21986_PL13347_projetloitexte.pdf

GRAND CONSEIL

PL 13347

de la République et canton de Genève

Projet présenté par le Conseil d’Etat
Date de dépôt : 5 juillet 2023

Projet de loi
modifiant la loi sur l'information du public, l'accès aux
documents et la protection des données personnelles (LIPAD)
(A 2 08)
Le GRAND CONSEIL de la République et canton de Genève
décrète ce qui suit :
Art. 1
Modifications
La loi sur l'information du public, l'accès aux documents et la protection des
données personnelles, du 5 octobre 2001 (LIPAD – A 2 08), est modifiée
comme suit :
Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les
lettres d et e), lettre e (nouvelle teneur), al. 6 (nouveau)
1
La présente loi s’applique aux institutions publiques suivantes (ci-après :
institutions publiques), sous réserve des alinéas 3 et 5 :
c) la Cour des comptes;
e) les groupements formés d'institutions visées aux lettres a, b et d.
6
Le traitement de données personnelles effectué par la Banque cantonale de
Genève n’est pas soumis à la présente loi.
Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i
ancienne devenant la lettre n)
Dans la présente loi et ses règlements d’application, on entend par :
b) données personnelles sensibles, les données personnelles sur :
1° les opinions ou activités religieuses, philosophiques, politiques ou
syndicales,
ATAR ROTO PRESSE – 80 ex. – 08.23

PL 13347

2/189

2° la santé, la sphère intime ou l’origine raciale ou ethnique,
3° des mesures d'aide sociale,
4° des poursuites ou sanctions pénales ou administratives,
5° les données génétiques,
6° les données biométriques identifiant une personne physique de façon
unique;
c) profilage, toute forme de traitement automatisé de données personnelles
consistant à utiliser ces données pour évaluer certains aspects d'une
personne, notamment pour analyser ou prédire des éléments concernant
son rendement au travail, sa situation économique, sa santé, ses
préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa
localisation ou ses déplacements;
d) traitement, toute opération relative à des données personnelles – quels
que soient les moyens et procédés utilisés – notamment la collecte,
l’enregistrement, la conservation, l’utilisation, l’extraction, la
consultation, la modification, la communication, le rapprochement ou
l’interconnexion, la limitation, l’effacement, la destruction ou
l’archivage;
e) communication, le fait de rendre accessibles des données personnelles
ou un document, par exemple en autorisant leur consultation, en les
transmettant ou en les diffusant;
f) personne concernée, la personne physique ou morale au sujet de
laquelle des données personnelles sont traitées;
g) responsable du traitement, institution au sens de l’article 3 qui, seule ou
conjointement avec d’autres, détermine les finalités et les moyens du
traitement de données personnelles;
h) sous-traitant, institution, organisme ou personne physique ou morale qui
traite des données personnelles pour le compte du responsable du
traitement;
i) sécurité des données personnelles, ensemble des mesures
organisationnelles et techniques permettant d’assurer la confidentialité,
et l’intégrité des données personnelles;
j) violation de la sécurité des données personnelles, toute atteinte à la
sécurité des données personnelles entraînant de manière accidentelle ou
illicite leur perte, leur modification, leur effacement ou leur destruction,
leur divulgation ou un accès non autorisé à ces dernières;
k) anonymisation, traitement de données personnelles consistant à
supprimer définitivement toutes les données identifiantes ou tout moyen
de retrouver les données originales;

3/189

PL 13347

m) décision individuelle automatisée, toute décision prise exclusivement
sur la base d’un traitement automatisé de données, y compris le
profilage, et qui a des effets juridiques sur la personne concernée ou qui
l’affecte de manière significative.

Section 4A
du chapitre I
du titre II

Cour des comptes (nouvelle)

Art. 13A Huis clos (nouveau)
Les délibérations et autres séances de la Cour des comptes se tiennent à huis
clos.
Art. 20A Cour des comptes (nouveau)
1
La Cour des comptes informe sur ses activités, notamment par le biais de la
publication de ses rapports et d’autres documents qu’elle considère d’intérêt
public. Dans ce cadre, elle veille à la protection du secret professionnel, de
fonction, fiscal, ou d’affaires des personnes entendues et de tout autre secret
prévu par la loi.
2
Sans préjudice de l’application des lois régissant ses activités, la Cour des
comptes ne peut donner d’informations susceptibles de permettre
l’identification de l’auteure ou de l’auteur d’une communication ou d’une
personne qu’elle a entendue.
3
Elle veille au respect des règles professionnelles prohibant la transmission
d’informations ou la transmission de documents en matière d’audit,
d’évaluation ou de révision.
4
Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la
divulgation de certaines informations.
Art. 26, al. 2, lettre d (nouvelle teneur)
2
Tel est le cas, notamment, lorsque l’accès aux documents est propre à :
d) compromettre l’ouverture, le déroulement ou l’aboutissement
d’enquêtes ou d’investigations prévues par la loi;

PL 13347

4/189

Art. 28, al. 3 (nouvelle teneur)
3
En cas de doute sur la réalisation d'une des exceptions prévues à l'article 26,
la personne qui est saisie de la demande d'accès doit en référer à la
conseillère ou au conseiller à la protection des données et à la transparence
désigné conformément aux mesures d'organisation et de procédure prévues à
l'article 50.
Art. 30, al. 5 (nouvelle teneur)
5
A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse
de la requérante ou du requérant ainsi que de l’institution ou des institutions
concernées, une recommandation écrite sur la communication du document
considéré. L’institution concernée rend alors dans les 10 jours une décision
sur la communication du document considéré. Elle notifie aussi sa décision à
la préposée cantonale ou au préposé cantonal.
Art. 31, al. 2 (nouvelle teneur)
2
Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées
à l’article 50, alinéa 3, pour les affaires respectives des institutions visées par
cette disposition.
Art. 33, al. 2 et 3 (nouvelle teneur)
2
Le droit de rectification est exercé par les instances désignées à l’article 50,
alinéa 3.
3
La rectification consiste dans la publication gratuite dans le média
considéré, à bref délai et sans modification, d’un texte rectificatif factuel,
véridique, concis et clair soumis par l’institution compétente, dans des
conditions d’insertion et de présentation comparables à celles ayant entouré
la présentation des faits en question. La publication comporte la précision que
le texte rectificatif émane de l’institution requérante, et elle peut être
accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou
non de sa présentation des faits et de l’indication de ses sources.
Art. 35

Principes (nouvelle teneur avec modification de la note)
Licéité
1
Tout traitement de données personnelles doit être licite.
Bonne foi et proportionnalité
2
Il doit être conforme aux principes de la bonne foi et de la proportionnalité.

5/189

PL 13347

Finalité et reconnaissabilité
Les données personnelles ne peuvent être collectées que pour des finalités
déterminées et reconnaissables pour la personne concernée et doivent être
traitées ultérieurement de manière compatible avec ces finalités.
Conservation, destruction, effacement et anonymisation
4
Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus
nécessaires au regard des finalités du traitement, dans la mesure où ces
données ne doivent pas être conservées en vertu d’une autre loi. Sur décision
de l’institution publique concernée, la destruction de données personnelles
peut être différée durant 2 ans au maximum à des fins d’évaluation de
politiques publiques.
Exactitude
5
Quiconque traite des données personnelles doit s’assurer qu’elles sont
exactes et prend toute mesure appropriée permettant de rectifier, d’effacer ou
de détruire les données personnelles inexactes ou incomplètes au regard des
finalités pour lesquelles elles sont collectées ou traitées.
6
Lorsqu’une institution publique constate que des données personnelles
qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1,
ou d’une autre base légale, sont inexactes, incomplètes ou obsolètes, elle en
informe l’institution concernée, à moins que cette information ne soit
contraire à une loi ou un règlement.
3

Art. 36
Base légale (nouvelle teneur avec modification de la note)
1
Les institutions publiques ne peuvent traiter des données personnelles que si
une base légale le prévoit ou si l’accomplissement de leurs tâches légales le
rend nécessaire.
2
Les traitements de données personnelles sensibles, les activités de profilage
et les traitements de données personnelles dont les finalités ou les modalités
de traitement sont susceptibles de porter gravement atteinte aux droits
fondamentaux de la personne concernée ne peuvent avoir lieu que si :
a) une loi au sens formel le prévoit expressément; ou
b) le traitement est indispensable à l’accomplissement d’une tâche définie
dans une loi au sens formel.
3
L’article 36A est réservé.
4
Un numéro d’identification personnel commun ne peut être utilisé que s’il
est institué par une loi cantonale. L'usage et la communication du numéro
AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du
20 décembre 1946.

PL 13347

6/189

Art. 36A Consentement (nouveau)
1
En dérogation à l’article 36, les institutions publiques peuvent traiter des
données personnelles nécessaires à l’accomplissement de leurs tâches légales,
y compris des données personnelles sensibles ou dont les finalités ou les
modalités de traitement sont susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée, et procéder à du profilage, si
la personne concernée a consenti au traitement en l'espèce. Le responsable du
traitement doit être en mesure de démontrer l’existence d’un tel
consentement.
2
La personne concernée ne consent valablement que si elle exprime
librement sa volonté concernant un ou plusieurs traitements déterminés et
après avoir été dûment informée. Le consentement doit être exprès en cas de
traitement de données personnelles sensibles, de traitement de données
personnelles dont les finalités ou les modalités de traitement sont susceptibles
de porter gravement atteinte aux droits fondamentaux de la personne
concernée, ou de profilage.
3
Le consentement peut être révoqué en tout temps et sans motifs. La mise en
œuvre effective du retrait du consentement peut toutefois requérir un délai
raisonnable pour des raisons techniques.
4
Dans le cas où la personne concernée se trouve dans l’incapacité physique
ou juridique de donner son consentement, les institutions publiques peuvent
traiter des données personnelles si le traitement est nécessaire à la sauvegarde
des intérêts vitaux de la personne concernée ou d’une autre personne
physique.
5
Les institutions publiques peuvent également traiter des données
personnelles, y compris sensibles ou dont les finalités ou les modalités de
traitement sont susceptibles de porter gravement atteinte aux droits
fondamentaux de la personne concernée, et procéder à du profilage, en
dérogation à l’article 36, si la personne concernée a rendu ses données
personnelles accessibles à tout un chacun et ne s’est pas opposée
expressément au traitement.
Art. 36B Traitement conjoint (nouveau)
Lorsque deux institutions publiques ou plus déterminent conjointement les
finalités et les moyens du traitement de données personnelles, elles sont
responsables conjointes du traitement et doivent définir de manière
transparente leurs obligations respectives dans la déclaration au sens de
l’article 43.

