demandent si le titre « exceptions » aurait été
plus adapté. Mme Hanna rappelle que l’exposé des motifs précise que cette
disposition ne permet pas de traitements récurrents. M. Werly estime ne pas y
voir de problème.
Des commissaires (S) affirment ne pas saisir l’entier du champ des
situations pouvant se produire en lien avec cette disposition, et craignent des
effets indésirables qui n’auraient pas été envisagés au moment de son adoption.

PL 13347-A

36/52

Des commissaires (LC) demandent en complément des exemples concrets
explicitant la notion de consentement à l’art. 36A al. 1. M. Werly concède ne
pas avoir davantage d’exemples à donner, mais peut imaginer le cas du
traitement de données d’un nom de famille afin d’établir des bulletins de
paiement, mais dans le but secret de révéler l’origine ethnique ou la conviction
religieuse d’une personne. Dévier la finalité d’un traitement consisterait en
effet en une atteinte aux droits fondamentaux s’il permet un profilage portant
sur des données personnelles sensibles.
Ces mêmes commissaires (S) demandent s’il pourrait exister une situation
dans laquelle ce genre de traitements serait nécessaire à l’accomplissement
d’une tâche légale. M. Werly reconnaît dans cette question les discussions
menées pendant les travaux préparatoires, et estime qu’il serait possiblement
préférable de n’avoir aucune dérogation à l’exigence d’une base légale, plutôt
que de la cantonner aux données personnelles sensibles ou activités de
profilage. Il explique que sur le plan fédéral, toute atteinte grave nécessite une
base légale et trouve judicieux d’en faire de même sur le plan cantonal.
Mme Hanna relate les deux possibilités : soit une base légale formelle permet
les traitements, soit il existe une clause dérogatoire pour des traitements
indispensables lorsqu’une tâche est suffisamment décrite dans une loi au sens
formel, cette seconde variante semblant disposer de cautèles suffisantes. De
plus, avec le nouveau registre des traitements, ceux-ci devront être déclarés
dans un registre, en y indiquant un certain nombre d’informations : tout ceci
sera public et donc transparent, sous le contrôle du PPDT. Il ne s’agit donc pas
d’une porte ouverte vers des applications indéterminées.
Des commissaires (UDC) jugent l’utilisation des données davantage sujette
à problèmes que leur traitement. Mme Hanna répond que cela dépend des
finalités et des modalités, car des données simples peuvent être dangereuses.
Des commissaires (Ve) suggèrent de remplacer le « ou » de l’art. 36 par un
« et », afin que les traitements soient dûment justifiés. M. Werly ne pense pas
que cela soit possible : si une base légale prévoit expressément un traitement,
son caractère indispensable est donc déjà établi.
Des commissaires (S et LC) souhaitent savoir quelles sont les exigences de
forme pour l’expression du consentement, en particulier si un seul clic
autoriserait une quinzaine de traitements sur des données personnelles
sensibles, dans des buts qui sembleraient peu clairs pour des non-initiés.
M. Werly répond qu’il n’est pas possible de consentir de manière générale à
tous les traitements. L’idée est que pour chaque traitement, un consentement
est obligatoire, et il n’est pas possible de présumer ce consentement. Au
moment où celui-ci est sollicité, la personne doit être informée, afin que le
consentement soit libre et éclairé.

