GRAND CONSEIL de la République et canton de Genève PL 13347-A Date de dépôt : 16 avril 2024 Rapport de la commission législative chargée d’étudier le projet de loi du Conseil d’Etat modifiant la loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) (A 2 08) Rapport de Diego Esteban (page 25) ATAR ROTO PRESSE – 80 ex. – 05.24 PL 13347-A 2/52 Projet de loi (13347-A) modifiant la loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) (A 2 08) Le GRAND CONSEIL de la République et canton de Genève décrète ce qui suit : Art. 1 Modifications La loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 (LIPAD – A 2 08), est modifiée comme suit : Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les lettres d et e), lettre e (nouvelle teneur), al. 6 (nouveau) 1 La présente loi s’applique aux institutions publiques suivantes (ci-après : institutions publiques), sous réserve des alinéas 3 et 5 : c) la Cour des comptes ; e) les groupements formés d’institutions visées aux lettres a, b et d. 6 Le traitement de données personnelles effectué par la Banque cantonale de Genève n’est pas soumis à la présente loi. Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i ancienne devenant la lettre n) Dans la présente loi et ses règlements d’application, on entend par : b) données personnelles sensibles, les données personnelles sur : 1° les opinions ou activités religieuses, philosophiques, politiques ou syndicales, 2° la santé, la sphère intime ou l’origine raciale ou ethnique, 3° des mesures d’aide sociale, 4° des poursuites ou sanctions pénales ou administratives, 5° les données génétiques, 6° les données biométriques identifiant une personne physique de façon unique ; c) profilage, toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects d’une personne, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, ses 3/52 PL 13347-A préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements ; d) traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, l’enregistrement, la conservation, l’utilisation, l’extraction, la consultation, la modification, la communication, le rapprochement ou l’interconnexion, la limitation, l’effacement, la destruction ou l’archivage ; e) communication, le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant ; f) personne concernée, la personne physique ou morale au sujet de laquelle des données personnelles sont traitées ; g) responsable du traitement, institution au sens de l’article 3 qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles ; h) sous-traitant, institution, organisme ou personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement ; i) sécurité des données personnelles, ensemble des mesures organisationnelles et techniques permettant d’assurer la confidentialité, et l’intégrité des données personnelles ; j) violation de la sécurité des données personnelles, toute atteinte à la sécurité des données personnelles entraînant de manière accidentelle ou illicite leur perte, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces dernières ; k) anonymisation, traitement de données personnelles consistant à supprimer définitivement toutes les données identifiantes ou tout moyen de retrouver les données originales ; m) décision individuelle automatisée, toute décision prise exclusivement sur la base d’un traitement automatisé de données, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative. PL 13347-A Section 4A du chapitre I du titre II 4/52 Cour des comptes (nouvelle) Art. 13A Huis clos (nouveau) Les délibérations et autres séances de la Cour des comptes se tiennent à huis clos. Art. 20A Cour des comptes (nouveau) 1 La Cour des comptes informe sur ses activités, notamment par le biais de la publication de ses rapports et d’autres documents qu’elle considère d’intérêt public. Dans ce cadre, elle veille à la protection du secret professionnel, de fonction, fiscal, ou d’affaires des personnes entendues et de tout autre secret prévu par la loi. 2 Sans préjudice de l’application des lois régissant ses activités, la Cour des comptes ne peut donner d’informations susceptibles de permettre l’identification de l’auteure ou de l’auteur d’une communication ou d’une personne qu’elle a entendue. 3 Elle veille au respect des règles professionnelles prohibant la transmission d’informations ou la transmission de documents en matière d’audit, d’évaluation ou de révision. 4 Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la divulgation de certaines informations. Art. 26, al. 2, lettre d (nouvelle teneur) 2 Tel est le cas, notamment, lorsque l’accès aux documents est propre à : d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes ou d’investigations prévues par la loi ; Art. 28, al. 3 (nouvelle teneur) 3 En cas de doute sur la réalisation d’une des exceptions prévues à l’article 26, la personne qui est saisie de la demande d’accès doit en référer à la conseillère ou au conseiller à la protection des données et à la transparence désigné conformément aux mesures d’organisation et de procédure prévues à l’article 50. 5/52 PL 13347-A Art. 30, al. 5 (nouvelle teneur) 5 A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse de la requérante ou du requérant ainsi que de l’institution ou des institutions concernées, une recommandation écrite sur la communication du document considéré. L’institution concernée rend alors dans les 10 jours une décision sur la communication du document considéré. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal. Art. 31, al. 2 (nouvelle teneur) 2 Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à l’article 50, alinéa 3, pour les affaires respectives des institutions visées par cette disposition. Art. 33, al. 2 et 3 (nouvelle teneur) 2 Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa 3. 3 La rectification consiste dans la publication gratuite dans le média considéré, à bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et clair soumis par l’institution compétente, dans des conditions d’insertion et de présentation comparables à celles ayant entouré la présentation des faits en question. La publication comporte la précision que le texte rectificatif émane de l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou non de sa présentation des faits et de l’indication de ses sources. Art. 35 Principes (nouvelle teneur avec modification de la note) Licéité 1 Tout traitement de données personnelles doit être licite. Bonne foi et proportionnalité 2 Il doit être conforme aux principes de la bonne foi et de la proportionnalité. Finalité et reconnaissabilité 3 Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités. Conservation, destruction, effacement et anonymisation 4 Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi. Sur décision de l’institution publique concernée, la destruction de données personnelles peut PL 13347-A 6/52 être différée durant 2 ans au maximum à des fins d’évaluation de politiques publiques. Exactitude 5 Quiconque traite des données personnelles doit s’assurer qu’elles sont exactes et prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données personnelles inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. 6 Lorsqu’une institution publique constate que des données personnelles qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1, ou d’une autre base légale, sont inexactes, incomplètes ou obsolètes, elle en informe l’institution concernée, à moins que cette information ne soit contraire à une loi ou un règlement. Art. 36 Base légale (nouvelle teneur avec modification de la note) 1 Les institutions publiques ne peuvent traiter des données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. 2 Les traitements de données personnelles sensibles et les activités de profilage ne peuvent avoir lieu que si : a) une loi au sens formel le prévoit expressément ; ou b) le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. 3 En dérogation aux alinéas 1 et 2, les institutions publiques peuvent traiter des données personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles, et procéder à du profilage, si l’une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement en l’espèce ; le responsable du traitement doit être en mesure de démontrer l’existence d’un tel consentement ; b) la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement ; c) la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement et le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers de la personne concernée ou d’un tiers et il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable. 7/52 PL 13347-A La personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. Le consentement doit être exprès en cas de traitement de données personnelles sensibles, ou de profilage. 5 Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre effective du retrait du consentement peut toutefois requérir un délai raisonnable pour des raisons techniques. 4 Art. 36A Numéro d’identification personnel commun (nouvelle teneur) Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. L’usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946. Art. 36B Traitement conjoint (nouveau) Lorsque deux institutions publiques ou plus déterminent conjointement les finalités et les moyens du traitement de données personnelles, elles sont responsables conjointes du traitement et doivent définir de manière transparente leurs obligations respectives dans la déclaration au sens de l’article 43. Art. 36C Sous-traitance (nouveau) 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu’un contrat ou la loi le prévoie et que les conditions suivantes soient réunies : a) seuls sont effectués les traitements que le responsable du traitement est en droit de réaliser ; b) aucune obligation légale ou contractuelle de garder le secret ne l’interdit. 2 La sous-traitance de données personnelles fait l’objet d’un contrat de droit privé ou public en la forme écrite, prévoyant pour chaque étape du traitement le respect des prescriptions de la présente loi et du règlement d’application de la loi sur l’information du public, l’accès aux documents et la protection des données personnelle, du 21 décembre 2011, ainsi que la possibilité d’effectuer des audits sur le site du sous-traitant, ou, à défaut, d’obtenir les résultats d’audits de tiers indépendants, respectivement de participer sans frais à l’élaboration de ces audits. Les cas où la loi prévoit en détail les modalités de la sous-traitance sont réservés. 3 Le contrat prévoit spécifiquement que le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données. PL 13347-A 8/52 Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en cascade) n’est possible qu’avec l’accord préalable écrit du responsable du traitement et moyennant le respect, à chaque niveau de substitution, de toutes les prescriptions du présent article. 5 Le responsable du traitement demeure responsable des données personnelles qu’il fait traiter au même titre que s’il les traitait lui-même. 6 S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est possible que si l’Etat concerné dispose d’une législation assurant un niveau de protection adéquat conformément à la liste établie par le Conseil fédéral. 4 Art. 37 Protection des données personnelles dès la conception et par défaut (nouveau, l’art. 37 ancien devenant l’art. 37A) 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données personnelles, en particulier les principes fixés à l’article 35. Il le fait dès la conception du traitement. 2 Les mesures organisationnelles et techniques doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées. 3 Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement. Art. 37A Sécurité des données personnelles (nouvelle teneur) 1 Les institutions publiques doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. 2 Les mesures doivent permettre d’éviter la violation de la sécurité des données personnelles. 3 Le Conseil d’Etat détermine, par voie réglementaire, les exigences minimales en matière de sécurité des données personnelles. 4 Les institutions publiques sont tenues de contrôler périodiquement le respect des mesures de sécurité mises en place au sens du présent article. Art. 37B Analyse d’impact (nouveau) 1 Lorsqu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse 9/52 PL 13347-A d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune. 2 L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants : a) traitements de données personnelles sensibles à grande échelle ; b) profilage ; c) surveillance systématique de grandes parties du domaine public. 3 L’analyse d’impact contient notamment : a) une description du traitement envisagé ; b) une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée ; ainsi que c) les mesures prévues pour protéger la personnalité et les droits fondamentaux de la personne concernée. 