7/189

PL 13347

Art. 36C Sous-traitance (nouveau)
1
Le traitement de données personnelles peut être confié à un sous-traitant
pour autant qu’un contrat ou la loi le prévoie et que les conditions suivantes
soient réunies :
a) seuls sont effectués les traitements que le responsable du traitement est
en droit de réaliser;
b) aucune obligation légale ou contractuelle de garder le secret ne
l’interdit.
2
La sous-traitance de données personnelles fait l’objet d’un contrat de droit
privé ou public en la forme écrite, prévoyant pour chaque étape du traitement
le respect des prescriptions de la présente loi et du règlement d'application de
la loi sur l'information du public, l'accès aux documents et la protection des
données personnelle, du 21 décembre 2011, ainsi que la possibilité
d’effectuer des audits sur le site du sous-traitant, ou, à défaut, d'obtenir les
résultats d'audits de tiers indépendants, respectivement de participer sans frais
à l'élaboration de ces audits. Les cas où la loi prévoit en détail les modalités
de la sous-traitance sont réservés.
3
Le contrat prévoit spécifiquement que le sous-traitant annonce dans les
meilleurs délais au responsable du traitement tout cas de violation de la
sécurité des données.
4
Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en
cascade) n’est possible qu’avec l’accord préalable écrit du responsable du
traitement et moyennant le respect, à chaque niveau de substitution, de toutes
les prescriptions du présent article.
5
Le responsable du traitement demeure responsable des données
personnelles qu’il fait traiter au même titre que s’il les traitait lui-même.
6
S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est
possible que si l’Etat concerné dispose d’une législation assurant un niveau
de protection adéquat conformément à la liste établie par le Conseil fédéral.
Art. 37

Protection des données personnelles dès la conception et par
défaut (nouveau, l’art. 37 ancien devenant l’art. 37A)
1
Le responsable du traitement est tenu de mettre en place des mesures
techniques et organisationnelles afin que le traitement respecte les
prescriptions de protection des données personnelles, en particulier les
principes fixés à l’article 35. Il le fait dès la conception du traitement.

PL 13347

8/189

2

Les mesures organisationnelles et techniques doivent être appropriées au
regard notamment de l’état de la technique, du type de traitement et de son
étendue, ainsi que du risque que le traitement des données présente pour la
personnalité ou les droits fondamentaux des personnes concernées.
3
Le responsable du traitement est tenu de garantir, par le biais de préréglages
appropriés, que le traitement soit limité au minimum requis par la finalité
poursuivie, pour autant que la personne concernée n’en dispose pas
autrement.
Art. 37A Sécurité des données personnelles (nouvelle teneur)
1
Les institutions publiques doivent assurer, par des mesures
organisationnelles et techniques appropriées, une sécurité adéquate des
données personnelles par rapport au risque encouru.
2
Les mesures doivent permettre d’éviter la violation de la sécurité des
données personnelles.
3
Le Conseil d’Etat détermine, par voie réglementaire, les exigences
minimales en matière de sécurité des données personnelles.
4
Les institutions publiques sont tenues de contrôler périodiquement le
respect des mesures de sécurité mises en place au sens du présent article.
Art. 37B Analyse d’impact (nouveau)
1
Lorsqu’un traitement de données personnelles est susceptible d’entraîner un
risque élevé pour la personnalité ou les droits fondamentaux de la personne
concernée, le responsable du traitement procède au préalable à une analyse
d’impact relative à la protection des données personnelles. S’il envisage
d’effectuer plusieurs opérations de traitement semblables, il peut établir une
analyse d’impact commune.
2
L’existence d’un risque élevé, en particulier lors du recours à de nouvelles
technologies, dépend de la nature, de l’étendue, des circonstances et de la
finalité du traitement. Un tel risque existe notamment dans les cas suivants :
a) traitements de données personnelles sensibles à grande échelle;
b) profilage;
c) surveillance systématique de grandes parties du domaine public.
3
L’analyse d’impact contient notamment :
a) une description du traitement envisagé;
b) une évaluation des risques pour la personnalité ou les droits
fondamentaux de la personne concernée; ainsi que
c) les mesures prévues pour protéger la personnalité et les droits
fondamentaux de la personne concernée.

9/189

PL 13347

4

Lorsque l'analyse d'impact est requise selon l'alinéa 1 du présent article, elle
est jointe au projet d'acte législatif pour avis de la préposée cantonale ou du
préposé cantonal au sens de l'article 56A, alinéa 2, lettre e, de la présente loi.
5
Lorsque l'analyse d'impact requise à l'alinéa 1 du présent article n’est pas
liée à un projet d'acte législatif, elle est soumise à la préposée cantonale ou au
préposé cantonal pour avis avant le début du traitement.
Art. 37C Violation de la sécurité des données personnelles (nouveau)
1
Lorsqu’il constate une violation de la sécurité des données personnelles, le
responsable du traitement prend immédiatement les mesures appropriées afin
de mettre fin à la violation et d’en minimiser les effets, et en informe
immédiatement sa conseillère ou son conseiller à la protection des données et
à la transparence au sens de l’article 50.
2
Le responsable du traitement consigne dans un document interne la nature
de la violation, le type de données personnelles concernées et les catégories
de personnes touchées, les conséquences probables pour ces dernières et les
mesures prises pour y remédier.
3
Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé
cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son
conseiller à la protection des données et à la transparence, les cas de violation
de la sécurité des données personnelles entraînant vraisemblablement un
risque élevé pour la personnalité ou les droits fondamentaux de la personne
concernée.
4
Le sous-traitant annonce dans les meilleurs délais au responsable du
traitement tout cas de violation de la sécurité des données personnelles.
5
Le responsable du traitement informe la personne concernée lorsque cela est
nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé
cantonal l’exige.
6
Il peut restreindre l’information de la personne concernée, la différer ou y
renoncer, dans les cas suivants :
a) les intérêts prépondérants d’un tiers l’exigent;
b) un intérêt public prépondérant l’exige, en particulier la sécurité
intérieure ou l’ordre public;
c) un devoir légal de garder un secret l’interdit;
d) la communication des informations est susceptible de compromettre une
enquête, une instruction ou une procédure judiciaire ou administrative;
e) l’information est impossible à fournir ou exige des efforts
disproportionnés;

PL 13347

10/189

f) l’information de la personne concernée peut être garantie de manière
équivalente par une communication publique.
Art. 38

Devoir d’informer lors de la collecte de données personnelles
(nouvelle teneur avec modification de la note)
1
Le responsable du traitement informe la personne concernée de manière
adéquate de la collecte de données personnelles la concernant, que cette
collecte soit effectuée auprès d’elle ou non.
2
Lors de la collecte, le responsable du traitement communique à la personne
concernée les informations nécessaires pour qu’elle puisse faire valoir ses
droits selon la présente loi et pour que la transparence des traitements soit
garantie; il lui communique au moins les éléments suivants :
a) le responsable du traitement;
b) la finalité du traitement;
c) le cas échéant, les destinataires ou les catégories de destinataires
auxquelles des données personnelles sont transmises;
d) les catégories de données personnelles traitées.
3
Lorsque des données personnelles sont communiquées à l’étranger, le
responsable du traitement communique également à la personne concernée le
nom de la corporation ou de l’établissement de droit public auquel elles sont
communiquées et, le cas échéant, l’application d’une des exceptions prévues
à l’article 39, alinéa 7.
4
Si les données personnelles ne sont pas collectées auprès de la personne
concernée, le responsable du traitement lui communique les informations
mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les
données personnelles. S’il communique les données personnelles avant
l’échéance de ce délai, il en informe la personne concernée au plus tard lors
de la communication.
Art. 38A

Exceptions au devoir d’informer lors de la collecte de
données personnelles (nouveau)
1
Le responsable du traitement est délié du devoir d’information au sens de
l’article 38 si l’une des conditions suivantes est remplie :
a) la personne concernée dispose déjà des informations au sens de
l’article 38;
b) le traitement des données personnelles est prévu par la loi;
c) l’information n’est pas possible ou exige un effort disproportionné.
2
Le responsable du traitement peut restreindre ou différer la communication
des informations, ou y renoncer, si un intérêt public ou privé prépondérant le
justifie, en particulier dans les cas prévus à l’article 46.

11/189

PL 13347

Art. 38B

Droits de la personne concernée en cas de décision
individuelle automatisée (nouveau)
1
Le responsable du traitement informe la personne concernée de toute
décision qui est prise exclusivement sur la base d’un traitement de données
personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de
manière significative.
2
A la demande de la personne faisant l’objet d’une décision individuelle
automatisée, le responsable du traitement lui communique la logique et les
critères à la base de celle-ci. Cette demande ne suspend pas le délai visé à
l’alinéa 3.
3
Toute personne faisant l’objet d’une décision individuelle automatisée peut
former une réclamation, dans les 30 jours à compter de sa notification, auprès
de son auteure ou auteur.
4
La décision sur réclamation ne peut pas être rendue de manière automatisée.
5
Les dispositions de la législation spéciale qui prévoient déjà une procédure
de réclamation sont réservées.
Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur)
A une autre institution publique soumise à la loi
1
Sans préjudice, le cas échéant, de son devoir de renseigner les instances
hiérarchiques supérieures dont elle dépend, une institution publique ne peut
communiquer des données personnelles en son sein ou à une autre institution
publique que si, cumulativement :
a) l’institution requérante démontre que le traitement qu’elle entend faire
des données sollicitées satisfait aux exigences prévues aux articles 35 à
38B;
2
L’institution publique requise est tenue de s’assurer du respect des
conditions posées à l’alinéa 1 et, une fois la communication effectuée, d’en
informer sa conseillère ou son conseiller à la protection des données et à la
transparence, à moins que le droit de procéder à cette communication ne
résulte déjà explicitement d’une loi ou d’un règlement.
5
L’institution publique requise est tenue de s’assurer du respect des
conditions posées à l’alinéa 4 et, avant de procéder à la communication
requise, d’en informer sa conseillère ou son conseiller à la protection des
données et à la transparence, à moins que le droit de procéder à cette
communication ne résulte déjà explicitement d’une loi ou d’un règlement.
S’il y a lieu, elle assortit la communication de charges et conditions.