37/52

PL 13347-A

Des commissaires (S) demandent ce qu’il adviendrait pour le cas où le
caractère indispensable du traitement de données sensibles apparaîtrait
douteux aux yeux du PPDT. M. Werly rappelle les articles 56 et suivants du
PL, qui règlent la procédure en cas de traitement non conforme de données
personnelles : les instances à saisir sont mentionnées, dont la Chambre
administrative de la Cour de Justice (CACJ). Cette situation ne s’est produite
que deux fois en dix ans, s’arrêtant au stade de la recommandation. Il n’a
jamais été nécessaire de saisir la CACJ. Il s’agissait de la Fondation des
Parkings, qui avait décidé de faire effectuer des tests d’urine par des agents de
sécurité sans aucune base légale, projet qui avait été retiré par la suite ; l’autre
cas concernait l’Université de Genève, qui avait décidé d’effectuer des
examens en récoltant des données biométriques au motif qu’à Genève, ce type
de données n’est pas considéré comme données personnelles sensibles, alors
qu’elles le sont au niveau fédéral (traitement également abandonné). Il rappelle
enfin que l’autorité de protection des données et transparence rend chaque
année un rapport.
Des commissaires (MCG) demandent dans quelle mesure des données
personnelles peuvent être non sensibles en général, mais sensibles dans un cas
particulier, car dans ce cas l’exigence de base légale se heurte au principe selon
lequel la loi doit être générale et abstraite. M. Werly répond que cela dépend
de la finalité du mode de traitement, mais relève que le nouveau commentaire
de la LPD n’offre aucune indication à ce sujet. Mme Hanna précise qu’il est
possible de se contenter d’une base légale matérielle lorsque le traitement est
indispensable à une tâche prévue au sein d’une base légale formelle, mais il
existe une condition supplémentaire : il est nécessaire que la finalité du
traitement ne présente pas de risques particuliers. Il existe donc une divergence
entre le cas où seule la finalité des traitements et activités de profilage présente
des risques particuliers d’atteinte aux droits fondamentaux, et celui où tant les
finalités que les modalités présentent des risques d’atteinte grave. La notion de
risques particuliers est particulièrement indéterminée, aucune explication n’est
donnée dans la feuille fédérale ou dans le nouveau commentaire de la LPD à
ce sujet, hormis qu’un risque particulier est moins grave qu’une atteinte grave.
Cela présente des difficultés de mise en œuvre.
Des commissaires (UDC) craignent un problème de traduction de
l’allemand. Mme Hanna ne pense pas que ce soit le cas, le commentaire du
Professeur Métille ne mentionnant rien à ce sujet.
Des commissaires (S) comprennent que si les conditions de l’art. 36 sont
jugées suffisantes, l’art. 36A peut être abrogé. M. Werly répond par la
négative, étant donné que la LIPAD n’est pas du droit privé et qu’il faut donc
prévoir une disposition spécifique au consentement. Mme Hanna rappelle que

PL 13347-A

38/52

l’art. 36A du PL est calqué sur le droit fédéral, les PPDT n’ayant formulé que
des remarques sur l’emplacement de la disposition, mais pas sur le fond.
Mme Hanna souhaite revenir sur la systématique du projet de loi (se référer
au schéma en annexe du présent rapport) : il est question de base légale
formelle, respectivement matérielle, ainsi que des conditions permettant de
choisir entre les deux. Il est toutefois nécessaire d’observer l’encadré vert en
bas de page, qui permet de déroger à tout le reste. Le droit fédéral – comme le
droit cantonal actuel d'ailleurs, mais avec d’autres exigences – prévoit la
possibilité d’un consentement qui dispense de l’exigence d’une base légale.
Des commissaires (UDC) demandent pourquoi le projet de loi ne reprend pas
simplement la systématique du droit fédéral. Mme Hanna rappelle qu’il existe
déjà l’art. 35 LIPAD, qui traite du consentement et permet un traitement de
données sensibles. Les PPDT ne souhaitaient pas d’article ad hoc, estimant que
cela donnerait une importance particulière au consentement, qui doit rester une
exception. Mais ni le principe ni les modalités de ce mécanisme n’étaient remis
en question.
Des commissaires (S) s’interrogent sur la différence entre l’art. 35 al. 2
LIPAD et l’art. 36A du projet de loi. Mme Hanna indique que le consentement
est une notion provenant de la Convention n° 108 du Conseil de l’Europe, où
il constitue le premier motif de légitimation d’un traitement. L’art. 36A se veut
la transposition de l’art. 5 § 2 de la Convention n° 108, en particulier en
exigeant du responsable du traitement qu’il prouve avoir obtenu le
consentement de la personne concernée.
Ces mêmes commissaires (S) demandent si la LIPAD actuelle ne suffirait
pas sur ce point. M. Werly estime que l’art. 36A du projet de loi respecte
davantage la teneur de la Convention n° 108 et du droit fédéral que l’art. 35
al. 2 LIPAD, et juge inopportun de le supprimer.
Des commissaires (MCG) relèvent qu’il semble évident qu’il ne faille pas
de base légale formelle lorsqu’il n’y a pas de risques particuliers pour les droits
fondamentaux. Mme Hanna acquiesce et témoigne de son scepticisme vis-à-vis
du droit fédéral, qui distingue finalités et modalités du traitement de données
personnelles susceptibles de porter gravement atteinte aux droits
fondamentaux d’une part, des finalités des traitements présentant des risques
particuliers pour les droits fondamentaux en ce qui concerne les traitements de
données personnelles sensibles et le profilage d'autre part. Cela ressemble à un
mécanisme circulaire, avec une exception qui n’en est en réalité pas vraiment
une, car aucune exception n’est possible dès qu’il existe le moindre risque.
Cela ne fait pas sens, il faudrait simplement ne prévoir aucune exception.
M. Mangilli ajoute qu’en vérifiant les versions allemande et italienne, aucune
différence particulière avec la version française ne saute aux yeux.