4 Lorsque l’analyse d’impact est requise selon l’alinéa 1 du présent article, elle est jointe au projet d’acte législatif pour avis de la préposée cantonale ou du préposé cantonal au sens de l’article 56A, alinéa 2, lettre e, de la présente loi. 5 Lorsque l’analyse d’impact requise à l’alinéa 1 du présent article n’est pas liée à un projet d’acte législatif, elle est soumise à la préposée cantonale ou au préposé cantonal pour avis avant le début du traitement. Art. 37C Violation de la sécurité des données personnelles (nouveau) 1 Lorsqu’il constate une violation de la sécurité des données personnelles, le responsable du traitement prend immédiatement les mesures appropriées afin de mettre fin à la violation et d’en minimiser les effets, et en informe immédiatement sa conseillère ou son conseiller à la protection des données et à la transparence au sens de l’article 50. 2 Le responsable du traitement consigne dans un document interne la nature de la violation, le type de données personnelles concernées et les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier. 3 Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son conseiller à la protection des données et à la transparence, les cas de violation de la sécurité des données personnelles entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. PL 13347-A 10/52 Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données personnelles. 5 Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé cantonal l’exige. 6 Il peut restreindre l’information de la personne concernée, la différer ou y renoncer, dans les cas suivants : a) les intérêts prépondérants d’un tiers l’exigent ; b) un intérêt public prépondérant l’exige, en particulier la sécurité intérieure ou l’ordre public ; c) un devoir légal de garder un secret l’interdit ; d) la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative ; e) l’information est impossible à fournir ou exige des efforts disproportionnés ; f) l’information de la personne concernée peut être garantie de manière équivalente par une communication publique. 4 Art. 38 Devoir d’informer lors de la collecte de données personnelles (nouvelle teneur avec modification de la note) 1 Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles la concernant, que cette collecte soit effectuée auprès d’elle ou non. 2 Lors de la collecte, le responsable du traitement communique à la personne concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie ; il lui communique au moins les éléments suivants : a) le responsable du traitement ; b) la finalité du traitement ; c) le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données personnelles sont transmises ; d) les catégories de données personnelles traitées. 3 Lorsque des données personnelles sont communiquées à l’étranger, le responsable du traitement communique également à la personne concernée le nom de la corporation ou de l’établissement de droit public auquel elles sont communiquées et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7. 4 Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui communique les informations mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les 11/52 PL 13347-A données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication. Art. 38A Exceptions au devoir d’informer lors de la collecte de données personnelles (nouveau) 1 Le responsable du traitement est délié du devoir d’information au sens de l’article 38 si l’une des conditions suivantes est remplie : a) la personne concernée dispose déjà des informations au sens de l’article 38 ; b) le traitement des données personnelles est prévu par la loi ; c) l’information n’est pas possible ou exige un effort disproportionné. 2 Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si un intérêt public ou privé prépondérant le justifie, en particulier dans les cas prévus à l’article 46. Art. 38B Droits de la personne concernée en cas de décision individuelle automatisée (nouveau) 1 Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative. 2 A la demande de la personne faisant l’objet d’une décision individuelle automatisée, le responsable du traitement lui communique la logique et les critères à la base de celle-ci. Cette demande ne suspend pas le délai visé à l’alinéa 3. 3 Toute personne faisant l’objet d’une décision individuelle automatisée peut former une réclamation, dans les 30 jours à compter de sa notification, auprès de son auteure ou auteur. 4 La décision sur réclamation ne peut pas être rendue de manière automatisée. 5 Les dispositions de la législation spéciale qui prévoient déjà une procédure de réclamation sont réservées. Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur) A une autre institution publique soumise à la loi 1 Sans préjudice, le cas échéant, de son devoir de renseigner les instances hiérarchiques supérieures dont elle dépend, une institution publique ne peut communiquer des données personnelles en son sein ou à une autre institution publique que si, cumulativement : PL 13347-A 12/52 a) l’institution requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait aux exigences prévues aux articles 35 à 38B ; 2 L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. 5 L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. S’il y a lieu, elle assortit la communication de charges et conditions. 7 En l’absence du niveau de protection des données requis par l’alinéa 6, la communication n’est possible que si elle n’est pas contraire à une loi ou un règlement et si, alternativement : a) elle intervient avec le consentement exprès, libre et éclairé de la personne concernée ou dans son intérêt manifeste ; b) elle est dictée par un intérêt public important manifestement prépondérant reconnu par l’institution publique requise et que l’entité requérante fournit des garanties fiables suffisantes quant au respect des droits fondamentaux de la personne concernée ; 8 L’institution publique requise est tenue de consulter la préposée cantonale ou le préposé cantonal avant toute communication. S’il y a lieu, elle assortit la communication de charges ou conditions. 10 Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est tenue de consulter les personnes concernées avant toute communication, à moins que cela n’implique un travail disproportionné. A défaut d’avoir pu recueillir cette détermination, ou en cas d’opposition d’une personne consultée, l’institution publique requise sollicite le préavis de la préposée cantonale ou du préposé cantonal. La communication peut être assortie de charges et conditions, notamment pour garantir un niveau de protection adéquat des données. 11 Outre aux parties, l’institution publique requise communique sa décision aux personnes consultées ainsi qu’à la préposée cantonale ou au préposé cantonal. Art. 40 (abrogé) 13/52 PL 13347-A Art. 41 Traitement à des fins générales ne se rapportant pas à des personnes (nouvelle teneur avec modification de la note) 1 Les institutions publiques soumises à la présente loi sont en droit de traiter des données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d’évaluation de politiques publiques, indépendamment des buts pour lesquels elles ont été collectées, si les conditions suivantes sont réunies : a) les données personnelles sont rendues anonymes dès que la finalité du traitement le permet ; b) l’institution publique ne communique les données personnelles sensibles à des personnes privées que sous une forme ne permettant pas d’identifier les personnes concernées ; c) le destinataire ne communique les données personnelles à des tiers qu’avec le consentement de l’institution qui les lui a transmises ; d) les résultats du traitement sont publiés sous une forme ne permettant pas d’identifier les personnes concernées. 2 Les articles 35, alinéa 3, 36, alinéa 2, et 39 ne sont pas applicables. Art. 42, al. 1, phrase introductive (nouvelle teneur) 1 Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches au sens de l’article 36, la création et l’exploitation d’un système de vidéosurveillance ne sont licites que si, cumulativement : Art. 43 Registre des activités de traitement (nouvelle teneur avec modification de la note) 1 La préposée cantonale ou le préposé cantonal dresse et tient à jour un registre public des activités de traitement des institutions publiques. Elle ou il le rend facilement accessible. 2 Les institutions publiques déclarent leurs activités de traitement à la préposée cantonale ou au préposé cantonal, en fournissant au moins les indications suivantes : a) le responsable du traitement ; b) la dénomination, la base légale et la finalité du traitement ; c) une description des catégories des personnes concernées et des catégories des données personnelles traitées ; d) les catégories des destinataires ; e) le cas échéant, l’identité et les coordonnées des autres responsables du traitement et la répartition des responsabilités. PL 13347-A 14/52 Les institutions publiques fournissent également les indications suivantes à la préposée cantonale ou au préposé cantonal, sur requête de ces derniers : a) dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation ; b) dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données personnelles selon l’article 37A ; c) en cas de communication de données personnelles à l’étranger, le nom de la corporation ou de l’établissement de droit public étranger destinataire et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7 ; d) le cas échéant, l’identité et les coordonnées des sous-traitants. 4 Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins administratives internes qui ne présentent manifestement pas de risques pour les droits des personnes concernées. 3 Art. 44 (nouvelle teneur) 1 Toute personne physique ou morale de droit privé peut demander par écrit au responsable du traitement, en s’adressant à sa conseillère ou à son conseiller à la protection des données et à la transparence au sens de l’article 50, si des données personnelles la concernant sont traitées. 2 La personne concernée reçoit les informations nécessaires à la mise en œuvre de ses droits en matière de protection des données personnelles. A sa demande, elle reçoit notamment les informations suivantes : a) le responsable du traitement ; b) les données personnelles traitées ; c) la finalité du traitement ; d) la durée de conservation des données personnelles, ou, si cela n’est pas possible, les critères pour fixer cette dernière ; e) les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée ; f) le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que l’application d’une des exceptions prévues à l’article 39, alinéa 7. 3 L’institution publique qui fait traiter des données personnelles par un soustraitant demeure tenue de communiquer les données et de fournir les informations demandées. 4 Nul ne peut renoncer par avance à son droit d’accès. 15/52 PL 13347-A Art. 45 (nouvelle teneur) 1 La personne qui fait valoir son droit d’accès doit justifier de son identité. 2 Les renseignements sont, en règle générale, fournis par écrit sur un support physique ou électronique. En accord avec le responsable du traitement, la personne concernée peut également consulter ses données personnelles sur place. 3 Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil d’Etat peut prévoir des exceptions, notamment si la communication de l’information implique un travail disproportionné. 4 A moins que des circonstances exceptionnelles le justifient, les renseignements sont fournis dans un délai de 30 jours. Art. 47, al. 2, lettres a, d et e (nouvelle teneur) 2 Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles : a) effacent ou détruisent celles qui ne sont pas nécessaires ; d) s’abstiennent de communiquer celles qui ne répondent pas aux exigences de qualité visées à l’article 35 ; e) publient leur décision prise suite à sa requête ou la communiquent aux institutions ou tiers ayant reçu de leur part des données ne répondant pas aux exigences de qualité visées à l’article 35. Art. 49 (nouvelle teneur) 1 Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au responsable du traitement dont relève le traitement considéré. 2 Le responsable du traitement saisi traite la requête avec célérité. S’il y a lieu, il la transmet à la conseillère ou au conseiller à la protection des données et à la transparence compétent au regard des procédures adoptées au sein de son institution en application de l’article 50. 