PL 13347

12/189

7

En l’absence du niveau de protection des données requis par l’alinéa 6, la
communication n'est possible que si elle n’est pas contraire à une loi ou un
règlement et si, alternativement :
a) elle intervient avec le consentement exprès, libre et éclairé de la
personne concernée ou dans son intérêt manifeste;
b) elle est dictée par un intérêt public important manifestement
prépondérant reconnu par l’institution publique requise et que l’entité
requérante fournit des garanties fiables suffisantes quant au respect des
droits fondamentaux de la personne concernée;
8
L’institution publique requise est tenue de consulter la préposée cantonale
ou le préposé cantonal avant toute communication. S’il y a lieu, elle assortit
la communication de charges ou conditions.
10
Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est
tenue de consulter les personnes concernées avant toute communication, à
moins que cela n’implique un travail disproportionné. A défaut d’avoir pu
recueillir cette détermination, ou en cas d’opposition d’une personne
consultée, l’institution publique requise sollicite le préavis de la préposée
cantonale ou du préposé cantonal. La communication peut être assortie de
charges et conditions, notamment pour garantir un niveau de protection
adéquat des données.
11
Outre aux parties, l'institution publique requise communique sa décision
aux personnes consultées ainsi qu’à la préposée cantonale ou au préposé
cantonal.
Art. 40 (abrogé)
Art. 41

Traitement à des fins générales ne se rapportant pas à des
personnes (nouvelle teneur avec modification de la note)
1
Les institutions publiques soumises à la présente loi sont en droit de traiter
des données personnelles à des fins générales de statistique, de recherche
scientifique, de planification ou d’évaluation de politiques publiques,
indépendamment des buts pour lesquels elles ont été collectées, si les
conditions suivantes sont réunies :
a) les données personnelles sont rendues anonymes dès que la finalité du
traitement le permet;
b) l'institution publique ne communique les données personnelles sensibles
à des personnes privées que sous une forme ne permettant pas
d'identifier les personnes concernées;
c) le destinataire ne communique les données personnelles à des tiers
qu'avec le consentement de l'institution qui les lui a transmises;

13/189

PL 13347

d) les résultats du traitement sont publiés sous une forme ne permettant pas
d'identifier les personnes concernées.
2
Les articles 35, alinéa 3, 36, alinéa 2, et 39 ne sont pas applicables.
Art. 42, al. 1, phrase introductive (nouvelle teneur)
1
Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de
tâches au sens de l’article 36, la création et l’exploitation d’un système de
vidéosurveillance ne sont licites que si, cumulativement :
Art. 43

Registre des activités de traitement (nouvelle teneur avec
modification de la note)
1
La préposée cantonale ou le préposé cantonal dresse et tient à jour un
registre public des activités de traitement des institutions publiques. Elle ou il
le rend facilement accessible.
2
Les institutions publiques déclarent leurs activités de traitement à la
préposée cantonale ou au préposé cantonal, en fournissant au moins les
indications suivantes :
a) le responsable du traitement;
b) la dénomination, la base légale et la finalité du traitement;
c) une description des catégories des personnes concernées et des
catégories des données personnelles traitées;
d) les catégories des destinataires;
e) le cas échéant, l’identité et les coordonnées des autres responsables du
traitement et la répartition des responsabilités.
3
Les institutions publiques fournissent également les indications suivantes à
la préposée cantonale ou au préposé cantonal, sur requête de ces derniers :
a) dans la mesure du possible, le délai de conservation des données
personnelles ou les critères pour déterminer la durée de conservation;
b) dans la mesure du possible, une description générale des mesures visant
à garantir la sécurité des données personnelles selon l’article 37A;
c) en cas de communication de données personnelles à l’étranger, le nom
de la corporation ou de l’établissement de droit public étranger
destinataire et, le cas échéant, l'application d'une des exceptions prévues
à l’article 39, alinéa 7;
d) le cas échéant, l’identité et les coordonnées des sous-traitants.
4
Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer
pour certaines catégories de traitement à des fins administratives internes qui
ne présentent manifestement pas de risques pour les droits des personnes
concernées.

PL 13347

14/189

Art. 44 (nouvelle teneur)
1
Toute personne physique ou morale de droit privé peut demander par écrit
au responsable du traitement, en s’adressant à sa conseillère ou à son
conseiller à la protection des données et à la transparence au sens de
l’article 50, si des données personnelles la concernant sont traitées.
2
La personne concernée reçoit les informations nécessaires à la mise en
œuvre de ses droits en matière de protection des données personnelles. A sa
demande, elle reçoit notamment les informations suivantes :
a) le responsable du traitement;
b) les données personnelles traitées;
c) la finalité du traitement;
d) la durée de conservation des données personnelles, ou, si cela n’est pas
possible, les critères pour fixer cette dernière;
e) les informations disponibles sur l’origine des données personnelles,
dans la mesure où ces données n’ont pas été collectées auprès de la
personne concernée;
f) le cas échéant, les destinataires ou les catégories de destinataires
auxquels des données personnelles sont communiquées, ainsi que
l'application d'une des exceptions prévues à l’article 39, alinéa 7.
3
L’institution publique qui fait traiter des données personnelles par un soustraitant demeure tenue de communiquer les données et de fournir les
informations demandées.
4
Nul ne peut renoncer par avance à son droit d’accès.
Art. 45 (nouvelle teneur)
1
La personne qui fait valoir son droit d’accès doit justifier de son identité.
2
Les renseignements sont, en règle générale, fournis par écrit sur un support
physique ou électronique. En accord avec le responsable du traitement, la
personne concernée peut également consulter ses données personnelles sur
place.
3
Le responsable du traitement fournit gratuitement les renseignements
demandés. Le Conseil d’Etat peut prévoir des exceptions, notamment si la
communication de l’information implique un travail disproportionné.
4
A moins que des circonstances exceptionnelles le justifient, les
renseignements sont fournis dans un délai de 30 jours.
Art. 47, al. 2, lettres a, d et e (nouvelle teneur)
2
Sauf disposition légale contraire, elle est en particulier en droit d’obtenir
des institutions publiques, à propos des données la concernant, qu’elles :

15/189

PL 13347

a) effacent ou détruisent celles qui ne sont pas nécessaires;
d) s’abstiennent de communiquer celles qui ne répondent pas aux
exigences de qualité visées à l’article 35;
e) publient leur décision prise suite à sa requête ou la communiquent aux
institutions ou tiers ayant reçu de leur part des données ne répondant pas
aux exigences de qualité visées à l'article 35.
Art. 49 (nouvelle teneur)
1
Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit
au responsable du traitement dont relève le traitement considéré.
2
Le responsable du traitement saisi traite la requête avec célérité. S’il y a
lieu, il la transmet à la conseillère ou au conseiller à la protection des données
et à la transparence compétent au regard des procédures adoptées au sein de
son institution en application de l’article 50.
3
L’institution concernée statue par voie de décision dans les 30 jours sur les
prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la
préposée cantonale ou au préposé cantonal.
Art. 50

Conseillères et conseillers à la protection des données et à la
transparence et procédures (nouvelle teneur de la note), al. 1
(nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens
devenant les al. 3 à 6), al. 3, phrase introductive (nouvelle
teneur), lettre e (nouvelle, les lettres e à i anciennes devenant
les lettres f à j), al. 4 et 6 (nouvelle teneur)
1
Des conseillères et conseillers à la protection des données et à la
transparence (ci-après : conseillères et conseillers LIPAD) ayant une
formation appropriée et les compétences utiles sont désignés et des
procédures sont mises en place au sein des institutions publiques, pour y
garantir une correcte application de la présente loi.
2
Plusieurs institutions publiques peuvent désigner ensemble une conseillère
ou un conseiller LIPAD.
3
Les mesures d'organisation générales et les procédures visées à l'alinéa 1
sont adoptées, après consultation de la préposée cantonale ou du préposé
cantonal, par les instances suivantes :
e) la Cour des comptes pour elle-même;
4
Le Conseil d’Etat prescrit par substitution les mesures et les procédures
nécessaires à une correcte application du titre III de la présente loi, si une
instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après
avoir été mise en demeure de le faire.

PL 13347

16/189

6

La liste des conseillères et conseillers LIPAD désignés en application du
présent article est publique.

Art. 51 (nouvelle teneur)
1
Les conseillères et conseillers LIPAD sont les interlocutrices et
interlocuteurs privilégiés des personnes concernées et de la préposée
cantonale ou du préposé cantonal pour tout ce qui a trait au traitement des
données personnelles et à la transparence de l'institution qui les a désignés.
2
Elles et ils ont une fonction de conseil et de soutien et sont associés de
manière appropriée aux activités de traitement accomplies au sein de
l’institution publique.
3
Elles et ils accomplissent en particulier les tâches suivantes :
a) donner aux membres de l’institution publique les instructions utiles sur
le traitement des données personnelles nécessaires à l’accomplissement
de leurs tâches légales ou des demandes d’accès aux documents;
b) concourir à l’établissement de l’analyse d’impact relative à la protection
des données;
c) communiquer à la préposée cantonale ou au préposé cantonal les
activités de traitement des institutions publiques au sens de l’article 43,
ainsi que leurs mises à jour régulières;
d) annoncer à la préposée cantonale ou au préposé cantonal les violations
de la sécurité des données personnelles qui leur ont été communiquées
par le responsable du traitement.
4
Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de
l’institution à laquelle elles ou ils appartiennent, la compétence :
a) d’exiger d’eux tous renseignements utiles sur le traitement des données
personnelles ou celui des demandes d’accès aux documents régies par la
présente loi, qu’ils effectuent ou sont appelés à effectuer;
b) de prendre par voie d’évocation les décisions d’application de la
présente loi entrant ordinairement dans leur sphère de compétence.
5
Les membres des institutions publiques informent leur conseillère ou
conseiller LIPAD, notamment :
a) de tout nouveau traitement de données personnelles;
b) de toute requête de communication et de toute intention de destruction
de données personnelles, à moins que ces opérations ne soient prévues
explicitement par une loi, un règlement ou une décision du Conseil
d'Etat;
c) de toute information ou consultation qu’ils adressent directement à la
préposée cantonale ou au préposé cantonal.