39/52

PL 13347-A

Ces mêmes commissaires (MCG) relèvent que les bases légales matérielles
englobent les bases légales formelles, et demandent si les tâches légales
permettant de se contenter d’une base légale matérielle doivent être contenues
dans une base légale formelle. Mme Hanna explique que les tâches figurent
usuellement au sein de bases légales formelles.
Ces mêmes commissaires (MCG) demandent pourquoi une loi au sens
formel est exigée à l’art. 36 al. 2 du projet de loi, mais pas à l’al. 1 de la même
disposition (se référer au schéma en annexe du présent rapport). M. Mangilli
précise que l’encadré vert ne concerne que l’al. 2 de l’art. 36, et concerne le
traitement des données personnelles sensibles, les activités de profilage, ou
lorsque les finalités ou modalités de traitement sont susceptibles de porter
gravement atteinte aux droits fondamentaux de la personne concernée. Il s’agit
en effet des cas où une base légale formelle est nécessaire. Par exemple pour
la collecte de noms et prénoms pour le registre des mandataires, ces données
n’étant pas des données personnelles sensibles, leur collecte pourrait n’être
fondée que sur un règlement.
Des commissaires (LC) estiment que, à l’instar des visites chez le médecin
ou à l’hôpital où un formulaire de consentement pour la collecte de données
médicales sensibles doit obligatoirement être signé pour être reçu, conditionner
l’accès à certaines prestations publiques à l’expression d’un consentement ne
donne pas vraiment de choix, ce qui empêche d’obtenir un consentement libre
et éclairé. M. Werly répond que cela tombe sous le coup de l’art. 36A al. 2 du
projet de loi, respectivement l’art. 35 al. 2 LIPAD. Il précise que le
consentement accordé dans un cadre médical n’autorise normalement pas la
transmission des données à l’assurance-maladie par exemple, leur traitement
est limité à ce qui est nécessaire pour l’organisation d’un rendez-vous. Des
commissaires (MCG) réagissent en indiquant que les situations complexes
litigieuses seraient laissées à l’appréciation des tribunaux.
Ces mêmes commissaires (LC) demandent s’il est opportun de laisser la
personne saisir les tribunaux au lieu d’agir en amont. M. Werly répond
qu’avant le tribunal, il est possible de faire constater un traitement illicite par
l’autorité compétente.
Revenant sur les exemples relevant des prestations médicales, ces mêmes
commissaires (LC) demandent si la réutilisation de données pour une nouvelle
finalité requiert un nouveau consentement. M. Werly répond par l’affirmative.
Des commissaires (Ve) questionnent le caractère libre et éclairé du
consentement lorsque son expression conditionne l’accès à une prestation, ou
lorsque l’information à ce sujet manque de clarté ou se montre particulièrement
volumineuse, comme c’est souvent le cas sur internet. M. Mangilli rappelle