3 L’institution concernée statue par voie de décision dans les 30 jours sur les prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal. PL 13347-A 16/52 Art. 50 Conseillères et conseillers à la protection des données et à la transparence et procédures (nouvelle teneur de la note), al. 1 (nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens devenant les al. 3 à 6), al. 3, phrase introductive (nouvelle teneur), lettre e (nouvelle, les lettres e à i anciennes devenant les lettres f à j), al. 4 et 6 (nouvelle teneur) 1 Des conseillères et conseillers à la protection des données et à la transparence (ci-après : conseillères et conseillers LIPAD) ayant une formation appropriée et les compétences utiles sont désignés et des procédures sont mises en place au sein des institutions publiques, pour y garantir une correcte application de la présente loi. 2 Plusieurs institutions publiques peuvent désigner ensemble une conseillère ou un conseiller LIPAD. 3 Les mesures d’organisation générales et les procédures visées à l’alinéa 1 sont adoptées, après consultation de la préposée cantonale ou du préposé cantonal, par les instances suivantes : e) la Cour des comptes pour elle-même ; 4 Le Conseil d’Etat prescrit par substitution les mesures et les procédures nécessaires à une correcte application du titre III de la présente loi, si une instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après avoir été mise en demeure de le faire. 6 La liste des conseillères et conseillers LIPAD désignés en application du présent article est publique. Art. 51 (nouvelle teneur) 1 Les conseillères et conseillers LIPAD sont les interlocutrices et interlocuteurs privilégiés des personnes concernées et de la préposée cantonale ou du préposé cantonal pour tout ce qui a trait au traitement des données personnelles et à la transparence de l’institution qui les a désignés. 2 Elles et ils ont une fonction de conseil et de soutien et sont associés de manière appropriée aux activités de traitement accomplies au sein de l’institution publique. 3 Elles et ils accomplissent en particulier les tâches suivantes : a) donner aux membres de l’institution publique les instructions utiles sur le traitement des données personnelles nécessaires à l’accomplissement de leurs tâches légales ou des demandes d’accès aux documents ; b) concourir à l’établissement de l’analyse d’impact relative à la protection des données ; 17/52 PL 13347-A c) communiquer à la préposée cantonale ou au préposé cantonal les activités de traitement des institutions publiques au sens de l’article 43, ainsi que leurs mises à jour régulières ; d) annoncer à la préposée cantonale ou au préposé cantonal les violations de la sécurité des données personnelles qui leur ont été communiquées par le responsable du traitement. 4 Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de l’institution à laquelle elles ou ils appartiennent, la compétence : a) d’exiger d’eux tous renseignements utiles sur le traitement des données personnelles ou celui des demandes d’accès aux documents régies par la présente loi, qu’ils effectuent ou sont appelés à effectuer ; b) de prendre par voie d’évocation les décisions d’application de la présente loi entrant ordinairement dans leur sphère de compétence. 5 Les membres des institutions publiques informent leur conseillère ou conseiller LIPAD, notamment : a) de tout nouveau traitement de données personnelles ; b) de toute requête de communication et de toute intention de destruction de données personnelles, à moins que ces opérations ne soient prévues explicitement par une loi, un règlement ou une décision du Conseil d’Etat ; c) de toute information ou consultation qu’ils adressent directement à la préposée cantonale ou au préposé cantonal. Art. 52, al. 2 et 3 (nouveaux) 2 La préposée cantonale ou le préposé cantonal se concerte avec l’archiviste d’Etat lorsque l’application de la présente loi implique celle de la loi sur les archives publiques, du 1er décembre 2000. 3 Elle ou il entretient des contacts réguliers avec la commission consultative. Art. 55A Autocontrôle (nouveau) La préposée cantonale ou le préposé cantonal s’assure, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application en son sein des dispositions de la présente loi. Art. 56 Compétences de la préposée cantonale ou du préposé cantonal en matière d’information du public et d’accès aux documents (nouvelle teneur avec modification de la note) 1 La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière d’information du public et d’accès aux documents. PL 13347-A 2 18/52 Elle ou il est chargé, en application du titre II de la présente loi : a) de traiter les requêtes de médiation relatives à l’accès aux documents ; b) d’informer d’office ou sur demande sur les modalités d’accès aux documents ; c) de centraliser les normes et directives que les institutions édictent pour assurer l’application de l’article 50 ; d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la mise en œuvre de la présente loi ; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de transparence. Art. 56A Compétences de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau) 1 La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière de protection des données personnelles, notamment en procédant à des contrôles auprès des institutions publiques. 2 Elle ou il a la charge, en vertu du titre III de la présente loi : a) d’émettre les préavis requis en vertu de la présente loi ; b) de collecter et de centraliser les avis et informations que les institutions publiques, ou leurs conseillères et conseillers LIPAD, doivent lui fournir, et, s’il y a lieu, de prendre position dans l’exercice de ses compétences ; c) de conseiller les instances compétentes des institutions publiques sur les mesures d’organisation et les procédures à prescrire en leur sein ; d) d’assister les conseillères et conseillers LIPAD dans l’accomplissement de leurs tâches ; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles ; f) de dresser, de mettre à jour et de rendre accessible au public le registre des activités de traitement des institutions publiques ; g) de dresser, de mettre à jour et de rendre accessible au public la liste des conseillères et conseillers LIPAD désignés au sein des institutions publiques ; h) de renseigner d’office ou sur demande les personnes concernées sur leurs droits ; i) d’exercer le droit de recours prévu à l’article 62, ainsi que dans les autres cas prévus dans la loi. 19/52 PL 13347-A Art. 56B Pouvoirs de contrôle de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau) 1 La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur dénonciation, un contrôle auprès d’une institution publique ou d’un soustraitant, afin de vérifier qu’ils respectent les dispositions de protection des données personnelles. Elle ou il décide librement des contrôles qu’elle ou il opère et de la suite à donner à une dénonciation. 2 La préposée cantonale ou le préposé cantonal peut notamment demander des renseignements, exiger la production de documents, procéder à des inspections et se faire présenter des traitements de données. Elle ou il peut recourir, au besoin, à des expertes et experts dans les domaines techniques. 3 Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au préposé cantonal. Les autres secrets institués par la loi sont réservés. 4 Si la personne concernée est à l’origine de la dénonciation, la préposée cantonale ou le préposé cantonal l’informe des suites données à celle-ci. Art. 56C Mesures administratives de la préposée cantonale ou du préposé cantonal (nouveau) 1 Si des dispositions de protection des données ne sont pas respectées, la préposée cantonale ou le préposé cantonal peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction de tout ou partie des données personnelles. 2 Elle ou il peut suspendre ou interdire la communication de données personnelles à l’étranger si elle est contraire aux conditions de l’article 39 ou à des dispositions d’autres lois cantonales concernant la communication de données personnelles à l’étranger. 3 Elle ou il peut notamment ordonner à l’institution publique : a) de se conformer à son devoir d’informer lors de la collecte des données personnelles (art. 38) ; b) de répondre de manière appropriée à la demande de la personne concernée qui exerce ses droits en vertu de la présente loi, notamment son droit d’accès, son droit de rectification ou son droit d’opposition ; c) de lui fournir les informations prévues en matière de communications transfrontières de données personnelles (art. 38, al. 3) ; d) de déclarer un traitement de données personnelles au registre des activités de traitement (art. 43) ; e) de prendre des mesures organisationnelles et techniques en matière de protection des données personnelles (art. 37A) ; PL 13347-A 20/52 f) de prendre des mesures de protection des données personnelles dès la conception et par défaut (art. 37) ; g) de procéder à une analyse d’impact relative à la protection des données personnelles ou de la compléter (art. 37B) ; h) de lui transmettre les informations pertinentes en lien avec une violation de la sécurité des données personnelles (art. 37C) ; i) d’informer les personnes concernées à la suite d’une violation de la sécurité des données personnelles (art. 37C) ; j) de désigner une conseillère ou un conseiller LIPAD (art. 50). 4 Si une institution publique ne donne pas suite à l’ordre de la préposée cantonale ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale ou le préposé cantonal peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures nécessaires. Art. 56D Procédure (nouveau) 1 La procédure est régie par la loi sur la procédure administrative, du 12 septembre 1985. 2 L’institution publique visée par une décision de la préposée cantonale ou du préposé cantonal a qualité pour recourir contre celle-ci. Art. 56E Collaboration entre les autorités cantonales, fédérales et étrangères chargées de la protection des données (nouveau) 1 Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé cantonal doit collaborer avec les autorités cantonales, fédérales et étrangères chargées de la protection des données personnelles. 2 La communication de données personnelles dans le cadre de l’entraide administrative est accordée lorsque les conditions fixées par l’article 39 sont remplies. Art. 59, lettre a (nouvelle teneur) La commission consultative a pour attributions : a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de donner son avis sur tout objet touchant aux domaines de la protection des données, de la transparence et de l’archivage ; 21/52 PL 13347-A Art. 68, al. 8 (nouveau) Modifications du … (à compléter) 8 Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté avant l’entrée en vigueur de la loi … (à compléter), du … (à compléter), pour autant que les finalités du traitement restent inchangées et que de nouvelles données personnelles ne soient pas collectées. Art. 2 Modifications à d’autres lois 1 La loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit : Art. 1 (nouvelle teneur) La présente loi a pour but d’instituer les numéros d’identification personnels communs au sens de l’article 4, lettre n, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, utilisés par les institutions publiques au sens de l’article 3 de ladite loi. *** La loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, du 4 décembre 1997 (LPAC – B 5 05), est modifiée comme suit : Art. 2D Traitement de données personnelles (nouveau) 1 L’employeur traite les données personnelles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, dans la mesure nécessaire à la réalisation des tâches qui lui sont assignées par la présente loi. 2 L’employeur peut traiter des données personnelles sensibles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, notamment pour : a) déterminer les effectifs nécessaires ; b) recruter du personnel afin de garantir les effectifs nécessaires ; c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi que, pendant les rapports de travail, pour déterminer la capacité de travail ; d) gérer le traitement et les diverses prestations alloués aux membres du personnel, établir les dossiers du personnel et gérer les communications adressées aux assurances sociales ; e) promouvoir le développement professionnel des membres du personnel ; 2 PL 13347-A 22/52 f) mettre en place et optimiser les conditions de travail pour prévenir les maladies et accidents professionnels du personnel et veiller à préserver sa santé ; g) assurer une planification, un pilotage et un contrôle au moyen d’analyses de données, de comparaisons, de rapports et de plans de mesures ; h) gérer des actes de procédure ou des décisions d’autorités concernant les rapports de travail. 