17/189

PL 13347

Art. 52, al. 2 et 3 (nouveaux)
2
La préposée cantonale ou le préposé cantonal se concerte avec l'archiviste
d’Etat lorsque l’application de la présente loi implique celle de la loi sur les
archives publiques, du 1er décembre 2000.
3
Elle ou il entretient des contacts réguliers avec la commission consultative.
Art. 55A Autocontrôle (nouveau)
La préposée cantonale ou le préposé cantonal s'assure, par des mesures de
contrôle appropriées portant notamment sur la sécurité des données
personnelles, du respect et de la bonne application en son sein des
dispositions de la présente loi.
Art. 56

Compétences de la préposée cantonale ou du préposé
cantonal en matière d’information du public et d’accès aux
documents (nouvelle teneur avec modification de la note)
1
La préposée cantonale ou le préposé cantonal surveille l’application de la
présente loi en matière d’information du public et d’accès aux documents.
2
Elle ou il est chargé, en application du titre II de la présente loi :
a) de traiter les requêtes de médiation relatives à l’accès aux documents;
b) d’informer d’office ou sur demande sur les modalités d’accès aux
documents;
c) de centraliser les normes et directives que les institutions édictent pour
assurer l’application de l’article 50;
d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de
la mise en œuvre de la présente loi;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de transparence.
Art. 56A

Compétences de la préposée cantonale ou du préposé
cantonal en matière de protection des données personnelles
(nouveau)
1
La préposée cantonale ou le préposé cantonal surveille l’application de la
présente loi en matière de protection des données personnelles, notamment en
procédant à des contrôles auprès des institutions publiques.
2
Elle ou il a la charge, en vertu du titre III de la présente loi :
a) d’émettre les préavis requis en vertu de la présente loi;
b) de collecter et de centraliser les avis et informations que les institutions
publiques, ou leurs conseillères et conseillers LIPAD, doivent lui
fournir, et, s'il y a lieu, de prendre position dans l'exercice de ses
compétences;

PL 13347

18/189

c) de conseiller les instances compétentes des institutions publiques sur les
mesures d'organisation et les procédures à prescrire en leur sein;
d) d’assister les conseillères et conseillers LIPAD dans l'accomplissement
de leurs tâches;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de protection des données personnelles;
f) de dresser, de mettre à jour et de rendre accessible au public le registre
des activités de traitement des institutions publiques;
g) de dresser, de mettre à jour et de rendre accessible au public la liste des
conseillères et conseillers LIPAD désignés au sein des institutions
publiques;
h) de renseigner d'office ou sur demande les personnes concernées sur
leurs droits;
i) d’exercer le droit de recours prévu à l'article 62, ainsi que dans les
autres cas prévus dans la loi.
Art. 56B

Pouvoirs de contrôle de la préposée cantonale ou du préposé
cantonal en matière de protection des données personnelles
(nouveau)
1
La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur
dénonciation, un contrôle auprès d’une institution publique ou d’un soustraitant, afin de vérifier qu’ils respectent les dispositions de protection des
données personnelles. Elle ou il décide librement des contrôles qu’elle ou il
opère et de la suite à donner à une dénonciation.
2
La préposée cantonale ou le préposé cantonal peut notamment demander
des renseignements, exiger la production de documents, procéder à des
inspections et se faire présenter des traitements de données. Elle ou il peut
recourir, au besoin, à des expertes et experts dans les domaines techniques.
3
Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au
préposé cantonal. Les autres secrets institués par la loi sont réservés.
4
Si la personne concernée est à l’origine de la dénonciation, la préposée
cantonale ou le préposé cantonal l’informe des suites données à celle-ci.
Art. 56C

Mesures administratives de la préposée cantonale ou du
préposé cantonal (nouveau)
1
Si des dispositions de protection des données ne sont pas respectées, la
préposée cantonale ou le préposé cantonal peut ordonner la modification, la
suspension ou la cessation de tout ou partie du traitement ainsi que
l’effacement ou la destruction de tout ou partie des données personnelles.

19/189

PL 13347

2

Elle ou il peut suspendre ou interdire la communication de données
personnelles à l’étranger si elle est contraire aux conditions de l’article 39 ou
à des dispositions d’autres lois cantonales concernant la communication de
données personnelles à l’étranger.
3
Elle ou il peut notamment ordonner à l’institution publique :
a) de se conformer à son devoir d'informer lors de la collecte des données
personnelles (art. 38);
b) de répondre de manière appropriée à la demande de la personne
concernée qui exerce ses droits en vertu de la présente loi, notamment
son droit d'accès, son droit de rectification ou son droit d'opposition;
c) de lui fournir les informations prévues en matière de communications
transfrontières de données personnelles (art. 38, al. 3);
d) de déclarer un traitement de données personnelles au registre des
activités de traitement (art. 43);
e) de prendre des mesures organisationnelles et techniques en matière de
protection des données personnelles (art. 37A);
f) de prendre des mesures de protection des données personnelles dès la
conception et par défaut (art. 37);
g) de procéder à une analyse d'impact relative à la protection des données
personnelles ou de la compléter (art. 37B);
h) de lui transmettre les informations pertinentes en lien avec une violation
de la sécurité des données personnelles (art. 37C);
i) d’informer les personnes concernées à la suite d'une violation de la
sécurité des données personnelles (art. 37C);
j) de désigner une conseillère ou un conseiller LIPAD (art. 50).
4
Si une institution publique ne donne pas suite à l’ordre de la préposée
cantonale ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale
ou le préposé cantonal peut saisir les instances compétentes au sens de
l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures
nécessaires.
Art. 56D Procédure (nouveau)
1
La procédure est régie par la loi sur la procédure administrative, du
12 septembre 1985.
2
L’institution publique visée par une décision de la préposée cantonale ou du
préposé cantonal a qualité pour recourir contre celle-ci.

PL 13347

20/189

Art. 56E

Collaboration entre les autorités cantonales, fédérales et
étrangères chargées de la protection des données (nouveau)
1
Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé
cantonal doit collaborer avec les autorités cantonales, fédérales et étrangères
chargées de la protection des données personnelles.
2
La communication de données personnelles dans le cadre de l’entraide
administrative est accordée lorsque les conditions fixées par l’article 39 sont
remplies.
Art. 59, lettre a (nouvelle teneur)
La commission consultative a pour attributions :
a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de
donner son avis sur tout objet touchant aux domaines de la protection
des données, de la transparence et de l’archivage;
Art. 68, al. 8 (nouveau)
Modifications du … (à compléter)
8
Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté
avant l’entrée en vigueur de la loi … (à compléter), du … (à compléter), pour
autant que les finalités du traitement restent inchangées et que de nouvelles
données personnelles ne soient pas collectées.
Art. 2
Modifications à d’autres lois
1
La loi instituant les numéros d’identification personnels communs, du
20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit :
Art. 1 (nouvelle teneur)
La présente loi a pour but d’instituer les numéros d’identification personnels
communs au sens de l’article 4, lettre n, de la loi sur l’information du public,
l’accès aux documents et la protection des données personnelles, du 5 octobre
2001, utilisés par les institutions publiques au sens de l’article 3 de ladite loi.
***

21/189

PL 13347

2

La loi générale relative au personnel de l'administration cantonale, du
pouvoir judiciaire et des établissements publics médicaux, du 4 décembre
1997 (LPAC – B 5 05), est modifiée comme suit :
Art. 2D
Traitement de données personnelles (nouveau)
1
L'employeur traite les données personnelles au sens de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, dans la mesure nécessaire à la réalisation
des tâches qui lui sont assignées par la présente loi.
2
L’employeur peut traiter des données personnelles sensibles au sens de la
loi sur l’information du public, l’accès aux documents et la protection des
données personnelles, du 5 octobre 2001, notamment pour :
a) déterminer les effectifs nécessaires;
b) recruter du personnel afin de garantir les effectifs nécessaires;
c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi
que, pendant les rapports de travail, pour déterminer la capacité de
travail;
d) gérer le traitement et les diverses prestations alloués aux membres du
personnel, établir les dossiers du personnel et gérer les communications
adressées aux assurances sociales;
e) promouvoir le développement professionnel des membres du personnel;
f) mettre en place et optimiser les conditions de travail pour prévenir les
maladies et accidents professionnels du personnel et veiller à préserver
sa santé;
g) assurer une planification, un pilotage et un contrôle au moyen d'analyses
de données, de comparaisons, de rapports et de plans de mesures;
h) gérer des actes de procédure ou des décisions d’autorités concernant les
rapports de travail.
3
Lors de recrutements, l’employeur peut, avec l’accord de la personne
candidate, lui faire passer des tests de personnalité ou utiliser le profilage.
Les résultats de ces tests ou du profilage doivent être détruits dans un délai de
12 mois.
4
L’employeur peut traiter les données visées à l’alinéa 1 dans un système
d’information.
5
Les modalités relatives au traitement des données sont fixées par règlement.
***

PL 13347

22/189

3

La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du
29 août 2013 (LHES-SO-GE – C 1 26), est modifiée comme suit :

Art. 6A
Traitement de données personnelles (nouveau)
1
La HES-SO Genève est en droit de traiter, à des fins de recherche, des
données personnelles, y compris sensibles, et de procéder à du profilage, dans
la mesure nécessaire à la réalisation de sa mission de recherche scientifique
fondamentale et appliquée.
2
Les dispositions de la loi fédérale relative à la recherche sur l'être humain,
du 30 septembre 2011, et de la loi sur l'information du public, l'accès aux
documents et la protection des données personnelles, du 5 octobre 2001, ainsi
que celles de leurs réglementations d'application respectives, demeurent
réservées.
***
4

La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme
suit :

Art. 7A
Traitement de données personnelles (nouveau)
1
L’université est en droit de traiter, à des fins de recherche, des données
personnelles, y compris sensibles, et de procéder à du profilage, dans la
mesure nécessaire à la réalisation de sa mission de recherche scientifique
fondamentale et appliquée.
2
Les dispositions de la loi fédérale relative à la recherche sur l’être humain,
du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux
documents et la protection des données personnelles, du 5 octobre 2001, ainsi
que celles de leurs réglementations d’application respectives, demeurent
réservées.
***

23/189

PL 13347

5

La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA –
C 2 08), est modifiée comme suit :

Art. 11A, phrase introductive (nouvelle teneur)
Dans le cadre des activités du service visant à traiter les demandes de chèque
annuel de formation et conformément à l’article 36, alinéa 1, de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, le service est autorisé à :
***
6

La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est
modifiée comme suit :

Art. 34 (nouvelle teneur)
Le rapport de révision des états financiers individuels et consolidés de l’Etat
de Genève contient l’opinion du réviseur au sens de l’article 31 et
recommande l’approbation des états financiers avec ou sans réserves, ou leur
renvoi au Conseil d’Etat. Il est joint aux états financiers publiés et approuvés
par le Conseil d’Etat. Les communications écrites complémentaires ne
peuvent pas faire l’objet d’une demande d’accès aux documents au sens de la
loi sur l’information du public, l’accès aux documents et la protection des
données personnelles, du 5 octobre 2001. Il en va de même s'agissant des
documents relatifs à d'autres entités reçus par la Cour des comptes dans le
cadre de la révision des états financiers individuels et consolidés de l'Etat de
Genève.
***
7

La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit :

Art. 122B, al. 2 (nouvelle teneur)
2
Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la
loi sur l’information du public, l’accès aux documents et la protection des
données personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées
à celles permettant de connaître le statut vaccinal d’une personne relatif à la
maladie concernée.
***

PL 13347

24/189

8

La loi sur les établissements publics médicaux, du 19 septembre 1980
(LEPM – K 2 05), est modifiée comme suit :

Art. 4A
Traitement de données personnelles (nouveau)
1
Les établissements sont en droit de traiter, à des fins de recherche, des
données personnelles, y compris sensibles, et de procéder à du profilage, dans
la mesure nécessaire à la réalisation de leur mission de recherche médicale
fondamentale et clinique.
2
Les dispositions de la loi fédérale relative à la recherche sur l'être humain,
du 30 septembre 2011, et de la loi sur l'information du public, l'accès aux
documents et la protection des données personnelles, du 5 octobre 2001, ainsi
que celles de leurs réglementations d'application respectives, demeurent
réservées.
Art. 3
Entrée en vigueur
Le Conseil d'Etat fixe la date d'entrée en vigueur de la présente loi.