PL 13347-A

40/52

que ces craintes concernent en particulier la relation avec des acteurs privés,
mais que le projet de loi concerne les relations avec les institutions étatiques,
qui sont tenues d’offrir un certain nombre de garanties, au regard notamment
de la nouvelle disposition constitutionnelle sur l’intégrité numérique.
Consentir à un traitement pour prendre rendez-vous à l’hôpital public ne
présente pas le même risque que créer un compte Facebook. Il considère qu’il
faut néanmoins faire preuve de vigilance en toutes circonstances.
Ces mêmes commissaires (Ve) demandent si les responsables du traitement
ont la capacité de mener des contrôles en cas de sous-traitance si le volume de
données traitées est important. M. Werly répond que la LIPAD actuelle
remonte à mars 2002, les travaux préparatoires datant de 1990 ; à ce
moment-là, il s’agit d’institutions traitant elles-mêmes les données, il n’y a pas
de sous-traitance. Mais lors de son entrée en fonction en 2014, on assistait à
l’apparition de la sous-traitance et de nouvelles notions comme le « cloud ».
La sous-traitance en Suisse étant la plus sécurisée et la plus chère, le RIPAD
interdisait la sous-traitance de données personnelles sensibles hors de Suisse.
L’art. 13A RIPAD correspond à l’art. 36C du projet de loi. Aujourd’hui, la
sous-traitance est fréquente, et les contrats sont contrôlés par l’autorité de
protection des données et transparence. Chaque institution possède des
responsables LIPAD, au moins une personne ayant des connaissances en
matière informatique et sur la protection des données. Dès que des questions
sont soulevées, une discussion avec le ou la responsable LIPAD est établie.
Lorsque les contrats sont conclus avec de grandes entreprises, le contrôle est
plus difficile. Les institutions restent responsables des données qu’elles font
sous-traiter, donc la possibilité d’effectuer un contrôle est une obligation des
institutions publiques.
Ces mêmes commissaires (Ve) demandent dans quelle ampleur l’État de
Genève sous-traite les données. M. Werly répond que le canton comprend 174
institutions publiques, et qu’il y a de nombreux cas de sous-traitance.
Ces mêmes commissaires (Ve) demandent s’il y a des différences de cadre
légal entre institutions publiques et sous-traitants, en particulier ceux situés en
dehors de la Suisse. M. Werly explique que c’est le PPDT fédéral qui établit la
liste des pays dits sans risque. Si les données RH des TPG sont sous-traitées
en Inde par exemple, l’autorité de protection des données et transparence
interviendra pour expliquer que cela pose des problèmes. Or, il n’est pas
possible pour cette autorité d’avoir un regard sur la totalité des contrats de
sous-traitance ; toutefois, concernant ceux qui passent dans son radar, il fait
attention à ce que des garde-fous soient présents et que l’actuel art. 13A
RIPAD (art. 36C du projet de loi) soit respecté.

41/52

PL 13347-A

Discussion interne
La présidence propose un tour de table concernant les art. 36 et 36A avant
d’aborder le deuxième débat, et demande si d’autres dispositions soulèvent de
potentielles objections.
Des commissaires (S) souhaitent prendre davantage de temps pour analyser
les enjeux et l’opportunité de présenter un amendement. On peut apprécier ou
non la teneur des dispositions telles que figurant dans le projet de loi, encore
faut-il avoir une alternative à proposer.
Des commissaires (PLR) estiment qu’il appartient aux membres de la
commission d’exprimer leurs avis, partant du principe que sur un sujet
technique, le résultat des travaux menés par la Chancellerie pourrait s’avérer
meilleur que les éventuels amendements d’un parlement de milice.
Des commissaires (UDC) s’inquiètent de la quantité de données qui
parviennent chez certains privés, mais ne pensent pas que cela doive interdire
de protéger les données.
Votes
2e débat
Sans opposition, la commission accepte la proposition de la présidence de
procéder au 2e débat, à l’exception des articles 36, 36A, 36B et 36C. Les
travaux seront ensuite suspendus.
Titre et préambule
art. 1
art. 3
art. 4
art. 13A
art. 20A
art. 26
art. 28
art. 30
art. 31
art. 33
art. 35
art. 37
art. 37A
art. 37B
art. 37C

pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté

PL 13347-A

art. 38
art. 38A
art. 38B
art. 39
art. 40
art. 41
art. 42
art. 43
art. 44
art. 45
art. 47
art. 49
art. 50
art. 51
art. 52
art. 55A
art. 56
art. 56A
art. 56B
art. 56C
art. 56D
art. 56E
art. 59
art. 68
art. 2
art. 1
art. 2D
art. 6A
art. 7A
art. 11A
art. 34
art. 122B
art. 4A
art. 3

42/52

pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté

La présidence met aux voix les articles du projet de loi 13347 en 2e débat,
à l’exception des art. 36, 36A, 36B, 36C.
OUI :
9 (1 UDC, 1 MCG, 2 S, 2 PLR, 1 LJS, 1 Ve, 1 LC)
NON :
0
Abstention : 0