3 Lors de recrutements, l’employeur peut, avec l’accord de la personne candidate, lui faire passer des tests de personnalité ou utiliser le profilage. Les résultats de ces tests ou du profilage doivent être détruits dans un délai de 12 mois. 4 L’employeur peut traiter les données visées à l’alinéa 1 dans un système d’information. 5 Les modalités relatives au traitement des données sont fixées par règlement. *** La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du 29 août 2013 (LHES-SO-GE – C 1 26), est modifiée comme suit : 3 Art. 6A Traitement de données personnelles (nouveau) 1 La HES-SO Genève est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. 2 Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d’application respectives, demeurent réservées. *** La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme suit : 4 Art. 7A Traitement de données personnelles (nouveau) 1 L’université est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure 23/52 PL 13347-A nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. 2 Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d’application respectives, demeurent réservées. *** La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA – C 2 08), est modifiée comme suit : 5 Art. 11A, phrase introductive (nouvelle teneur) Dans le cadre des activités du service visant à traiter les demandes de chèque annuel de formation et conformément à l’article 36, alinéa 1, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, le service est autorisé à : *** La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est modifiée comme suit : 6 Art. 34 (nouvelle teneur) Le rapport de révision des états financiers individuels et consolidés de l’Etat de Genève contient l’opinion du réviseur au sens de l’article 31 et recommande l’approbation des états financiers avec ou sans réserves, ou leur renvoi au Conseil d’Etat. Il est joint aux états financiers publiés et approuvés par le Conseil d’Etat. Les communications écrites complémentaires ne peuvent pas faire l’objet d’une demande d’accès aux documents au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001. Il en va de même s’agissant des documents relatifs à d’autres entités reçus par la Cour des comptes dans le cadre de la révision des états financiers individuels et consolidés de l’Etat de Genève. *** PL 13347-A 7 24/52 La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit : Art. 122B, al. 2 (nouvelle teneur) 2 Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées à celles permettant de connaître le statut vaccinal d’une personne relatif à la maladie concernée. *** La loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM – K 2 05), est modifiée comme suit : 8 Art. 4A Traitement de données personnelles (nouveau) 1 Les établissements sont en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de leur mission de recherche médicale fondamentale et clinique. 2 Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d’application respectives, demeurent réservées. Art. 3 Entrée en vigueur Le Conseil d’Etat fixe la date d’entrée en vigueur de la présente loi. 25/52 PL 13347-A Rapport de Diego Esteban La commission législative a étudié ce projet de loi lors des séances des 9 et 20 octobre 2023, ainsi que celle du 9 février 2024, sous la présidence de M. Charles Poncet. Elle a siégé en présence de M. Fabien Mangilli, Directeur des affaires juridiques de la Chancellerie d’État, et Mmes Coralie Pasche et Athina Hanna, Directrices adjointes. La commission a été assistée dans ses travaux par Mme Tina Rodriguez, Secrétaire scientifique du Secrétariat Général du Grand Conseil (SGGC). Les procès-verbaux ont été rédigés par M. Vincent Dey. Que toutes ces personnes, ainsi que l’unique auditionné, M. Stéphane Werly, Préposé cantonal à la protection des données et à la transparence, soient remerciées pour leur précieuse contribution aux travaux de la commission. Pour prendre connaissance de l’exposé des motifs complet du Conseil d’État sur ce projet de loi dont la version originale fait 24 pages, la commission vous recommande de vous référer au projet de loi tel que déposé 1. Le rapporteur souligne la qualité de cet exposé des motifs, qui contient une synthèse détaillée des résultats de la consultation sur l’avant-projet. Dans le présent rapport, la Direction des affaires juridiques de la Chancellerie d’État sera abrégée en DAJ, le Préposé cantonal à la protection des données et à la transparence en PPDT, et le règlement général de l’Union européenne sur la protection des données en RGPD. Synthèse Le fameux RGPD, adopté en 2016 par l’Union Européenne, a marqué une évolution notable dans le droit de la protection des données sur notre continent. Les standards de protection de données ayant été particulièrement rehaussés, la Suisse devait également améliorer son niveau de protection, afin qu’il soit jugé « adéquat » au sens du droit européen et que notre pays puisse continuer à accéder au marché de l’UE. C’est dans ce sens que la loi fédérale sur la protection des données (LPD) révisée est entrée en vigueur en 2023. Dernière étape de cette réaction en chaîne, le volet cantonal – à savoir ce projet de loi modifiant la LIPAD – a été présenté au Grand Conseil la même année. Ce projet de loi de 24 pages n’a guère suscité de débats, hormis les dispositions concernant la sous-traitance et celles réglant l’articulation entre l’exigence d’une base légale formelle pour un 1 À lire ici : https://ge.ch/grandconseil/data/texte/PL13347.pdf PL 13347-A 26/52 traitement de données ou des activités de profilage, et d’un régime dérogatoire concernant le consentement de la personne concernée. Face aux réserves exprimées par plusieurs membres de la commission, la DAJ a présenté un amendement afin que la systématique de la LIPAD corresponde davantage au droit fédéral. Une solution qui a convaincu la commission de procéder sans retard à l’adaptation du droit cantonal. Face à un enjeu aussi sensible que technique, la commission a estimé pouvoir se fier à la solution longuement élaborée sous la direction de la DAJ, tout en gardant à l’esprit que la mise en œuvre des nouveaux outils, et en particulier des nouvelles compétences du PPDT, méritera une analyse attentive pour s’assurer de la concrétisation des intentions exprimées à travers ce projet de loi. 6 octobre 2023 : présentation de M. Fabien Mangilli, Directeur, et de Mmes Athina Hanna et Coralie Pasche, Directrices adjointes de la Direction des affaires juridiques (DAJ) de la Chancellerie d’État. M. Mangilli présente le fonctionnement de la DAJ et les directrices adjointes qui l’accompagnent pour cette présentation, et précise que Mme Hanna est la rédactrice de ce projet de loi, alors que Mme Pasche a passablement travaillé au sein de la consultation. Si les deux précitées sont celles qui ont le plus travaillé sur ce projet de loi, M. Mangilli dispose d’une certaine connaissance sur des détails techniques. Il évoque le règlement général 2016/679 de l’Union européenne (UE) sur la protection des données (RGPD) 2, qui n’est pas un acquis de l’espace Schengen et n’est pas directement applicable à la Suisse. Toutefois, il concerne la Suisse dans la mesure où de nombreux prestataires de services sont situés dans l’UE. Il s’agit donc pour la Suisse d’accéder au marché de l’UE, et a minima de pouvoir traiter et transférer des données au sein de l’UE. Une « déclaration d’équivalence », à savoir la reconnaissance par l’UE que le niveau de protection des données en Suisse est suffisant, est donc nécessaire. La directive 2016/680 de l’UE 3 est en revanche un acquis Schengen, qui doit être repris par la Suisse. La directive diffère peu du RGPD, si ce n’est que son champ d’application est moindre. Il existe également une Convention n°108 du Conseil de l’Europe sur la protection des données 4, directement applicable à la 2 3 4 À consulter ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 À consulter ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32016L0680 À consulter ici : 27/52 PL 13347-A Suisse, pour laquelle il existe un protocole d’accord approuvé par l’Assemblée fédérale en juin 2020 5. La Suisse a formellement ratifié ce protocole début septembre 2023, son entrée en vigueur intervenant une fois qu’un minimum de signatures par les membres du Conseil de l’Europe aura été apposé. Cela a nécessité sur le plan fédéral une révision totale de la LPD 6. Cette loi s’applique tant aux institutions qu’aux personnes privées. Une révision de la LIPAD est la dernière étape de cet « effet domino ». En raison des nombreuses étapes préalables, les cantons ont attendu les travaux sur le plan fédéral pour s’adapter, afin d’éviter d’aller dans des directions opposées à la Confédération. M. Mangilli indique que la révision proposée a été adoptée par le Conseil d’État en juillet 2023, résultat d’un avant-projet élaboré sous l’égide du groupe interdépartemental LIPAD/RIPAD, composé des responsables LIPAD des différents départements, avec la participation ponctuelle du PPDT. Une consultation publique a été menée de juillet à octobre 2022, 45 des 69 entités sollicitées ayant répondu, avec un accueil global plutôt positif. Un rapport sur les résultats de la consultation figure en page 116 de l’exposé des motifs du projet de loi (PL 13347). Il indique que quatre principales adaptations sont proposées : une adaptation terminologique, basée sur la loi fédérale (et qui concerne notamment le profilage et les responsables du traitement), un renforcement des droits des personnes concernées, un renforcement des obligations des responsables du traitement (des études d’impact devront être effectuées), et un renforcement de la compétence du PPDT, avec un véritable pouvoir de décision à l’égard des institutions. Il s’agit enfin d’institutions publiques, les personnes privées n’étant pas comprises dans le champ d’application. Mme Hanna affirme que ce projet de loi suit trois principes. En premier lieu, une approche fondée sur les risques : plus le risque d’atteinte à la sécurité des données est élevé, plus les exigences auxquelles les mesures prises par les responsables du traitement sont soumises seront élevées. En second lieu : ce 5 6 https://www.coe.int/fr/web/data-protection/convention108andprotocol#:~:text=Convention%20pour%20la%20protection%20des,de%20la% 20protection%20des%20donn%C3%A9es. À consulter ici : https://www.parlament.ch/fr/ratsbetrieb/suche-curiavista/geschaeft?AffairId=20190068 À consulter ici : https://www.kmu.admin.ch/kmu/fr/home/faits-ettendances/digitalisation/protection-des-donnees/nouvelle-loi-sur-la-protectiondes-donnees-nlpd.html PL 13347-A 28/52 projet de loi est technologiquement neutre. Tous les types de traitement sont concernés, peu importe la technologie utilisée, sachant que les évolutions sont très rapides. En troisième lieu : la modernisation et l’adaptation de la terminologie. Concernant ce dernier point, au-delà de l’harmonisation avec le droit supérieur, il s’agit de prévenir contre les risques liés à l’interprétation des termes. Par exemple, les opinions et activités culturelles ne figurent plus dans la liste des données personnelles sensibles, ce qui était une spécificité genevoise. La notion de profilage a remplacé le profil de personnalité, l’appartenance ethnique a été remplacée par « origine raciale ou ethnique », la notion de traitement a été élargie à celles de l’effacement, l’interconnexion et le rapprochement, afin d’englober les nouvelles technologies. La définition du traitement est exemplative, et remplace la notion de fichier, ce qui implique que celle de « maître de fichier » a été transformée en « responsable du traitement ». La notion de « sous-traitant » a également été introduite. Les données génétiques et biométriques ont été ajoutées à la liste des données personnelles sensibles. Le projet de loi introduit également une définition de l’anonymisation, par clarté, mais aussi parce qu’elle concerne de nombreuses dispositions. Il introduit également la notion de décision individuelle automatisée. Concernant les droits des personnes concernées, l’objectif est de renforcer l’autodétermination au sujet des données personnelles ainsi que la transparence sur les traitements effectués afin que ces droits puissent effectivement être exercés. Les modifications concernent donc un devoir d’informer, un renforcement du droit d’accès à ses propres données, et de nouvelles obligations en matière de décisions individuelles automatisées. Pour ces dernières, il existe une obligation d’informer ainsi qu’une possibilité de former une réclamation, en précisant le cadre de celle-ci. Concernant le renforcement des obligations