Certifié conforme
La chancelière d'Etat : Michèle RIGHETTI-EL ZAYADI

25/189

PL 13347

EXPOSÉ DES MOTIFS
I.

Introduction
Faisant œuvre de pionnier, le législateur genevois s’est préoccupé
d’assurer la protection de certaines données personnelles dès l’émergence des
nouvelles technologies de l’information, en adoptant, le 24 juin 1976 déjà,
une loi sur la protection des informations traitées automatiquement par
ordinateur, puis, le 17 décembre 1981, une nouvelle loi sur les informations
traitées automatiquement par ordinateur (LITAO)1.
La loi sur l'information du public et l'accès aux documents a été adoptée
le 5 octobre 2001 et est entrée en vigueur le 1er mars 20022. Suite à une
révision importante, adoptée le 9 octobre 2008 et entrée en vigueur le 1er
janvier 2010, le domaine de la protection des données personnelles s’est
ajouté au volet de la transparence. La loi sur l'information du public et l'accès
aux documents est ainsi devenue la loi sur l'information du public, l'accès aux
documents et la protection des données personnelles, du 5 octobre 2001
(LIPAD; rs/GE A 2 08).
Depuis lors, de nombreuses évolutions ont eu lieu, d’un point de vue tant
technologique, sociétal, que juridique. Le présent projet de loi vise à adapter
la LIPAD à ces développements, et notamment aux réformes du Conseil de
l’Europe et de l’Union européenne en matière de protection des données
personnelles, et à la révision du droit fédéral qui en découle.
II.

Contexte juridique international
CEDH
La convention de sauvegarde des droits de l'homme et des libertés
fondamentales, du 4 novembre 1950 (CEDH; RS 0.101), conclue à Rome le 4
novembre 1950 et entrée en vigueur pour la Suisse le 28 novembre 1974,
prévoit à son article 8 que toute personne a droit au respect de sa vie privée et
familiale, de son domicile et de sa correspondance.
Conseil de l’Europe
Le Conseil de l’Europe a adopté, le 28 janvier 1981, le premier traité
international en matière de protection des données personnelles, à savoir la
convention pour la protection des personnes à l’égard du traitement
1
2

PL 9870, p. 30.
rs/GE A 2 08.

PL 13347

26/189

automatisé des données à caractère personnel, du 28 janvier 1981
(convention STE 108)3, qui a été ratifiée par la Suisse le 2 octobre 1997.
Cette convention a été complétée par le protocole additionnel à la convention
STE 108 concernant les autorités de contrôle et les flux transfrontières de
données, du 8 novembre 2001 (STE 181; protocole additionnel)4 que la
Suisse a également ratifié le 20 décembre 2007.
En 2011, le Conseil de l’Europe a entamé une procédure de
modernisation de la convention STE 108 et de son protocole additionnel dans
l’objectif de mieux répondre aux défis que représentent la globalisation, les
évolutions technologiques et l’augmentation des flux transfrontières des
données pour la protection de la sphère privée et des droits fondamentaux des
personnes concernées. Les travaux ont été menés en parallèle avec la réforme
du cadre législatif en matière de protection des données personnelles de
l’Union européenne (UE) et la plus grande attention a été portée au maintien
de la cohérence entre les deux cadres législatifs. Le cadre de l’UE en matière
de protection des données personnelles précise et amplifie les principes de la
convention STE 108 et prend en considération l’adhésion à la convention
STE 108, notamment au regard des transferts internationaux.
La 128e session ministérielle du Comité des ministres du Conseil de
l'Europe a adopté le protocole d’amendement (STCE 223; ci-après : protocole
d’amendement) à la convention STE 108 le 18 mai 2018 et a entériné son
rapport explicatif. Cette modernisation vise à harmoniser et renforcer le
niveau de protection des données personnelles au plan international, avec
pour effet de renforcer aussi la protection dont bénéficient les citoyennes et
les citoyens suisses lorsque leurs données personnelles font l’objet de
traitements transfrontières. Cette modernisation a également pour but de
faciliter les flux transfrontières de données personnelles entre les Etats
parties, permettant ainsi un accès facilité au marché de ces pays pour les
entreprises suisses5.
Le protocole d’amendement a été ouvert à la signature le 10 octobre 2018.
Dans un communiqué daté du 30 octobre 2019, le Conseil fédéral a annoncé
l'avoir signé. Lors de sa séance du 6 décembre 2019, il a adopté le message
relatif à l’approbation du protocole d’amendement6. L'arrêté fédéral portant
3
4
5

6

RS 0.235.1.
RS 0.235.11.
Message concernant la loi fédérale sur la révision totale de la loi fédérale sur la
protection des données et sur la modification d’autres lois fédérales, du 15
septembre 2017 (ci-après : Message), FF 2017 6565, p. 6617.
FF 2020 545-574.

27/189

PL 13347

approbation du protocole d’amendement a été approuvé le 19 juin 2020 par
l'Assemblée fédérale7. Il n’y a pas eu de référendum.
L’approbation du protocole d’amendement par la Suisse lie également les
cantons. Les dispositions de cet acte (ci-après : la Convention 108+) doivent
être transposées, si besoin est, conformément à la répartition constitutionnelle
des compétences prévues en droit interne8.
Union européenne
L’UE a adopté, ces dernières décennies, plusieurs textes législatifs en vue
de protéger les données à caractère personnel.
Le texte principal est la directive 95/46/CE relative à la protection des
personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, du 24 octobre 1995 (ciaprès : la directive 95/46/CE)9. Celle-ci a été complétée par la décision-cadre
2008/977/JAI relative à la protection des données à caractère personnel
traitées dans le cadre de la coopération policière et judiciaire en matière
pénale , du 27 novembre 200810.
Le 27 avril 2016, le Parlement européen et le Conseil de l’Union
européenne ont adopté une réforme de la législation sur la protection des
données personnelles qui comprend deux actes législatif, soit :
– le règlement (UE) 2016/679 relatif à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel (ciaprès : RGPD)11; et
– la directive (UE) 2016/680 relative à la protection des personnes
physiques à l’égard du traitement des données à caractère personnel par
les autorités compétentes à des fins de prévention et de détection des
infractions pénales, d’enquêtes et de poursuites en la matière ou

7
8
9
10
11

FF 2020 5559 s.
Message, p. 237.
JO L 281 du 23.11.1995, p. 31.
JO L 350 du 30.12.2008, p. 60.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel et à la libre circulation de ces données, et abrogeant la
directive 95/46/CE (règlement général sur la protection des données), JO L 119 du
4.5.2016, p. 1.

PL 13347

28/189

d’exécution de sanctions pénales, et à la libre circulation de ces données
(ci-après : la directive (UE) 2016/680)12.
Le RGPD est le texte fondamental en matière de protection des données
au niveau de l’Union européenne. Il a remplacé la directive 95/46/CE au sein
de l’UE. La directive (UE) 2016/680 s’en inspire largement, au point que les
deux textes contiennent un régime très analogue. Le règlement est cependant
plus détaillé, et la directive contient des particularités propres au domaine
pénal13.
La directive (UE) 2016/680 vise à protéger les données à caractère
personnel traitées à des fins de prévention et de détection des infractions
pénales, d’enquêtes et de sanctions pénales, y compris la protection contre les
menaces pour la sécurité publique et la prévention de telles menaces. Cet acte
a pour objectif de garantir un niveau élevé de protection des données des
personnes physiques tout en facilitant l’échange de ces données entre les
autorités compétentes des différents Etats Schengen14.
La directive (UE) 2016/680 constitue pour la Suisse un développement de
l’acquis de Schengen; celle-ci doit donc la reprendre en vertu de l’accord
d’association à Schengen. Cela vaut également pour les cantons15. En
revanche, la Suisse n’est pas tenue de reprendre le RGPD car, selon l’Union
européenne, il ne constitue pas un développement de l’acquis de Schengen16.
Décision d’adéquation
Dans les domaines qui ne relèvent pas de la coopération instaurée par
Schengen et Dublin, la Suisse est considérée comme un Etat tiers. Or,
l’échange de données entre un Etat tiers et les Etats membres de l’Union
européenne ne peut se faire que si le pays tiers assure un niveau de protection
adéquat au sens de la directive 95/46/CE. Ce niveau de protection fait
régulièrement l’objet d’une évaluation de la Commission européenne, qui
12

13
14
15
16

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites en
la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces
données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du
4.5.2016 p. 89.
Message, FF 2017 6565, p. 6618.
Message, FF 2017 6565, p. 6611.
Message, FF 2017 6565, p. 6628.
Message, FF 2017 6565, p. 6587.