43/52

PL 13347-A

La commission approuve les dispositions du projet de loi, exceptés les
art. 36, 36A, 36B et 36C, qui sont réservés.
9 février 2024 : discussion interne et vote final
Mme Hanna explique que le projet d’amendement envoyé à la commission
a été rédigé par la DAJ, mais avec l’accord des PPDT. Ceux-ci s’interrogeaient
sur la dérogation à l’exigence de base légale pour les traitements portant
gravement atteinte aux droits de la personne concernée, dans les finalités et les
modalités. Les PPDT se sont également inquiétés du fait de consacrer une
disposition ad hoc pour l’exception du consentement. La DAJ a également pris
en compte les appréhensions de la commission.
Des commissaires (S) demandent si, une fois l’amendement adopté, tout
traitement pouvant impliquer une violation des droits fondamentaux serait
soumis à l’exigence d’une base légale formelle. Mme Hanna répond par
l’affirmative, se référant au message du Conseil fédéral. Le droit supérieur
l’emporte dans tous les cas, les règles classiques en matière d’atteinte aux
droits fondamentaux s’appliquent sur la base de l’art. 36 de la Constitution
fédérale.
Des commissaires (PLR) évoquent la crainte exprimée lors d’une
précédente séance sur le fait que l’exigence systématique d’une base légale
formelle impliquerait l’adoption de nombreuses bases légales. Mme Hanna
répond que l’al. 3 comprend désormais l’art. 36A : la teneur est identique, mais
il est reformulé sur le format du droit fédéral afin d’en alléger au maximum la
lecture, l’art. 36 étant devenu très long et dense. L’adoption systématique de
bases légales pour chaque traitement pouvait se heurter au principe de
proportionnalité, la dérogation reste toujours possible, sauf lorsqu’on est en
présence d’une atteinte grave aux droits fondamentaux. L’al. 2 prévoit
l’exigence d’une base légale au sens formel, ainsi qu’une dérogation si le
traitement est indispensable à l’accomplissement d’une tâche légale décrite
dans une loi au sens formel ; cette dérogation ne sera donc possible que pour
le profilage et les données personnelles sensibles.
Ces mêmes commissaires (PLR) comprennent que l’inquiétude de la DAJ
concernait la suppression de la lettre b. Mme Hanna répond par l’affirmative.
Des commissaires (UDC) demandent si l’art. 36A devient l’article intitulé
« numéro d’identification personnel ». Mme Hanna répond que ce numéro se
trouvait à l’al. 4, mais que celui-ci a été intégré à l’art. 36A. Ces mêmes
commissaires demandent si les art. 36B et 36C restent identiques. Mme Hanna
répond par l’affirmative.

PL 13347-A

44/52

Des commissaires (S) informent avoir reçu des remarques de personnes
s’intéressant au projet de loi, imaginant un traitement de données faisant l’objet
de plusieurs contestations cumulées, la procédure retardant considérablement
le traitement envisagé sans cadre temporel prévisible. Mme Hanna répond
qu’en cas d’inquiétude liée à un traitement, le PPDT s’autosaisirait ou serait
saisi. Il peut prononcer la suspension d’un traitement le temps de l’enquête, et
peut ensuite ordonner la modification, la suspension ou la cessation du
traitement, comme en dispose l’art. 56C du projet de loi. À l’art. 56B al. 1, le
PPDT peut également effectuer un contrôle, d’office ou sur dénonciation. Les
traitements seront inscrits dans un nouveau catalogue des traitements : si une
personne s’inquiète d’un traitement, elle informera le PPDT, qui pourra
effectuer un contrôle. Il possède également la compétence de décider d’arrêter
un traitement de données.
Ces mêmes commissaires (S) demandent si le temps nécessaire à ces
procédures peut être quantifié. Mme Hanna répond ne pas le savoir, car ces
procédures sont nouvelles. À l’heure actuelle, les PPDT ont uniquement des
rôles de conseil et de médiation, et peuvent également émettre des
recommandations. Les nouveaux pouvoirs prévus dans ce projet de loi
découlent d’une exigence du droit supérieur, afin que les autorités européennes
puissent juger notre niveau de protection adéquat. Ce droit supérieur octroie à
l’autorité de contrôle des pouvoirs d’investigation et de décision, le pouvoir de
sanction n’avait pas de sens pour les organes fédéraux et cantonaux.
Des commissaires (UDC) demandent quel est l’impact de ce projet de loi,
basé sur la nouvelle LPD, sur le volet « accès aux documents » de la LIPAD.
Mme Hanna précise qu’à l’origine, le Conseil d’État avait présenté le volet
« protection des données » de manière séparée, mais que les lois ont été
fusionnées en commission. Cela a compliqué sa mise en œuvre, notamment en
ce qui concerne le champ d’application, mais elle ne connaît pas les raisons
ayant mené à ce résultat, bien que ces raisons se trouvent probablement dans
les travaux parlementaires de l’époque. Elle suppose que le but était que le
PPDT se trouve au centre de ces deux volets, qui font tous deux parties de ses
compétences. Elle ajoute que dans les autres cantons, certains ont des lois
séparées et d’autres ont une loi unique.
Votes
Suite du 2e débat
La présidence met aux voix l’amendement de l’art. 36 l’al. 2, proposé par
la DAJ, étant précisé qu’il existe une correction à effectuer dans le texte suivant