des responsables du traitement, l’analyse d’impact qui a déjà été évoquée est la concrétisation du principe de la proportionnalité et de l’approche basée sur les risques. Tout traitement doit donc faire l’objet d’une analyse pour s’assurer que seuls les traitements nécessaires seront effectués. L’analyse d’impact intervient donc en amont, mais elle n’est obligatoire qu’en cas de risque potentiellement élevé pour la personnalité et les droits fondamentaux de la personne concernée. L’analyse décrit le traitement envisagé, évalue les risques identifiés et précise les mesures à prendre pour pallier ces risques. Il y a deux conséquences possibles : soit un projet de loi est jugé nécessaire, soit ce n’est pas le cas, mais l’approbation du PPDT est indispensable. Le Conseil fédéral a émis des directives, le préposé 29/52 PL 13347-A fédéral a de son côté émis un aide-mémoire : le canton s’en inspirera dans la mise en œuvre. Concernant la sécurité des données, deux principes de précautions ont été ajoutés dans la loi : la protection dès la conception et la protection par défaut. Le premier principe oblige les responsables à prendre les mesures nécessaires dès les premières étapes de conception des opérations de traitement. L’idée est de prévenir plutôt que de guérir. Le second implique que les responsables du traitement doivent mettre en place les préréglages appropriés, que l’utilisatrice ou l’utilisateur a la possibilité de changer, par exemple en créant un compte d’utilisateur. Tous les logiciels et le matériel doivent par conséquent être configurés de manière à protéger au maximum les données des utilisatrices et utilisateurs. Concernant l’obligation d’annoncer les violations de la sécurité des données, certaines mesures sont prises immédiatement. S’il est constaté qu’il existe des risques pour la personnalité ou les droits fondamentaux de la personne concernée, les responsables du traitement doivent avertir le PPDT dans les meilleurs délais, ainsi que la personne concernée si cela est nécessaire à sa protection (changer un mot de passe par exemple) ou si le PPDT demande une telle annonce. Sur le plan fédéral, un portail favorise la notification de toutes ces violations. Concernant la sous-traitance, elle figurait dans le règlement, mais il est proposé de la fixer dans la loi. Cela correspond à une exigence des directives européennes découlant du RGPD. Le niveau de protection adéquat a été maintenu, dans le sens de la nouvelle disposition constitutionnelle concernant le droit à l’intégrité numérique. Enfin, concernant le devoir d’informer la personne concernée, il porte sur le renforcement de la transparence au sujet de l’existence, la méthode et les motifs d’un traitement. Cela permettra aux personnes d’agir et d’exercer leurs droits. Mme Pasche informe que les organes publics ont l’obligation de désigner une personne en charge de la protection des données. À Genève, cela existe déjà : le canton désigne des responsables LIPAD. Ce projet de loi ne procède qu’à une adaptation terminologique, on parle désormais de conseillères et de conseillers LIPAD. Ces personnes endossent un rôle d’interlocuteur privilégié entre la population, le PPDT et les autorités. Elles recourent également aux analyses d’impact et annoncent les violations. Il existe désormais la possibilité de désigner une seule personne pour plusieurs institutions de petite taille et disposant de ressources plus réduites par exemple. PL 13347-A 30/52 S’agissant du renforcement des compétences du PPDT, il s’agit d’une exigence du droit supérieur. Le pouvoir de contrôle est renforcé, tout comme la possibilité de demander des renseignements et documents ; un pouvoir de décision existe désormais, ce qui est une nouveauté. L’autorité peut recourir contre cette décision. Enfin, s’agissant des cantons, il faut relever leur marge de manœuvre assez restreinte. Raison pour laquelle ce projet de loi est particulièrement technique, et s’il introduit certaines nouveautés, il n’y a pas de bouleversement. Elle mentionne enfin que la législation fédérale est déjà en vigueur, mais que Genève n’est pas le seul canton qui sera en décalage. Elle invite la commission à accueillir favorablement ce projet de loi. Échanges avec les commissaires Des commissaires (UDC) demandent quels étaient les points négatifs relevés lors de la consultation. Mme Hanna évoque la proposition de soumettre à la LIPAD certaines entreprises privées délégataires de tâches publiques, qui n’a pas été conservée dans le projet de loi finalement déposé. La Banque cantonale genevoise (BCGE) n’est pas comprise dans le champ d’application en raison de critères précis fixés par la jurisprudence, ce qui est détaillé dans l’exposé des motifs afin de prévenir la demande de certaines entités de bénéficier du même régime d’exception. M. Mangilli précise qu’en revanche, la Cour des comptes figure désormais dans le champ d’application. Des commissaires (PLR) relèvent que le PPDT avait jugé les articles 36 et 36A plus souples qu’au niveau fédéral et recommandé que le canton s’aligne sur la Confédération, et demandent si une telle différence est nécessaire. M. Mangilli mentionne que la LIPAD contient déjà des exigences similaires en cas de traitement de données personnelles sensibles. Mme Hanna répond que le projet de loi met les données personnelles sensibles, le profilage ainsi que le traitement dont les finalités sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée sur un pied d’égalité. Ces trois traitements présenteraient un risque similaire d’atteinte aux droits fondamentaux. Dans tous les cas, l’exigence d’une base légale existe, car le traitement doit a minima être indispensable à une tâche contenue dans une base légale formelle. À son sens, l’exigence d’une base légale est respectée, soit pour la tâche, soit pour le traitement en tant que tel. Sa crainte est que s’il faut modifier la loi pour chaque traitement, comme cela est prévu dans le droit fédéral, cela impliquerait des modifications énormes. Il n’existerait pas d’avantages avérés dans les faits. 31/52 PL 13347-A Ces mêmes commissaires (PLR) demandent, à l’inverse, quels problèmes seraient rencontrés dans la mise en œuvre si la commission décidait de suivre la recommandation du PPDT sur ces dispositions. Mme Hanna répond qu’une base légale devrait être établie pour chaque traitement de données, concernant tant les données sensibles que le profilage. Le travail est plus conséquent si le critère de l’exigence de base légale est le traitement que s’il s’agit de la tâche. Dans l’analyse de la proportionnalité, il a été estimé que ce niveau d’exigence était trop élevé par rapport aux avantages potentiels. Ces mêmes commissaires (PLR) demandent des précisions concernant les commentaires fournis par les préposés. Mme Hanna répond qu’ils ont été analysés et pris en considération dans la mesure du possible, sachant que les préposés ont participé aux travaux. Les motifs de l’art. 36A par exemple ont été complétés sur la base de leurs contributions. Des commissaires (UDC) questionnent le principe même d’une collecte de données sensibles sans base légale formelle et sans le consentement des personnes concernées. Mme Hanna répond que c’est déjà le cas, mais qu’il ne s’agit pas d’un « no man’s land » : la tâche correspondante doit figurer de manière suffisamment précise dans une loi au sens formelle, et le traitement doit être indispensable à son accomplissement. Il existe donc un cadre juridique pour cette pratique. Les commissaires comprennent que le consentement dispense de la base légale. Des commissaires (S) demandent des exemples de cas d’application de l’art. 36A, en questionnant la nécessité de devoir procéder à des traitements pouvant porter atteinte aux droits fondamentaux sans ouvrir un débat à part entière sur la question. Mme Hanna informe qu’il n’était pas envisagé que ce cas de figure se produise de manière récurrente ou banalisée, mais qu’il s’agit plutôt d’une exception. M. Mangilli évoque le cas de la gestion d’une prison avec des données sur les condamnations pénales : le traitement exige le consentement éclairé de la personne, ce qui implique l’existence d’une base légale. Il mentionne également la situation dans laquelle, à travers un portail, une personne peut consentir à ce que l’administration accède à des données personnelles en vue de vérifier qu’elle n’a jamais fait l’objet d’une procédure administrative. Le consentement permettrait ainsi à une autorité administrative de se renseigner auprès d’une autre afin d’obtenir des informations ou documents contenant des données personnelles sensibles : le consentement ferait office de validation du traitement, et dans ce cas, la base légale et le consentement forment un tout. Si cela n’était pas prévu, il pourrait y avoir des obstacles dans certaines activités de l’État et certaines de ses interactions avec des administrées ou administrés. PL 13347-A 32/52 Ces mêmes commissaires (S) expriment un besoin de vulgarisation et d’exemplification de ce mécanisme, craignant que la formulation légale offre une carte blanche pour violer les droits fondamentaux en lien avec la protection des données. M. Mangilli précise que la LIPAD connaît déjà un mécanisme similaire, et que même si la formulation n’est pas idéale, la Chancellerie a en toute bonne foi eu l’impression, dans ce projet de loi, de renforcer le cadre et non pas d’assouplir les règles. Ces mêmes commissaires (S) demandent si le consentement sous forme de petite fenêtre apparaissant sur un site web avec de longs textes et un simple bouton « j’accepte » satisfait aux exigences de la loi, et demandent des exemples concrets. Mme Hanna indique que les travaux sur le plan fédéral n’ont pas été d’une grande aide pour préciser ce point. Elle répond qu’il existe une gradation en fonction de la sensibilité des données : en cas d’atteinte potentielle aux droits fondamentaux, le consentement doit être exprès. Ces mêmes commissaires (S) demandent des précisions au sujet de la suppression des données liées aux opinions et activités culturelles. Mme Hanna indique que le RGPD les range dans les données « simples », mais pas dans les données sensibles, ce qui est uniquement le cas à Genève. Ces mêmes commissaires (S) questionnent l’exclusion totale de la BCGE du champ d’application de la LIPAD, et demandent si l’entier du traitement de données est réellement déjà couvert par le droit fédéral. Mme Hanna rappelle que l’idée est que la loi s’applique aux institutions de droit public, mais que la BCGE exerce une activité de droit privé. Le droit fédéral s’applique aux privés, ce qui n’est pas le cas de la LIPAD : considérer que la BCGE n’est pas une institution publique, mais plutôt une personne morale de droit privé, empêche de l’assujettir à la LIPAD. Des commissaires (PLR) constatent que l’extension de la LIPAD aux délégataires privés a été favorablement accueillie, mais que le projet de loi a abandonné cette piste sans l’expliquer clairement, et demandent davantage d’explications sur ce choix. Mme Pasche évoque des remarques reçues quant à l’articulation de l’art. 3, qui est difficile à lire. Vu que cela pouvait impliquer d’autres modifications, de nouvelles discussions ont été menées au sein du groupe interdépartemental LIPAD. La conclusion était que cette articulation n’était pas aboutie, mais que cette modification pourrait être proposée ultérieurement, dans la mesure où elle n’est pas exigée par le droit supérieur. Le droit fédéral comprend une articulation différente : la LPD est applicable aux personnes privées, et les activités soumises à concurrence sont exclues de la loi sur la transparence. 