29/189

PL 13347

rend, le cas échéant, une décision d’adéquation. Cette dernière peut être
révoquée en tout temps17.
Par décision du 26 juillet 2000, la Commission européenne a constaté que
la Suisse dispose d’un niveau de protection adéquat des données18. Cette
décision se fonde toutefois sur le niveau de protection défini par la
directive 95/46/CE. L’Union européenne procédera prochainement à une
nouvelle évaluation du droit suisse afin de vérifier sa compatibilité avec le
RGPD. Dans le cadre de cette évaluation, elle examinera le droit fédéral,
mais aussi le droit de certains cantons choisis de manière aléatoire.
Recommandations suite à l’évaluation Schengen
En s’associant à Schengen-Dublin, la Suisse s’est engagée à ce que les
traitements de données personnelles effectués dans le cadre de la coopération
Schengen soient conformes à la réglementation de l’UE applicable en matière
de protection des données.
La dernière évaluation a eu lieu en 2018. Une des recommandations faites
à la Suisse à cette occasion a été de renforcer les pouvoirs d'exécution des
autorités cantonales chargées de la protection des données en les habilitant à
prendre directement des décisions juridiquement contraignantes19.
La prochaine évaluation aura lieu en 202320.
III. Contexte juridique national
Lors de sa séance du 21 décembre 2016, le Conseil fédéral a mis en
consultation un avant-projet de révision totale de la loi fédérale sur la
protection des données, du 19 juin 1992 (LPD; RS 235.1). Le projet visait à
réaliser 2 objectifs principaux : d’une part, renforcer les dispositions légales
de protection des données pour faire face au développement fulgurant des
17
18

19

20

Message, FF 2017 6565, p. 6588.
Décision de la Commission du 26 juillet 2000 relative à la constatation,
conformément à la directive 95/46/CE du Parlement européen et du Conseil, du
caractère adéquat de la protection des données à caractère personnel en Suisse, JO
L 215 du 25.8.2000, p. 1.
Décision d'exécution du Conseil de l’Union européenne arrêtant une
recommandation pour remédier aux manquements constatés lors de l'évaluation de
2018 de l’application, par la Suisse, de l’acquis de Schengen dans le domaine de
la protection des données, du 8 mars 2019.
https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id75749.html

PL 13347

30/189

nouvelles technologies et, d’autre part, tenir compte des réformes du Conseil
de l’Europe et de l’UE en la matière, afin de rendre la législation fédérale
compatible avec la Convention 108+ et à mettre en œuvre les exigences de la
directive (UE) 2016/680, conformément aux engagements pris par la Suisse
dans le cadre de l’Accord d’association à Schengen. En outre, le projet doit
permettre de rapprocher le droit fédéral des exigences du RGPD. Ce
rapprochement, ainsi que l’approbation de la Convention modernisée,
constituent des conditions déterminantes pour que la Commission européenne
maintienne la décision d’adéquation accordée à la Suisse21.
Le 11 janvier 2018, la Commission des institutions politiques du Conseil
national (CIP-N) est entrée en matière sans opposition sur le projet du
Conseil fédéral concernant ce projet de révision totale. Parallèlement, elle a
adopté une motion d’ordre demandant la scission du projet. Elle a souhaité de
la sorte échelonner la révision prévue : dans un premier temps, la
Commission a examiné la mise en œuvre du droit européen (directive (UE)
2016/680) qui, en vertu des Accords de Schengen, devait avoir lieu dans un
délai donné, avant de s’atteler ensuite à l’examen de la révision totale de la
LPD sans être contrainte par le temps.
Suite à cette décision, le Parlement a adopté, le 28 septembre 2018, la loi
fédérale sur la protection des données personnelles dans le cadre de
l’application de l’acquis de Schengen dans le domaine pénal (LPDS;
RS 235.3).
Le 25 septembre 2020, la nouvelle LPD (ci-après : nLPD) a été acceptée
par les 2 Chambres22. Lors de l'entrée en vigueur de ce texte, la LPDS sera
abrogée, au motif que les dispositions de cette loi feront double emploi avec
celles de la nLPD. La nLPD entrera en vigueur le 1er septembre 2023.
IV. Grands traits du présent projet de loi
Le présent projet de loi s’inspire en grande partie de la nLPD, dans la
mesure où cette dernière s’inspire elle-même des nouveaux textes de la
troisième génération de législation en matière de protection des données que
sont la Convention 108+, la directive (UE) 680/2016 et le RGPD.
A l’instar de ces réglementations, le présent projet de loi :
– reprend l’approche fondée sur les risques qui caractérise les nouvelles
législations sur la protection des données – selon cette approche, les
obligations en matière de protection des données sont plus strictes pour
21
22

Message, FF 2017 6565, p. 6567.
FF 2020 7397 ss.

31/189

PL 13347

les responsables du traitement dont les activités présentent un risque accru
d’atteinte que pour ceux dont les activités sont moins risquées23;
– à l’instar de la nLPD, le présent projet de loi traite dans la mesure du
possible de manière égale les différentes technologies – la loi peut ainsi
s’adapter aux évolutions technologiques sans freiner l’innovation;
– à l’instar de la nLPD, la terminologie utilisée dans la LIPAD actuellement
en vigueur a été modernisée – cela a notamment pour objectif d’améliorer
la compatibilité du droit suisse avec le droit de l’UE; la notion de « maître
du fichier » est ainsi remplacée par celle de « responsable du traitement »
(voir supra commentaire ad art. 4). La notion de « profil de la
personnalité » qui constitue une particularité suisse, disparaît au profit de
la notion de « profilage » (voir infra commentaire ad art. 4). La notion de
« données sensibles » est étendue aux « données génétiques » et aux
« données biométriques » (voir infra commentaire ad art. 4).
A. La consultation publique et les évolutions principales du présent
projet de loi par rapport à l’avant-projet de loi
Le présent projet de loi est issu de l’avant-projet de loi que le Conseil
d’Etat a mis en consultation publique du 6 juillet au 17 octobre 202224.
Soixante-neuf entités ont été invitées par la chancellerie d’Etat à prendre
part à la consultation. Parmi celles-ci, le pouvoir judiciaire, la Cour des
comptes, la commission consultative en matière de protection des données,
de transparence et d’archives publiques, les établissements de droit public
principaux, l’Université de Genève, la HES-SO Genève, l’Association des
communes genevoises (ACG), les communes, ainsi que les principaux partis
politiques. La consultation était par ailleurs ouverte à toute personne et
institution intéressée.
Afin de faciliter la consolidation des résultats, les entités et personnes
intéressées ont été invitées à répondre à la consultation par le biais d’un
questionnaire en ligne.
A l’issue du délai pour le retour de consultation, 44 entités et personnes
ont répondu à la consultation, soit :
– 17 communes25;

23
24

FF 2017 6565, p. 6593.
https://www.ge.ch/actualite/donnees-personnelles-acces-aux-documentsmodification-lipad-mise-consultation-publique-6-07-2022

PL 13347

32/189

les 6 établissements publics principaux26;
7 autres établissements publics27;
4 partis politiques28;
le secrétariat général du pouvoir judiciaire;
le comité de sécurité des systèmes d’information du canton de Genève29;
1 association de droit privée subventionnée et délégataire de tâches de
droit public30;
– la commission consultative en matière de protection des données, de
transparence et d’archives publiques (CCPDTA);
– l'Union des associations patronales genevoises (UAPG);
– 5 personnes physiques, dont 3 anonymes.
Par ailleurs, l'ACG a pour sa part informé le Conseil d'Etat qu'elle
renonçait à formuler un préavis dans le cadre de cette consultation publique.
Elle se demandait notamment comment la chancellerie d’Etat arbitrerait les
différentes prises de position des communes. L'ACG a ainsi sollicité du
Conseil d'Etat qu'une présentation lui soit faite une fois le projet finalisé. Le
Conseil d'Etat a accepté que la chancellerie d’Etat présente l'avant-projet de
loi à l'ACG après le retour de consultation et qu'elle puisse faire part de ses
observations éventuelles. L’ACG a fait part de ses observations par courrier
du 4 mai 2023 à l’attention du Conseil d’Etat (annexe 6).
Le Conseil d’Etat a synthétisé les retours de consultations dans le rapport
annexé au présent projet de loi (annexe 4). Il apparaît que globalement,
l’avant-projet de loi a été bien accueilli.

–
–
–
–
–
–

25

26

27

28
29
30

Avully, Avusy, Bernex, Carouge, Chêne-Bougeries, Chêne-Bourg, CollongeBellerive, Cologny, Gy, Laconnex, Meinier, Plan-les-Ouates, Presinge, Soral,
Vandœuvres, Veyrier, Ville de Genève.
Les Transports publics genevois (TPG), l’Aéroport international de Genève
(AIG), l’Hospice général (HG), les Hôpitaux universitaires de Genève (HUG), les
Services industriels de Genève (SIG), et l'Institution genevoise de maintien à
domicile (IMAD).
La Caisse de prévoyance de l’Etat de Genève (CPEG), la Banque cantonale de
Genève (BCGe), les Etablissements publics pour l’intégration (EPI), la Haute
école spécialisée HES-SO Genève, l’Université de Genève (UNIGE) (réponse de
la faculté de droit et du rectorat) et le Secrétariat des fondations immobilières de
droit public (SFIDP).
les Vert-e-s genevois-es, le parti socialiste, l'UDC et le Centre.
SécuSIGE.
Le Centre LAVI.

33/189

PL 13347

Par rapport à l’avant-projet de loi mis en consultation (ci-après : APL), et
compte tenu des délais liés à l’entrée en vigueur de la nLPD, le présent projet
de loi diverge principalement sur les 3 points suivants, qui ne découlent pas
d’une adaptation au droit supérieur.
Le Conseil d’Etat a ainsi tout d’abord renoncé en l’état à la proposition
d'inclure, dans le champ d'application du volet « protection des données », les
personnes physiques ou morales et organismes de droit privé délégataires
d'une tâche publique cantonale ou communale (art. 3, al. 1, lettre f APL).
Il a par ailleurs renoncé à réglementer dans la loi la coordination des
demandes d'accès portant sur un même document (art. 28, al. 3 APL).
Enfin, il a renoncé à modifier le titre de l'article sur les recours (art. 60
APL).
Sur le fond, quelques modifications ont été apportées, principalement sur
les points suivants.
Art. 36A Consentement : ajout de la possibilité de traiter des données
dont les finalités ou les modalités de traitement sont susceptibles de porter
gravement atteinte aux droits fondamentaux de la personne concernée avec
son consentement.
Art. 36C Sous-traitance : ajout, dans le contrat de sous-traitance, de
l’obligation pour le sous-traitant d’annoncer tout cas de violation de la
sécurité des données (rappelée aussi à l’art. 37C relatif à la violation de la
sécurité des données) et ajout de la possibilité d'obtenir les résultats d'audits
de tiers indépendants, respectivement de participer sans frais à l'élaboration
de ces derniers.
Art. 37B Analyse d’impact : ajout d’un alinéa 5 prévoyant que lorsque
l’analyse d’impact requise à l’alinéa 1 n’est pas liée à un projet d’acte
législatif, elle est soumise à la préposée cantonale ou au préposé cantonal
pour avis avant le début du traitement.
Art. 38 Devoir d’informer lors de la collecte de données personnelles :
précision, à l’alinéa 2, à l’instar du droit fédéral, que les informations sont
communiquées à la personne concernée afin qu’elle puisse faire valoir ses
droits selon la présente loi et pour que la transparence des traitements soit
garantie; précision, à l’alinéa 4, des modalités de communication des
informations lorsque les données ne sont pas collectées auprès de la personne
concernée.
Art. 40 Suppression des données : abrogation de l’article 40 dès lors
qu’il a été intégré à l’article 35, alinéa 4, de l’APL.