45/52

PL 13347-A

immédiatement l’amendement, car la lettre C devient la lettre A et la lettre D
devient la lettre B :
Les traitements de données personnelles sensibles et les activités de profilage
ne peuvent avoir lieu que si :
OUI :
8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC)
NON :
0
Abstention : 1 (1 Ve)
L’amendement est accepté.
La présidence met aux voix l’amendement de l’art. 36 al. 3, proposé par la
DAJ :
En dérogation aux alinéas 1 et 2, les institutions publiques peuvent traiter des
données personnelles nécessaires à l’accomplissement de leurs tâches légales,
y compris des données personnelles sensibles et procéder à du profilage, si
l’une des conditions suivantes est remplie :
OUI :
8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC)
NON :
0
Abstention : 1 (1 Ve)
L’amendement ainsi que l’article dans son ensemble est accepté.
Mme Hanna demande si l’al. 3 est compris dans le vote qui vient d’être
effectué. La présidence répond par l’affirmative.
La présidence met aux voix l’amendement de l’art. 36A, proposé par la
DAJ :
Un numéro d’identification personnel commun ne peut être utilisé que s’il est
institué par une loi cantonale. L’usage et la communication du numéro AVS
sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du
20 décembre 1946.
OUI :
8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC)
NON :
0
Abstention : 1 (1 Ve)
La présidence met aux voix l’art. 36A tel qu’amendé :
OUI :
8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC)
NON :
0
Abstention : 1 (1 Ve)
L’art. 36A, tel qu’amendé, est accepté dans sa totalité.

PL 13347-A

Art. 36B Traitement conjoint (nouveau)
Art. 36C al. 1 Sous-traitance (nouveau)
Art. 36C al. 2 Sous-traitance (nouveau)
Art. 36C al. 3 Sous-traitance (nouveau)
Art. 36C al. 4 Sous-traitance (nouveau)
Art. 36C al. 5 Sous-traitance (nouveau)
Art. 36C al. 6 Sous-traitance (nouveau)

46/52

pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté
pas d’opposition, adopté

La présidence procède au 3e débat.
3e débat
Le président met aux voix l’ensemble du PL 13347 ainsi amendé :
8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC)
OUI :
NON :
0
Abstentions : 1 (1 Ve)
Le PL 13347, tel qu’amendé, est accepté.
Conclusion
Après analyse du projet de loi, des explications de la DAJ et de son
amendement présenté en fin de travaux, une large majorité de la commission a
adopté cette révision substantielle de la LIPAD. Elle espère ainsi participer à
la mise à jour du droit suisse en matière de protection des données, avec des
standards plus élevés que le droit actuel, et à la participation de la Suisse au
marché européen, que ce projet contribue à maintenir.
Sur certains points, il est possible que des membres de la commission aient
eu davantage d’avance sur leur temps que le RGPD et la nouvelle LPD. Dans
un domaine technique, qui évolue rapidement, personne n’a l’audace de
prétendre voir dans ce projet de loi un texte qui restera stable pendant des
décennies. Il est donc probable que des discussions reprennent à ce sujet dans
un avenir relativement proche.
Il n’échappe néanmoins pas à la commission que la mise en œuvre d’un
projet de loi d’une telle ampleur méritera la pleine attention du parlement. Les
rapports annuels du PPDT, déposés devant le Grand Conseil, présentent une
belle opportunité d’effectuer un suivi régulier de la concrétisation des objectifs
de cette révision majeure de la LIPAD.
Sur la base de ces éléments, la commission législative vous recommande,
Mesdames les députées, Messieurs les députés, de réserver un accueil
favorable à ce projet de loi.

47/52

PL 13347-A

Il conviendra juste d’adopter un amendement technique, approuvé par la
commission législative, qui fait suite à une erreur de plume et qui concerne
l’art. 36, al. 3, let. c :
Art. 36, al. 3, let. c (nouvelle teneur)
c) la personne concernée se trouve dans l’incapacité physique ou juridique de
donner son consentement et le traitement est nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée ou d’une autre personne physique.