33/52 PL 13347-A Des commissaires (S) recommandent à la Chancellerie de formuler une proposition dans le cadre de ce projet de loi, car un projet portant uniquement sur ce point pourrait connaître un traitement moins consensuel. Des commissaires (UDC) demandent si le droit fédéral ne s’applique pas dans tous les cas aux délégataires. Mme Pasche répond dans l’affirmative : un délégataire privé menant une tâche publique demeure soumis à la LPD. M. Mangilli précise qu’il faut distinguer les délégataires et la sous-traitance : en cas de sous-traitance, le traitement se fait au nom de l’institution avec des règles particulièrement strictes. Les entités dites subventionnées ont pour certaines des contrats de prestations avec l’État afin d’accomplir une ou plusieurs tâches publiques, mais ont une autre activité en parallèle qui n’est pas subventionnée. Un problème aurait pu subvenir si la LIPAD s’appliquait à une partie de l’activité de l’institution, mais pas à l’autre. Ces mêmes commissaires (UDC) évoquent une affaire à Zurich dans laquelle le Conseil d’État a utilisé l’équivalent zurichois de la LIPAD pour obstruer les demandes d’accès aux documents. M. Mangilli rappelle l’exclusion de la BCGE du champ d’application de la loi, mais aussi l’ajout de la Cour des comptes dans l’art. 20A, à la demande de celle-ci. Il s’agissait uniquement de régler l’accès à certains documents et aux réunions à huis clos, mais pas de réduire l’accès aux documents. Discussion Des commissaires (S) auraient souhaité que la loi se montre plus exigeante avec l’admissibilité des motifs d’un traitement, et proposent l’audition du PPDT. Des commissaires (PLR) estiment au contraire que le rapport écrit du PPDT suffit et que seul un complément semble nécessaire, et proposent donc de le solliciter par écrit plutôt que de le faire déplacer pour une audition qui risque d’être très brève. Des commissaires (UDC) rappellent que les commissaires ne sont pas toutes et tous des spécialistes, et que l’audition pourrait se révéler plus didactique. Les mêmes commissaires (PLR) se rallient à l’audition du PPDT. PL 13347-A 34/52 Votes 1er débat La présidence met aux voix l’entrée en matière du PL 13347 : Oui : 9 (2 S, 1 Ve, 1 LC, 1 UDC, 2 PLR, 1 MCG, 1 LJS) Non : 0 Abstentions : 0 L’entrée en matière est acceptée. 20 octobre 2023 : audition de M. Stéphane Werly, Préposé cantonal à la protection des données et à la transparence (PPDT). M. Mangilli indique en préambule qu’une discussion est en cours avec M. Werly concernant l’art. 36 de la loi, mais qu’une proposition finalisée n’est pas encore prête. La présidence informe que l’art. 36 et l’art. 36A du PL seront donc mis à part dans le cadre de l’examen article par article du projet de loi, et repris à une séance ultérieure. M. Werly salue en premier lieu le travail de grande qualité de la DAJ. Il précise que ses suggestions concernant l’art. 36 étaient plutôt des interrogations, dans l’idée de trouver une solution. Il explique que l’objectif de cette révision de la LIPAD est une mise en conformité avec le droit supérieur. Concernant l’art. 36 du PL, actuellement lorsqu’une institution publique traite des données personnelles, elle doit se fonder sur une base légale, ou alors le traitement doit entrer dans le cadre des tâches de la loi. L’exigence de base légale concerne les données personnelles sensibles. En droit fédéral, l’art. 34 LPD – entré en vigueur le 1er septembre 2023 – fixe cette exigence dans trois cas particuliers : lorsqu’il s’agit d’un traitement de données sensibles, lorsque cela concerne un profilage (c’est-à-dire établir un profil de personnalité) ou dans l’éventualité où la finalité du traitement ou le mode de traitement est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée. Dans le message du Conseil fédéral 7, il est indiqué qu’une atteinte grave aux droits fondamentaux résulte soit de la finalité, soit du mode de traitement. Dans le premier cas, il est traité des données personnelles afin d’évaluer, par exemple, la dangerosité d’une personne, afin d’évaluer son potentiel pour exercer une fonction ou son aptitude à accomplir une obligation, ceci selon son mode de vie. Il s’agit donc 7 Page 6695 : https://www.fedlex.admin.ch/eli/fga/2017/2057/fr 35/52 PL 13347-A d’une formulation particulièrement indéterminée. Il est également donné l’exemple de décisions individuelles automatisées. Dans l’éventualité où il s’agit d’un traitement de données sensibles ou d’un profilage, il est possible de se fonder sur une base légale matérielle, c’est-à-dire une simple ordonnance, pour autant que deux conditions soient remplies : il faut que le traitement de données soit indispensable à l’accomplissement d’une tâche qui est définie dans une loi au sens formel, et il faut que le but du traitement ne présente pas de risque particulier, ceux-ci ne présentant pas de danger pour les droits fondamentaux. S’il s’agit en revanche de risque d’atteinte aux droits fondamentaux, il est nécessaire d’avoir une loi au sens formel. Concernant l’art. 36 al. 1 du PL, il relève que les données personnelles sont traitées afin d’accomplir des tâches. Par exemple, l’autorité reçoit les données des personnes qui lui demandent des recommandations en matière de protection des données, raison pour laquelle cette autorité traite des noms et des prénoms. Au sein de la loi, il n’est toutefois pas indiqué qu’elle est autorisée à les traiter. Cependant, elle ne traite que les données nécessaires à l’accomplissement de ses tâches dans le cadre de ses missions. Au contraire, aucune base légale n’autorise cette autorité à traiter de données sur la santé d’une personne par exemple. C’est l’art. 36 al. 2 let. b du PL qui diffère du droit fédéral. M. Werly indique collaborer avec la DAJ depuis 2017 et avoir étudié le message du Conseil fédéral sur la LPD. La question posée par l’art. 36 a été au cœur des discussions dès le début, la solution figurant dans le projet de loi paraissant acceptable. Le titre de l’art. 36A (« consentement ») semble soulever des interrogations : il ne s’agit pas d’un cadre de droit privé, il ne faut surtout pas donner l’impression que le consentement peut justifier un traitement de données personnelles, dans la mesure où le consentement est un fait justificatif qui doit être exceptionnel. Il ne peut en aucun cas justifier des traitements systématiques. Échanges avec les commissaires Des commissaires (UDC) demandent si le titre « exceptions » aurait été plus adapté. Mme Hanna rappelle que l’exposé des motifs précise que cette disposition ne permet pas de traitements récurrents. M. Werly estime ne pas y voir de problème. Des commissaires (S) affirment ne pas saisir l’entier du champ des situations pouvant se produire en lien avec cette disposition, et craignent des effets indésirables qui n’auraient pas été envisagés au moment de son adoption. PL 13347-A 36/52 Des commissaires (LC) demandent en complément des exemples concrets explicitant la notion de consentement à l’art. 36A al. 1. M. Werly concède ne pas avoir davantage d’exemples à donner, mais peut imaginer le cas du traitement de données d’un nom de famille afin d’établir des bulletins de paiement, mais dans le but secret de révéler l’origine ethnique ou la conviction religieuse d’une personne. Dévier la finalité d’un traitement consisterait en effet en une atteinte aux droits fondamentaux s’il permet un profilage portant sur des données personnelles sensibles. Ces mêmes commissaires (S) demandent s’il pourrait exister une situation dans laquelle ce genre de traitements serait nécessaire à l’accomplissement d’une tâche légale. M. Werly reconnaît dans cette question les discussions menées pendant les travaux préparatoires, et estime qu’il serait possiblement préférable de n’avoir aucune dérogation à l’exigence d’une base légale, plutôt que de la cantonner aux données personnelles sensibles ou activités de profilage. Il explique que sur le plan fédéral, toute atteinte grave nécessite une base légale et trouve judicieux d’en faire de même sur le plan cantonal. Mme Hanna relate les deux possibilités : soit une base légale formelle permet les traitements, soit il existe une clause dérogatoire pour des traitements indispensables lorsqu’une tâche est suffisamment décrite dans une loi au sens formel, cette seconde variante semblant disposer de cautèles suffisantes. De plus, avec le nouveau registre des traitements, ceux-ci devront être déclarés dans un registre, en y indiquant un certain nombre d’informations : tout ceci sera public et donc transparent, sous le contrôle du PPDT. Il ne s’agit donc pas d’une porte ouverte vers des applications indéterminées. Des commissaires (UDC) jugent l’utilisation des données davantage sujette à problèmes que leur traitement. Mme Hanna répond que cela dépend des finalités et des modalités, car des données simples peuvent être dangereuses. Des commissaires (Ve) suggèrent de remplacer le « ou » de l’art. 36 par un « et », afin que les traitements soient dûment justifiés. M. Werly ne pense pas que cela soit possible : si une base légale prévoit expressément un traitement, son caractère indispensable est donc déjà établi. Des commissaires (S et LC) souhaitent savoir quelles sont les exigences de forme pour l’expression du consentement, en particulier si un seul clic autoriserait une quinzaine de traitements sur des données personnelles sensibles, dans des buts qui sembleraient peu clairs pour des non-initiés. M. Werly répond qu’il n’est pas possible de consentir de manière générale à tous les traitements. L’idée est que pour chaque traitement, un consentement est obligatoire, et il n’est pas possible de présumer ce consentement. Au moment où celui-ci est sollicité, la personne doit être informée, afin que le consentement soit libre et éclairé. 37/52 PL 13347-A Des commissaires (S) demandent ce qu’il adviendrait pour le cas où le caractère indispensable du traitement de données sensibles apparaîtrait douteux aux yeux du PPDT. M. Werly rappelle les articles 56 et suivants du PL, qui règlent la procédure en cas de traitement non conforme de données personnelles : les instances à saisir sont mentionnées, dont la Chambre administrative de la Cour de Justice (CACJ). Cette situation ne s’est produite que deux fois en dix ans, s’arrêtant au stade de la recommandation. Il n’a jamais été nécessaire de saisir la CACJ. Il s’agissait de la Fondation des Parkings, qui avait décidé de faire effectuer des tests d’urine par des agents de sécurité sans aucune base légale, projet qui avait été retiré par la suite ; l’autre cas concernait l’Université de Genève, qui avait décidé d’effectuer des examens en récoltant des données biométriques au motif qu’à Genève, ce type de données n’est pas considéré comme données personnelles sensibles, alors qu’elles le sont au niveau fédéral (traitement également abandonné). Il rappelle enfin que l’autorité de protection des données et transparence rend chaque année un rapport. Des commissaires (MCG) demandent dans quelle mesure des données personnelles peuvent être non sensibles en général, mais sensibles dans un cas particulier, car dans ce cas l’exigence de base légale se heurte au principe selon lequel la loi doit être générale et abstraite. M. Werly répond que cela dépend de la finalité du mode de traitement, mais relève que le nouveau commentaire de la LPD n’offre aucune indication à ce sujet. Mme Hanna précise qu’il est possible de se contenter d’une base légale matérielle lorsque le traitement est indispensable à une tâche prévue au sein d’une base légale formelle, mais il existe une condition supplémentaire : il est nécessaire que la finalité du traitement ne présente pas de risques particuliers. Il existe donc une divergence entre le cas où seule la finalité des traitements et activités de profilage présente des risques particuliers d’atteinte aux droits fondamentaux, et celui où tant les finalités que les modalités présentent des risques d’atteinte grave. La notion de risques particuliers est particulièrement indéterminée, aucune explication n’est donnée dans la feuille fédérale ou dans le nouveau commentaire de la LPD à ce sujet, hormis qu’un risque particulier est moins grave qu’une atteinte grave. Cela présente des difficultés de mise en œuvre. Des commissaires (UDC) craignent un problème de traduction de l’allemand. Mme Hanna ne pense pas que ce soit le cas, le commentaire du Professeur Métille ne mentionnant rien à ce sujet. Des commissaires (S) comprennent que si les conditions de l’art. 36 sont jugées suffisantes, l’art. 36A peut être abrogé. M. Werly répond par la négative, étant donné que la LIPAD n’est pas du droit privé et qu’il faut donc prévoir une disposition spécifique au consentement. Mme Hanna rappelle que PL 13347-A 38/52 l’art. 36A du PL est calqué sur le droit fédéral, les PPDT n’ayant formulé que des remarques sur l’emplacement de la disposition, mais pas sur le fond. Mme Hanna souhaite revenir sur la systématique du projet de loi (se référer au schéma en annexe du présent rapport) : il est question de base légale formelle, respectivement matérielle, ainsi que des conditions permettant de choisir entre les deux. Il est toutefois nécessaire d’observer l’encadré vert en bas de page, qui permet de déroger à tout le reste. Le droit fédéral – comme le droit cantonal actuel d'ailleurs, mais avec d’autres exigences – prévoit la possibilité d’un consentement qui dispense de l’exigence d’une base légale. Des commissaires (UDC) demandent pourquoi le projet de loi ne reprend pas simplement la systématique du droit fédéral. Mme Hanna rappelle qu’il existe déjà