PL 13347

34/189

Art. 43 Registre des activités de traitement : ajout, à l’alinéa 2, lettre e,
de l’obligation de déclarer la répartition des responsabilités lorsqu’il y a
plusieurs responsables du traitement; suppression, pour des raisons de
sécurité (cf. fuite de données récente ayant touché la Confédération via des
attaques de sous-traitants qui avaient publicisé leurs contrats avec
l’administration fédérale), de la référence aux sous-traitants du registre public
des activités de traitement (déclaration obligatoire; al. 2) et ajout de
l’exigence, pour les institutions publiques, de fournir une telle information
sur demande de la préposée cantonale ou du préposé cantonal (al. 3).
Art. 44 Droits d’accès – Principes : précision que toute demande
d’accès peut être adressée à la conseillère LIPAD ou au conseiller LIPAD du
responsable du traitement.
Art. 50 Conseillères et conseillers LIPAD : ajout d’un nouvel alinéa 2
prévoyant, à l’instar du droit fédéral, la possibilité pour plusieurs institutions
de désigner ensemble une conseillère ou un conseiller LIPAD.
Art. 56C Mesures administratives de la préposée cantonale ou du
préposé cantonal à la protection des données et à la transparence : ajout
d’un nouvel alinéa 4 prévoyant qu’au cas où une institution ne donne pas
suite à un ordre du préposé cantonal ou de la préposée cantonale au sens de
l’alinéa 3, la préposée cantonale ou le préposé cantonal peut saisir les
instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent
par substitution les mesures nécessaires.
Modifications à d’autres lois : ajout d’une modification à la loi générale
relative au personnel de l'administration cantonale, du pouvoir judiciaire et
des établissements publics médicaux, pour introduire une disposition sur le
traitement des données personnelles, y compris sensibles, et le profilage.
Les points saillants du présent projet de loi sont exposés ci-après.
B. Champ d’application de la LIPAD
Pas de modification pour les personnes morales
Les textes de protection des données de l’UE et du Conseil de l’Europe
ainsi que ceux de la majorité des pays étrangers ne prévoient pas de
protection des données personnelles des personnes morales.
La Confédération a ainsi décidé de supprimer la protection desdites
données de la nLPD. Toutefois, le fait de supprimer la protection des données
des personnes morales aurait pour conséquence, selon le Conseil fédéral, que
les bases légales qui habilitent aujourd’hui les organes publics à traiter des

35/189

PL 13347

données personnelles deviendraient caduques s’agissant des données de
personnes morales31. Pour le Conseil fédéral, cette situation est
problématique sous l’angle du principe de la légalité en vertu duquel toute
activité de l’Etat doit être fondée sur la loi32. Afin de permettre aux organes
publics de continuer de traiter les données de personnes morales, il a jugé
nécessaire de réintroduire toute une série de dispositions dans la loi fédérale
sur l’organisation du gouvernement et de l’administration, du 21 mars 199733
qui reprennent au final sous une forme très proche le contenu des dispositions
de la LPD mais pour les personnes morales. Il a procédé au même exercice
avec la législation spéciale où les règles qui autorisent le traitement des
données personnelles ont été doublées pour autoriser aussi le traitement des
données de personnes morales.
Or, la suppression de la protection des données personnelles des
personnes morales de la LIPAD conduirait à un vide juridique, qui devrait
être comblé dans d’autres textes légaux, à l’instar de ce qui a été fait au
niveau fédéral. Dans la mesure où le droit supérieur n’impose rien à ce sujet,
et que la LIPAD dans sa teneur actuelle a donné satisfaction jusqu’à présent
sur ce point, le Conseil d’Etat propose de maintenir le statu quo sur ce point.
Inclusion de la Cour des comptes
La question de l'inclusion ou non de la Cour des comptes dans le champ
d'application de la LIPAD a été soulevée à de nombreuses reprises ces
derniers temps sans qu'une réponse claire ne puisse y être apportée34. Cette
incertitude juridique est notamment renforcée par la mention de la Cour des
comptes à l'actuel article 41, alinéa 2 LIPAD relatif au traitement des
données personnelles à des fins générales (de statistique, de recherche
scientifique, de planification ou d'évaluation de politiques publiques) qui
réserve les compétences et les règles de fonctionnement de la Cour des
comptes dans le cadre de cette disposition.
Pour sa part, la Cour des comptes a émis des doutes sur sa soumission au
champ d'application de la LIPAD, principalement puisqu'elle ne figurait pas
expressément dans la liste des institutions soumises à ladite loi prévue à son
article 3. Sur une base volontaire, elle en a toutefois toujours appliqué les
31
32
33
34

FF 2017 6565, p. 6595, 6603ss et 6633.
FF 2017 6565, p. 6722 et 6733.
LOGA; RS 172.010.
Voir à ce titre l’ATA/831/2020 et le commentaire du préposé cantonal et de la
préposée cantonale adjointe du 21 décembre 2020 in swissprivacy.law,
https://swissprivacy.law/44/

PL 13347

36/189

principes s'agissant du volet relatif à la protection des données personnelles
dans le cadre de ses activités légales et elle a participé volontairement à un
processus de médiation à propos de la publication partielle de l’un de ses
rapports.
Le Conseil d’Etat vous propose ainsi d'inclure formellement la Cour des
comptes dans le champ d'application de la LIPAD, dans un but de clarté et
afin de lever toute ambiguïté. Le projet de modifications porte sur les articles
3, alinéa 1, lettre c, 13A et 20A (nouvelle section 4A du chapitre I du titre II)
et 26, alinéa 2, lettre d, ainsi que l'article 34 de la loi sur la surveillance de
l’Etat, du 13 mars 2014 (LSurv; rs/GE D 1 09) (voir infra commentaire
article par article pour plus de détails).
Exclusion des traitements de données personnelles effectués par la
Banque cantonale de Genève
A l'instar de plusieurs cantons possédant une banque cantonale, le présent
projet de loi propose à l'article 3, alinéa 6, d'exclure du champ d'application
de la loi cantonale les traitements de données personnelles effectués par la
Banque cantonale de Genève. Celle-ci est une société anonyme de droit
public au sens de l’article 763 du code des obligations (CO), dont les activités
sont essentiellement régies par les lois fédérales sur les banques, les bourses
et le commerce de valeurs mobilières, et ses relations avec sa clientèle et avec
son personnel sont régies par le droit privé. Il s'ensuit que ses traitements de
données personnelles doivent être soumis à la LPD, qui régit notamment les
traitements de données personnelles effectués par des personnes privées, et
non pas à la loi cantonale.
C. Autres modifications
Introduction du consentement comme motif justificatif extra-légal
A l’instar de la nLPD, le présent projet de loi introduit le consentement de
la personne concernée comme motif pouvant justifier un traitement de
données personnelles, y compris sensibles (voir infra commentaire ad
art. 36A).
Inclusion de la notion de sous-traitance dans la loi
La notion de sous-traitance, figurant à l’heure actuelle dans le règlement
d’application de la loi sur l’information du public, l’accès aux documents et
la protection des données personnelles, du 21 décembre 2011 (RIPAD;

37/189

PL 13347

rs/GE A 2 08.01) (voir infra commentaire ad art. 36C), est ancrée au niveau
de la loi.
Renforcement des obligations des responsables du traitement
Le présent projet de loi inclut les notions de protection des données dès la
conception (en anglais : « privacy by design ») et par défaut (en anglais :
« privacy by default ») (voir infra commentaire ad art. 37). La première
signifie que le responsable du traitement doit mettre en place des mesures
techniques et organisationnelles dès les premières étapes de la conception des
opérations de traitement afin de préserver le plus tôt possible les droits et les
libertés des personnes concernées. La deuxième implique que le responsable
du traitement est tenu, par le biais de préréglages appropriés, de garantir que
le traitement soit limité au minimum requis par la finalité poursuivie, pour
autant que la personne concernée n’en dispose pas autrement.
Par ailleurs, le présent projet de loi prévoit qu’avant de débuter un
nouveau traitement de données qui est susceptible d’entraîner un risque élevé
pour la personnalité ou les droits fondamentaux des personnes concernées, le
responsable du traitement est tenu d’accomplir préalablement une analyse
d’impact relative à la protection des données (voir infra commentaire ad art.
37B). Il s’agit d’un instrument destiné à identifier et à évaluer les risques que
certains traitements de données personnelles pourraient entraîner pour la
personne concernée. Le cas échéant, cette analyse doit servir à définir des
mesures pour faire face à ces risques. L’avantage pour le responsable du
traitement est qu’elle permet d’anticiper d’éventuels problèmes juridiques
liés à la protection des données et d’éviter les coûts qui pourraient en
résulter35.
Enfin, en cas de violation de la protection des données, le responsable du
traitement doit prendre immédiatement les mesures appropriées afin de
mettre fin à la violation et d’en minimiser les effets et doit annoncer la
violation dans les meilleurs délais à la préposée cantonale ou au préposé
cantonal et, dans les cas les plus graves, directement à la personne concernée
(voir infra commentaire ad art. 37C). Quant au sous-traitant, il a l’obligation
d’annoncer au responsable du traitement, dans les meilleurs délais, tout cas
de violation de la sécurité des données personnelles (voir infra commentaire
ad art. 37C et ad art. 36C).

35

FF 2017 6565, p. 6676.