Les traitements de données personnelles
sensibles, les activités de profilage et les
traitements de données personnelles dont les
finalités ou les modalités de traitement sont
susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée
ne peuvent avoir lieu que si :

2 La base légale doit être prévue dans une loi au

c.

formel

le

prévoit

1

En dérogation à l’article 36, les institutions
publiques peuvent traiter des données
personnelles nécessaires à l’accomplissement
de leurs tâches légales, y compris des données
personnelles sensibles ou dont les finalités ou
les modalités de traitement sont susceptibles de
porter
gravement
atteinte
aux
droits
fondamentaux de la personne concernée, et
procéder à du profilage, si la personne
concernée a consenti au traitement en l'espèce.
Le responsable du traitement doit être en
mesure de démontrer l’existence d’un tel
consentement.
2
La personne concernée ne consent
valablement que si elle exprime librement sa
volonté concernant un ou plusieurs traitements
déterminés et après avoir été dûment informée.
Le consentement doit être exprès en cas de
traitement de données personnelles sensibles,
de traitement de données personnelles dont les
finalités ou les modalités de traitement sont
susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée,
ou de profilage.
3 Le consentement peut être révoqué en tout
temps et sans motifs. La mise en œuvre effective
du retrait du consentement peut toutefois

Art. 36A Consentement (nouveau)

ne peut être utilisé que s’il est institué par une loi
cantonale. L'usage et la communication du
numéro AVS sont régis par la loi fédérale sur
l’assurance-vieillesse et survivants, du 20
décembre 1946.

4 Un numéro d’identification personnel commun

3 L’article 36A est réservé.

b) le
traitement
est
indispensable
à
l’accomplissement d’une tâche définie dans
une loi au sens formel.

a) une loi au sens
expressément; ou

CHA-DAJ/AH/Commission législative/16.02.2024

le traitement est nécessaire pour protéger la
vie ou l’intégrité corporelle de la personne
concernée ou d’un tiers et il n’est pas
possible d’obtenir le consentement de la
personne concernée dans un délai
raisonnable.

b. la personne concernée a consenti au
traitement en l’espèce ou a rendu ses
données personnelles accessibles à tout un
chacun et ne s’est pas opposée
expressément au traitement;

a. le Conseil fédéral a autorisé le traitement,
considérant que les droits des personnes
concernées ne sont pas menacés;

dérogation aux al. 1 à 3, les organes
fédéraux peuvent traiter des données
personnelles si l’une des conditions suivantes
est remplie:

4 En

sens formel dans les cas suivants:
a. il s’agit d’un traitement de données
sensibles;
b. il s’agit d’un profilage;
c. la finalité ou le mode du traitement de
données personnelles est susceptible de
porter gravement atteinte aux droits
fondamentaux de la personne concernée.
3 Pour les traitements de données personnelles
visés à l’al. 2, let. a et b, une base légale prévue
dans une loi au sens matériel suffit si les
conditions suivantes sont réunies:
a. le
traitement
est
indispensable
à
l’accomplissement d’une tâche définie dans
une loi au sens formel;
b. la finalité du traitement ne présente pas de
risques particuliers pour les droits
fondamentaux de la personne concernée.

2

formel

le

prévoit

la personne concernée se trouve dans
l’incapacité physique ou juridique de donner
son consentement et le traitement est
nécessaire à la sauvegarde des intérêts
vitaux de la personne concernée ou d’un
tiers de la personne concernée ou d’un tiers
et il n’est pas possible d’obtenir le
consentement de la personne concernée
dans un délai raisonnable.

4

La personne concernée ne consent
valablement que si elle exprime librement sa
volonté concernant un ou plusieurs traitements
déterminés et après avoir été dûment informée.

c.

b. la personne concernée a rendu ses données
personnelles accessibles à tout un chacun et
ne s’est pas opposée expressément au
traitement ;

a. la personne concernée a consenti au
traitement en l’espèce; le responsable du
traitement doit être en mesure de démontrer
l’existence d’un tel consentement ;

dérogation aux alinéas 1 et 2, les
institutions publiques peuvent traiter des
nécessaires
à
données
personnelles
l’accomplissement de leurs tâches légales, y
compris des données personnelles sensibles ou
dont les finalités ou les modalités de traitement
sont susceptibles de porter gravement atteinte
aux droits fondamentaux de la personne
concernée, et procéder à du profilage, si l’une
des conditions suivantes est remplie:

3 En

b) le
traitement
est
indispensable
à
l’accomplissement d’une tâche définie dans
une loi au sens formel.

a) une loi au sens
expressément; ou

Les traitements de données personnelles
sensibles et les activités de profilage et les
traitements de données personnelles dont les
finalités ou les modalités de traitement sont
susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée
ne peuvent avoir lieu que si :
2

données personnelles que si une base légale le
prévoit ou si l’accomplissement de leurs tâches
légales le rend nécessaire.