l’art. 35 LIPAD, qui traite du consentement et permet un traitement de données sensibles. Les PPDT ne souhaitaient pas d’article ad hoc, estimant que cela donnerait une importance particulière au consentement, qui doit rester une exception. Mais ni le principe ni les modalités de ce mécanisme n’étaient remis en question. Des commissaires (S) s’interrogent sur la différence entre l’art. 35 al. 2 LIPAD et l’art. 36A du projet de loi. Mme Hanna indique que le consentement est une notion provenant de la Convention n° 108 du Conseil de l’Europe, où il constitue le premier motif de légitimation d’un traitement. L’art. 36A se veut la transposition de l’art. 5 § 2 de la Convention n° 108, en particulier en exigeant du responsable du traitement qu’il prouve avoir obtenu le consentement de la personne concernée. Ces mêmes commissaires (S) demandent si la LIPAD actuelle ne suffirait pas sur ce point. M. Werly estime que l’art. 36A du projet de loi respecte davantage la teneur de la Convention n° 108 et du droit fédéral que l’art. 35 al. 2 LIPAD, et juge inopportun de le supprimer. Des commissaires (MCG) relèvent qu’il semble évident qu’il ne faille pas de base légale formelle lorsqu’il n’y a pas de risques particuliers pour les droits fondamentaux. Mme Hanna acquiesce et témoigne de son scepticisme vis-à-vis du droit fédéral, qui distingue finalités et modalités du traitement de données personnelles susceptibles de porter gravement atteinte aux droits fondamentaux d’une part, des finalités des traitements présentant des risques particuliers pour les droits fondamentaux en ce qui concerne les traitements de données personnelles sensibles et le profilage d'autre part. Cela ressemble à un mécanisme circulaire, avec une exception qui n’en est en réalité pas vraiment une, car aucune exception n’est possible dès qu’il existe le moindre risque. Cela ne fait pas sens, il faudrait simplement ne prévoir aucune exception. M. Mangilli ajoute qu’en vérifiant les versions allemande et italienne, aucune différence particulière avec la version française ne saute aux yeux. 39/52 PL 13347-A Ces mêmes commissaires (MCG) relèvent que les bases légales matérielles englobent les bases légales formelles, et demandent si les tâches légales permettant de se contenter d’une base légale matérielle doivent être contenues dans une base légale formelle. Mme Hanna explique que les tâches figurent usuellement au sein de bases légales formelles. Ces mêmes commissaires (MCG) demandent pourquoi une loi au sens formel est exigée à l’art. 36 al. 2 du projet de loi, mais pas à l’al. 1 de la même disposition (se référer au schéma en annexe du présent rapport). M. Mangilli précise que l’encadré vert ne concerne que l’al. 2 de l’art. 36, et concerne le traitement des données personnelles sensibles, les activités de profilage, ou lorsque les finalités ou modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée. Il s’agit en effet des cas où une base légale formelle est nécessaire. Par exemple pour la collecte de noms et prénoms pour le registre des mandataires, ces données n’étant pas des données personnelles sensibles, leur collecte pourrait n’être fondée que sur un règlement. Des commissaires (LC) estiment que, à l’instar des visites chez le médecin ou à l’hôpital où un formulaire de consentement pour la collecte de données médicales sensibles doit obligatoirement être signé pour être reçu, conditionner l’accès à certaines prestations publiques à l’expression d’un consentement ne donne pas vraiment de choix, ce qui empêche d’obtenir un consentement libre et éclairé. M. Werly répond que cela tombe sous le coup de l’art. 36A al. 2 du projet de loi, respectivement l’art. 35 al. 2 LIPAD. Il précise que le consentement accordé dans un cadre médical n’autorise normalement pas la transmission des données à l’assurance-maladie par exemple, leur traitement est limité à ce qui est nécessaire pour l’organisation d’un rendez-vous. Des commissaires (MCG) réagissent en indiquant que les situations complexes litigieuses seraient laissées à l’appréciation des tribunaux. Ces mêmes commissaires (LC) demandent s’il est opportun de laisser la personne saisir les tribunaux au lieu d’agir en amont. M. Werly répond qu’avant le tribunal, il est possible de faire constater un traitement illicite par l’autorité compétente. Revenant sur les exemples relevant des prestations médicales, ces mêmes commissaires (LC) demandent si la réutilisation de données pour une nouvelle finalité requiert un nouveau consentement. M. Werly répond par l’affirmative. Des commissaires (Ve) questionnent le caractère libre et éclairé du consentement lorsque son expression conditionne l’accès à une prestation, ou lorsque l’information à ce sujet manque de clarté ou se montre particulièrement volumineuse, comme c’est souvent le cas sur internet. M. Mangilli rappelle PL 13347-A 40/52 que ces craintes concernent en particulier la relation avec des acteurs privés, mais que le projet de loi concerne les relations avec les institutions étatiques, qui sont tenues d’offrir un certain nombre de garanties, au regard notamment de la nouvelle disposition constitutionnelle sur l’intégrité numérique. Consentir à un traitement pour prendre rendez-vous à l’hôpital public ne présente pas le même risque que créer un compte Facebook. Il considère qu’il faut néanmoins faire preuve de vigilance en toutes circonstances. Ces mêmes commissaires (Ve) demandent si les responsables du traitement ont la capacité de mener des contrôles en cas de sous-traitance si le volume de données traitées est important. M. Werly répond que la LIPAD actuelle remonte à mars 2002, les travaux préparatoires datant de 1990 ; à ce moment-là, il s’agit d’institutions traitant elles-mêmes les données, il n’y a pas de sous-traitance. Mais lors de son entrée en fonction en 2014, on assistait à l’apparition de la sous-traitance et de nouvelles notions comme le « cloud ». La sous-traitance en Suisse étant la plus sécurisée et la plus chère, le RIPAD interdisait la sous-traitance de données personnelles sensibles hors de Suisse. L’art. 13A RIPAD correspond à l’art. 36C du projet de loi. Aujourd’hui, la sous-traitance est fréquente, et les contrats sont contrôlés par l’autorité de protection des données et transparence. Chaque institution possède des responsables LIPAD, au moins une personne ayant des connaissances en matière informatique et sur la protection des données. Dès que des questions sont soulevées, une discussion avec le ou la responsable LIPAD est établie. Lorsque les contrats sont conclus avec de grandes entreprises, le contrôle est plus difficile. Les institutions restent responsables des données qu’elles font sous-traiter, donc la possibilité d’effectuer un contrôle est une obligation des institutions publiques. Ces mêmes commissaires (Ve) demandent dans quelle ampleur l’État de Genève sous-traite les données. M. Werly répond que le canton comprend 174 institutions publiques, et qu’il y a de nombreux cas de sous-traitance. Ces mêmes commissaires (Ve) demandent s’il y a des différences de cadre légal entre institutions publiques et sous-traitants, en particulier ceux situés en dehors de la Suisse. M. Werly explique que c’est le PPDT fédéral qui établit la liste des pays dits sans risque. Si les données RH des TPG sont sous-traitées en Inde par exemple, l’autorité de protection des données et transparence interviendra pour expliquer que cela pose des problèmes. Or, il n’est pas possible pour cette autorité d’avoir un regard sur la totalité des contrats de sous-traitance ; toutefois, concernant ceux qui passent dans son radar, il fait attention à ce que des garde-fous soient présents et que l’actuel art. 13A RIPAD (art. 36C du projet de loi) soit respecté. 41/52 PL 13347-A Discussion interne La présidence propose un tour de table concernant les art. 36 et 36A avant d’aborder le deuxième débat, et demande si d’autres dispositions soulèvent de potentielles objections. Des commissaires (S) souhaitent prendre davantage de temps pour analyser les enjeux et l’opportunité de présenter un amendement. On peut apprécier ou non la teneur des dispositions telles que figurant dans le projet de loi, encore faut-il avoir une alternative à proposer. Des commissaires (PLR) estiment qu’il appartient aux membres de la commission d’exprimer leurs avis, partant du principe que sur un sujet technique, le résultat des travaux menés par la Chancellerie pourrait s’avérer meilleur que les éventuels amendements d’un parlement de milice. Des commissaires (UDC) s’inquiètent de la quantité de données qui parviennent chez certains privés, mais ne pensent pas que cela doive interdire de protéger les données. Votes 2e débat Sans opposition, la commission accepte la proposition de la présidence de procéder au 2e débat, à l’exception des articles 36, 36A, 36B et 36C. Les travaux seront ensuite suspendus. Titre et préambule art. 1 art. 3 art. 4 art. 13A art. 20A art. 26 art. 28 art. 30 art. 31 art. 33 art. 35 art. 37 art. 37A art. 37B art. 37C pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté PL 13347-A art. 38 art. 38A art. 38B art. 39 art. 40 art. 41 art. 42 art. 43 art. 44 art. 45 art. 47 art. 49 art. 50 art. 51 art. 52 art. 55A art. 56 art. 56A art. 56B art. 56C art. 56D art. 56E art. 59 art. 68 art. 2 art. 1 art. 2D art. 6A art. 7A art. 11A art. 34 art. 122B art. 4A art. 3 42/52 pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté La présidence met aux voix les articles du projet de loi 13347 en 2e débat, à l’exception des art. 36, 36A, 36B, 36C. OUI : 9 (1 UDC, 1 MCG, 2 S, 2 PLR, 1 LJS, 1 Ve, 1 LC) NON : 0 Abstention : 0 43/52 PL 13347-A La commission approuve les dispositions du projet de loi, exceptés les art. 36, 36A, 36B et 36C, qui sont réservés. 9 février 2024 : discussion interne et vote final Mme Hanna explique que le projet d’amendement envoyé à la commission a été rédigé par la DAJ, mais avec l’accord des PPDT. Ceux-ci s’interrogeaient sur la dérogation à l’exigence de base légale pour les traitements portant gravement atteinte aux droits de la personne concernée, dans les finalités et les modalités. Les PPDT se sont également inquiétés du fait de consacrer une disposition ad hoc pour l’exception du consentement. La DAJ a également pris en compte les appréhensions de la commission. Des commissaires (S) demandent si, une fois l’amendement adopté, tout traitement pouvant impliquer une violation des droits fondamentaux serait soumis à l’exigence d’une base légale formelle. Mme Hanna répond par l’affirmative, se référant au message du Conseil fédéral. Le droit supérieur l’emporte dans tous les cas, les règles classiques en matière d’atteinte aux droits fondamentaux s’appliquent sur la base de l’art. 36 de la Constitution fédérale. Des commissaires (PLR) évoquent la crainte exprimée lors d’une précédente séance sur le fait que l’exigence systématique d’une base légale formelle impliquerait l’adoption de nombreuses bases légales. Mme Hanna répond que l’al. 3 comprend désormais l’art. 36A : la teneur est identique, mais il est reformulé sur le format du droit fédéral afin d’en alléger au maximum la lecture, l’art. 36 étant devenu très long et dense. L’adoption systématique de bases légales pour chaque traitement pouvait se heurter au principe de proportionnalité, la dérogation reste toujours possible, sauf lorsqu’on est en présence d’une atteinte grave aux droits fondamentaux. L’al. 2 prévoit l’exigence d’une base légale au sens formel, ainsi qu’une dérogation si le traitement est indispensable à l’accomplissement d’une tâche légale décrite dans une loi au sens formel ; cette dérogation ne sera donc possible que pour le profilage et les données personnelles sensibles. Ces mêmes commissaires (PLR) comprennent que l’inquiétude de la DAJ concernait la suppression de la lettre b. Mme Hanna répond par l’affirmative. Des commissaires (UDC) demandent si l’art. 36A devient l’article intitulé « numéro d’identification personnel ». Mme Hanna répond que ce numéro se trouvait à l’al. 4, mais que celui-ci a été intégré à l’art. 36A. Ces mêmes commissaires demandent si les art. 36B et 36C restent identiques. Mme Hanna répond par l’affirmative. PL 13347-A 44/52 Des commissaires (S) informent avoir reçu des remarques de personnes s’intéressant au projet de loi, imaginant un traitement de données faisant l’objet de plusieurs contestations cumulées, la procédure retardant considérablement le traitement envisagé sans cadre temporel prévisible. Mme Hanna répond qu’en cas d’inquiétude liée à un traitement, le PPDT s’autosaisirait ou serait saisi. Il peut prononcer la suspension d’un traitement le temps de l’enquête, et peut ensuite ordonner la modification, la suspension ou la cessation du traitement, comme en dispose l’art. 56C du projet de loi. À l’art. 56B al. 1, le PPDT peut également effectuer un contrôle, d’office ou sur dénonciation. Les traitements seront inscrits dans un nouveau catalogue des traitements : si une personne s’inquiète d’un traitement, elle informera le PPDT, qui pourra effectuer un contrôle. Il possède également la compétence de décider d’arrêter un traitement de données. Ces mêmes commissaires (S) demandent si le temps nécessaire à ces procédures peut être quantifié. Mme Hanna répond ne pas le savoir, car ces procédures sont nouvelles. À l’heure actuelle, les PPDT ont uniquement des rôles de conseil et de médiation, et peuvent également émettre des recommandations. Les nouveaux pouvoirs prévus dans ce projet de loi découlent d’une exigence du droit supérieur, afin que les autorités européennes puissent juger notre niveau de protection adéquat. Ce droit supérieur octroie à l’autorité de contrôle des pouvoirs d’investigation et de décision, le pouvoir de sanction n’avait pas de sens pour les organes fédéraux et cantonaux. Des commissaires (UDC) demandent quel est l’impact de ce projet de loi, basé sur la nouvelle LPD, sur le volet « accès aux documents » de la LIPAD. Mme Hanna précise qu’à l’origine, le Conseil d’État avait présenté le volet « protection des données » de manière séparée, mais que les lois ont été fusionnées en commission. Cela a compliqué sa mise en œuvre, notamment en ce qui concerne le champ d’application, mais elle ne connaît pas les raisons ayant mené à ce résultat, bien que ces raisons se trouvent probablement dans les travaux parlementaires de l’époque. Elle suppose que le but était que le PPDT se trouve au centre de ces deux volets, qui font tous deux parties de ses compétences. Elle ajoute que dans les autres cantons, certains ont des lois séparées et d’autres ont une loi unique. Votes Suite du 2e débat La présidence met aux voix l’amendement de l’art. 36 l’al. 2, proposé par la DAJ, étant précisé qu’il existe une correction à effectuer dans le texte suivant 45/52 PL 13347-A immédiatement l’amendement, car la lettre C devient la lettre A et la lettre D devient la lettre B : Les traitements de données personnelles sensibles et les activités de profilage ne peuvent avoir lieu que si : OUI : 8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC) NON : 0 Abstention : 1 (1 Ve) L’amendement est accepté. La présidence met aux voix l’amendement de l’art. 36 al. 3, proposé par la DAJ : En dérogation aux alinéas 1 et 2, les institutions publiques peuvent traiter des données personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles et procéder à du profilage, si l’une des conditions suivantes est remplie : OUI : 8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC) NON : 0 Abstention : 1 (1 Ve) L’amendement ainsi que l’article dans son ensemble est accepté. Mme Hanna demande si l’al. 3 est compris dans le vote qui vient d’être effectué. La présidence répond par l’affirmative. La présidence met aux voix l’amendement de l’art. 36A, proposé par la DAJ : Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. L’usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946. OUI : 8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC) NON : 0 Abstention : 1 (1 Ve) La présidence met aux voix l’art. 36A tel qu’amendé : OUI : 8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC) NON : 0 Abstention : 1 (1 Ve) L’art. 36A, tel qu’amendé, est accepté dans sa totalité. PL 13347-A Art. 36B Traitement conjoint (nouveau) Art. 36C al. 1 Sous-traitance (nouveau) Art. 36C al. 2 Sous-traitance (nouveau) Art. 36C al. 3 Sous-traitance (nouveau) Art. 36C al. 4 Sous-traitance (nouveau) Art. 36C al. 5 Sous-traitance (nouveau) Art. 36C al. 6 Sous-traitance (nouveau) 46/52 pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté pas d’opposition, adopté La présidence procède au 3e débat. 3e débat Le président met aux voix l’ensemble du PL 13347 ainsi amendé : 8 (2 S, 1 LJS, 1 LC, 1 MCG, 2 PLR, 1 UDC) OUI : NON : 0 Abstentions : 1 (1 Ve) Le PL 13347, tel qu’amendé, est accepté. Conclusion Après analyse du projet de loi, des explications de la DAJ et de son amendement présenté en fin de travaux, une large majorité de la commission a adopté cette révision substantielle de la LIPAD. Elle espère ainsi participer à la mise à jour du droit suisse en matière de protection des données, avec des standards plus élevés que le droit actuel, et à la participation de la Suisse au marché européen, que ce projet contribue à maintenir. Sur certains points, il est possible que des membres de la commission aient eu davantage d’avance sur leur temps que le RGPD et la nouvelle LPD. Dans un domaine technique, qui évolue rapidement, personne n’a l’audace de prétendre voir dans ce projet de loi un texte qui restera stable pendant des décennies. Il est donc probable que des discussions reprennent à ce sujet dans un avenir relativement proche. Il n’échappe néanmoins pas à la commission que la mise en œuvre d’un projet de loi d’une telle ampleur méritera la pleine attention du parlement. Les rapports annuels du PPDT, déposés devant le Grand Conseil, présentent une belle opportunité d’effectuer un suivi régulier de la concrétisation des objectifs de cette révision majeure de la LIPAD. Sur la base de ces éléments, la commission législative vous recommande, Mesdames les députées, Messieurs les députés, de réserver un accueil favorable à ce projet de loi. 47/52 PL 13347-A Il conviendra juste d’adopter un amendement technique, approuvé par la commission législative, qui fait suite à une erreur de plume et qui concerne l’art. 36, al. 3, let. c : Art. 36, al. 3, let. c (nouvelle teneur) c) la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement et le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. Les traitements de données personnelles sensibles, les activités de profilage et les traitements de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée ne peuvent avoir lieu que si : 2 La base légale doit être prévue dans une loi au c. formel le prévoit 1 En dérogation à l’article 36, les institutions publiques peuvent traiter des données personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, si la personne concernée a consenti au traitement en l'espèce. Le responsable du traitement doit être en mesure de démontrer l’existence d’un tel consentement. 2 La personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. Le consentement doit être exprès en cas de traitement de données personnelles sensibles, de traitement de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, ou de profilage. 3 Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre effective du retrait du consentement peut toutefois Art. 36A Consentement (nouveau) ne peut être utilisé que s’il est institué par une loi cantonale. L'usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946. 4 Un numéro d’identification personnel commun 3 L’article 36A est réservé. b) le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. a) une loi au sens expressément; ou CHA-DAJ/AH/Commission législative/16.02.2024 le traitement est nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée ou d’un tiers et il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable. b. la personne concernée a consenti au traitement en l’espèce ou a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement; a. le Conseil fédéral a autorisé le traitement, considérant que les droits des personnes concernées ne sont pas menacés; dérogation aux al. 1 à 3, les organes fédéraux peuvent traiter des données personnelles si l’une des conditions suivantes est remplie: 4 En sens formel dans les cas suivants: a. il s’agit d’un traitement de données sensibles; b. il s’agit d’un profilage; c. la finalité ou le mode du traitement de données personnelles est susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée. 3 Pour les traitements de données personnelles visés à l’al. 2, let. a et b, une base légale prévue dans une loi au sens matériel suffit si les conditions suivantes sont réunies: a. le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel; b. la finalité du traitement ne présente pas de risques particuliers pour les droits fondamentaux de la personne concernée. 2 formel le prévoit la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement et le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’un tiers de la personne concernée ou d’un tiers et il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable. 4 La personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. c. b. la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement ; a. la personne concernée a consenti au traitement en l’espèce; le responsable du traitement doit être en mesure de démontrer l’existence d’un tel consentement ; dérogation aux alinéas 1 et 2, les institutions publiques peuvent traiter des nécessaires à données personnelles l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, si l’une des conditions suivantes est remplie: 3 En b) le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. a) une loi au sens expressément; ou Les traitements de données personnelles sensibles et les activités de profilage et les traitements de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée ne peuvent avoir lieu que si : 2 données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. 1 Les organes fédéraux ne sont en droit de traiter données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. 1 Les institutions publiques ne peuvent traiter des des données personnelles que s’il existe une base légale. Art. 36 1 Les institutions publiques ne peuvent traiter des Amendement accepté par la commission le 9 février 2024 Art. 36 Base légale (nouvelle teneur avec modification de la note) PL 13347 modifiant la LIPAD Art. 34 Base légale nLPD inchangé inchangé la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement et le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. d’un tiers de la personne concernée ou d’un tiers et il n’est pas possible d’obtenir le consentement de la personne concernée dans un délai raisonnable. 4 inchangé. c. b. inchangé a. inchangé 3 2 1 inchangé Art. 36 Proposition de rectification de l’erreur de plume dans le texte de l’amendement voté L’objectif est donc que le texte définitif corresponde à ce qui a été annoncé et voulu, ie que ce soit le texte figurant dans le PL 13347 à l’art. 36A, al. 4 in fine qui figure à l’al. 3 let. c in fine de l’art. 36 de l’amendement (voir éléments surlignés en vert). Ce faisant, une erreur de plume s’est glissée à l’al. 3 de l’art. 36 de l’amendement, le texte reprenant involontairement une partie de la disposition fédérale (voir éléments surlignés en jaune) en lieu et place du texte figurant dans le PL 13347 à l’art. 36A, al. 4. De plus, et dans la mesure où l’art. 36 devenait extrêmement long et compliqué à lire, la forme des alinéas de l’art. 36A tels que remontés dans l’art. 36 a été légèrement modifiée selon le format de la loi fédérale (lettres plutôt qu’alinéas), comme expliqué en commission. Comme indiqué dans le commentaire de l’amendement aux articles 36 et 36A qui a été soumis et voté par la commission lors de sa séance du 9 février 2024, et comme expliqué durant cette même séance, le but était de « remonter » le contenu de l’art. 36A dans l’art. 36, sans modification de fond, pour donner suite à la demande des PPDT. Commentaire 1 PL 13347-A 48/52 ANNEXE 1 CHA-DAJ/AH/Commission législative/16.02.2024 traiter des données personnelles, y compris sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, en dérogation à l’article 36, si la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement. 5 Les institutions publiques peuvent également 4 Dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, les institutions publiques peuvent traiter des données personnelles si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. requérir un délai raisonnable pour des raisons techniques. Art. 36A inchangé Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. L'usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946. 5 inchangé. Art. 36A Numéro d’identification personnel commun (nouvelle teneur) 5 Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre effective du retrait du consentement peut toutefois requérir un délai raisonnable pour des raisons techniques. Le consentement doit être exprès en cas de traitement de données personnelles sensibles, ou de profilage. 2 49/52 PL 13347-A PL 13347-A 50/52 ANNEXE 2 51/52 PL 13347-A PL 13347-A 52/52