1 Les organes fédéraux ne sont en droit de traiter

données personnelles que si une base légale le
prévoit ou si l’accomplissement de leurs tâches
légales le rend nécessaire.

1 Les institutions publiques ne peuvent traiter des

des données personnelles que s’il existe une
base légale.

Art. 36

1 Les institutions publiques ne peuvent traiter des

Amendement accepté par la commission le
9 février 2024

Art. 36 Base légale (nouvelle teneur avec
modification de la note)

PL 13347 modifiant la LIPAD

Art. 34 Base légale

nLPD

inchangé

inchangé

la personne concernée se trouve dans
l’incapacité physique ou juridique de donner
son consentement et le traitement est
nécessaire à la sauvegarde des intérêts
vitaux de la personne concernée ou d’une
autre personne physique. d’un tiers de la
personne concernée ou d’un tiers et il n’est
pas possible d’obtenir le consentement de la
personne concernée dans un délai
raisonnable.
4 inchangé.

c.

b. inchangé

a. inchangé

3

2

1 inchangé

Art. 36

Proposition de rectification de l’erreur de
plume dans le texte de l’amendement voté

L’objectif est donc que le texte définitif
corresponde à ce qui a été annoncé et voulu, ie
que ce soit le texte figurant dans le PL 13347 à
l’art. 36A, al. 4 in fine qui figure à l’al. 3 let. c in
fine de l’art. 36 de l’amendement (voir éléments
surlignés en vert).

Ce faisant, une erreur de plume s’est glissée à
l’al. 3 de l’art. 36 de l’amendement, le texte
reprenant involontairement une partie de la
disposition fédérale (voir éléments surlignés en
jaune) en lieu et place du texte figurant dans le
PL 13347 à l’art. 36A, al. 4.

De plus, et dans la mesure où l’art. 36 devenait
extrêmement long et compliqué à lire, la forme
des alinéas de l’art. 36A tels que remontés dans
l’art. 36 a été légèrement modifiée selon le
format de la loi fédérale (lettres plutôt
qu’alinéas), comme expliqué en commission.

Comme indiqué dans le commentaire de
l’amendement aux articles 36 et 36A qui a été
soumis et voté par la commission lors de sa
séance du 9 février 2024, et comme expliqué
durant cette même séance, le but était de
« remonter » le contenu de l’art. 36A dans l’art.
36, sans modification de fond, pour donner suite
à la demande des PPDT.

Commentaire

1

PL 13347-A
48/52

ANNEXE 1

CHA-DAJ/AH/Commission législative/16.02.2024

traiter des données personnelles, y compris
sensibles ou dont les finalités ou les modalités
de traitement sont susceptibles de porter
gravement atteinte aux droits fondamentaux de
la personne concernée, et procéder à du
profilage, en dérogation à l’article 36, si la
personne concernée a rendu ses données
personnelles accessibles à tout un chacun et ne
s’est pas opposée expressément au traitement.

5 Les institutions publiques peuvent également

4

Dans le cas où la personne concernée se
trouve dans l’incapacité physique ou juridique de
donner son consentement, les institutions
publiques peuvent traiter des données
personnelles si le traitement est nécessaire à la
sauvegarde des intérêts vitaux de la personne
concernée ou d’une autre personne physique.

requérir un délai raisonnable pour des raisons
techniques.

Art. 36A
inchangé

Un numéro d’identification personnel commun
ne peut être utilisé que s’il est institué par une loi
cantonale. L'usage et la communication du
numéro AVS sont régis par la loi fédérale sur
l’assurance-vieillesse et survivants, du 20
décembre 1946.

5 inchangé.

Art. 36A Numéro d’identification personnel
commun (nouvelle teneur)

5

Le consentement peut être révoqué en tout
temps et sans motifs. La mise en œuvre effective
du retrait du consentement peut toutefois
requérir un délai raisonnable pour des raisons
techniques.

Le consentement doit être exprès en cas de
traitement de données personnelles sensibles,
ou de profilage.

2

49/52
PL 13347-A

PL 13347-A

50/52

ANNEXE 2

51/52

PL 13347-A

PL 13347-A

52/52