PL 13347

38/189

Renforcement de la transparence des traitements de données et de la
maîtrise par les personnes concernées sur leurs données
Le présent projet de loi définit plus en détail l’obligation d’informer les
personnes concernées et la liste d’informations à fournir à ces dernières (voir
infra commentaire ad art. 38). Les droits des personnes concernées sont
également clarifiés. Entre autres, le présent projet de loi mentionne
expressément le droit à l’effacement des données, ainsi que des moyens de
défenses spécifiques en faveur des personnes faisant l’objet d’une décision
fondée exclusivement sur un traitement automatisé de données (par exemple,
au moyen d’un algorithme). Dans ce cas, la personne concernée doit être
informée qu’il s’agit d’une décision rendue exclusivement sur la base d’un
traitement de données personnelles automatisé (c.-à-d. exclusivement par une
machine). Elle a aussi le droit de demander de connaître la logique et les
critères à la base de celle-ci, et, le cas échéant, de former une réclamation
gratuite à l’encontre de la décision en question (voir infra commentaire ad
art. 38B).
Adaptation des règles relatives aux traitements de données personnelles
à des fins générales de statistique, de recherche scientifique, de
planification ou d’évaluation de politiques publiques
Le présent projet de loi adapte la disposition relative aux traitements de
données personnelles, y compris sensibles, à des fins générales de statistique,
de recherche scientifique, de planification ou d’évaluation de politiques
publiques afin de la calquer sur la disposition ad hoc de la nLPD à des fins de
cohérence et pour en faciliter l’application (voir infra commentaire ad art.
41).
Renforcement des missions et compétences de la préposée cantonale ou
du préposé cantonal
Le présent projet de loi prévoit le renforcement du rôle et des pouvoirs de
la préposée cantonale ou du préposé cantonal, comparables à ceux des
autorités de contrôle des autres pays européens. Le présent projet de loi
renforce les pouvoirs de contrôle de la préposée cantonale ou du préposé
cantonal (voir infra commentaire ad art. 56B) et prévoit que cette dernière ou
ce dernier, à l’instar de ses homologues européens, peut prendre des
décisions contraignantes à l’égard des responsables du traitement. A l’instar
de ce qui a été prévu dans la nLPD pour les organes fédéraux, elle ou il n’est
toutefois pas habilité à prononcer des sanctions administratives, cette notion
faisant peu de sens dans la mesure où la LIPAD, dans son volet protection

39/189

PL 13347

des données, ne s’applique qu’à des institutions publiques36 (voir infra
commentaire ad art. 56C).
V.

Commentaire article par article du présent projet de loi

Art. 3
Al. 1
Cet alinéa a été modifié pour introduire la Cour des comptes, comme
indiqué plus haut, dans la liste des institutions soumises à la LIPAD.
Al. 6
Comme expliqué plus haut (voir supra Chapitre IV.A), la nouvelle teneur
de l'alinéa 6 exclut les traitements de données personnelles effectués par la
Banque cantonale de Genève (BCGE), en raison de son activité de droit
privé, régie par le droit fédéral.
Art. 4
De manière générale, les définitions ont été adaptées en s'inspirant le plus
possible de celles retenues par la nLPD, en vue de faciliter les futures
interprétations par les autorités d’application.
Les opinions et les activités culturelles ne font désormais plus partie des
données personnelles sensibles, dans la mesure où cette notion n’est prévue
dans aucun autre texte, suisse ou européen.
S’agissant de la notion des données personnelles sensibles, les termes
« appartenance ethnique » sont remplacés par « origine raciale ou
ethnique », conformément à la Convention 108+37, la directive (UE)
2016/68038 et la nLPD39. Le RGPD prévoit une réglementation identique40.
La notion de données personnelles sensibles est désormais par ailleurs
élargie, à l’article 4, lettre b, aux « données génétiques » et aux « données
biométriques ». Cette modification transpose les exigences de la Convention

36
37
38
39
40

FF 2017 6565, p. 6589.
Art. 6, par. 1.
Art. 10.
Art. 5, lettre c, ch. 2.
Art. 9.

PL 13347

40/189

108+41 et de la directive (UE) 2016/68042, et est conforme à la nLPD43. Le
RGPD prévoit une réglementation identique44.
Les « données génétiques » sont toutes les données relatives aux
caractéristiques héréditaires d’un individu ou acquises à un stade précoce du
développement prénatal, résultant de l’analyse d’un échantillon biologique de
cet individu : analyse des chromosomes, de l’ADN ou de l’ARN, ou de tout
autre élément permettant d’obtenir des informations équivalentes45.
Par « données biométriques », on entend les données relatives aux
caractéristiques physiques, physiologiques ou comportementales d’une
personne, qui résultent d’un traitement technique spécifique et permettent ou
confirment son identification unique. Il s’agit par exemple des empreintes
digitales, des images faciales, de l’iris, ou encore de la voix. Ces données
doivent impérativement résulter d’un traitement technique spécifique qui
permet l’identification ou l’authentification unique d’un individu. Tel ne sera
en principe pas le cas, par exemple, de simples photographies46. A noter que
le Conseil d’Etat propose de s’aligner sur la Convention 108+47, la directive
(UE) 2016/68048 et le RGPD49, qui utilisent tous trois le terme « unique » (et
non « univoque » comme cela figure dans la nLPD).
Le présent projet conserve la référence aux données relatives à la santé et
à la sphère intime, à l’instar de la nLPD50. Constituent notamment des
données relatives à la sphère intime les données concernant la vie sexuelle et
l’orientation sexuelle de la personne concernée51.
A l’instar de la nLPD52, la notion de « profil de la personnalité » est
remplacée par celle de « profilage », que l’on retrouve également dans la
directive (UE) 2016/68053 et le RGPD54. En effet, ces 2 notions, bien que
41
42
43
44
45
46
47
48
49
50
51
52
53
54

Art. 6, par. 1.
Art. 10.
Art. 5, lettre c, ch. 3 et 4.
Art. 4, par. 13 et 14.
Rapport explicatif de la Convention 108 modernisée, ch. 57 ad art. 6.
FF 2017 6565, p. 6641.
Art. 6, par. 1.
Art. 3, ch. 13.
Art. 9, par. 1.
Art. 5, lettre c, ch. 2.
FF 2017 6565, p. 6640; voir aussi l’art. 6, par. 1, de la Convention 108+, l’art. 10
de la directive (UE) 2016/680 et l’art. 9 RGPD.
Art. 5, lettre f.
Art. 3, ch. 4.
Art. 4, ch. 4.

41/189

PL 13347

présentant de nombreuses similitudes, ne couvrent pas le même état de fait.
Le profil de la personnalité est le résultat d’un traitement et traduit ainsi
quelque chose de statique. A l’inverse, le profilage se définit ainsi comme
l’évaluation de certaines caractéristiques d’une personne sur la base de
données personnelles traitées de manière automatisée afin notamment
d’analyser ou de prédire son rendement au travail, sa situation économique,
sa localisation, sa santé, son comportement, ses préférences ou ses
déplacements. L’analyse de ces caractéristiques peut par exemple avoir pour
but de déterminer si une personne est indiquée pour une certaine activité.
Autrement dit, le profilage se caractérise par le fait qu’on procède à une
évaluation automatisée de données personnelles afin de pouvoir évaluer,
d’une manière également automatisée, les caractéristiques de la personne. On
est ainsi en présence d’un profilage uniquement lorsque le processus
d’évaluation est entièrement automatisé55. Même si l’évaluation de la
machine est basée sur une commande humaine, elle se fait toujours de
manière schématique. Pour qu’un processus soit considéré comme un
profilage, il faut que le profilage soit la finalité ou le motif du traitement des
données. Par exemple, si un marchand de vins établit des statistiques sur les
types de vins achetés par ses clients afin de mieux concevoir son assortiment,
il ne s’agit pas d’un profilage. Si, en revanche, à partir de la même base de
données, il établit une liste de tous les acheteurs de vins espagnols dans le but
de leur écrire parce qu’il pense qu’ils seront les plus à même d’être intéressés
par une nouvelle livraison de ces vins (évaluation automatique), il s’agit d’un
profilage. S’il sélectionne chaque client manuellement, ce n’est plus un
profilage. En effet, à l'instar de la directive (UE) 2016/680 et du RGPD, la
LPD ne prévoit pas de profilage manuel56.
La définition de traitement a été légèrement modifiée, pour s’étendre à
« l’effacement », « l’interconnexion » et le « rapprochement », dans le but de
se rapprocher des textes européens57. La liste des opérations entrant en ligne
de compte dans la définition du « traitement » n’est pas exhaustive, les
opérations de traitement pouvant prendre les formes les plus diverses.
L’« interconnexion » et le « rapprochement » sont des notions proches
mais différentes. Conformément aux critères posés par la Commission
nationale française de l’informatique et des libertés (CNIL), l’objet de
l'interconnexion doit être la mise en relation de fichiers ou de traitements de
données personnelles. En second lieu, cette mise en relation doit concerner au
55
56
57

FF 2017 6565, p. 6642.
David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La
nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, ch. 26.
Voir art. 3, par. 2, de la directive (UE) 2016/680 et art. 4, par. 2 RGPD.

PL 13347

42/189

moins 2 fichiers ou traitements distincts. Enfin, l'interconnexion doit
consister en un processus automatisé ayant pour objet de mettre en relation
des informations issues des fichiers ou traitements. Le rapprochement, tout
comme l'interconnexion, constitue une mise en relation d'informations.
Cependant, le rapprochement se distingue de l'interconnexion sur 2 points. A
la différence d'une interconnexion, un rapprochement ne suppose pas
nécessairement la mise en œuvre de moyens automatisés. Ainsi, la
comparaison visuelle d'informations issues de 2 fichiers ou encore
l'enrichissement d'un fichier existant par saisie manuelle d'informations
issues d'un autre fichier ne constituent pas une interconnexion, mais de
simples rapprochements. Un rapprochement peut être réalisé au sein d'un
même traitement ou fichier, alors qu'une interconnexion implique 2 fichiers
distincts58.
La définition l’« anonymisation » a été ajoutée, pour une meilleure
compréhension de cette notion. Le terme d’« anonymisation » vise ainsi tout
traitement de données personnelles consistant à supprimer définitivement
toutes les données identifiantes ou tout moyen de retrouver les données
originales. A noter que des données parfaitement anonymisées ne sont plus
considérées comme des données personnelles, dans la mesure où elles ne
permettent plus d’identifier une personne physique ou morale.
L’« anonymisation » se distingue de la « pseudonymisation » en ce sens
qu’elle est irréversible, contrairement à cette dernière. La
« pseudonymisation » vise en effet tout traitement de données personnelles
consistant à remplacer l'ensemble des données identifiantes par un identifiant
neutre (pseudonyme), de telle façon que celles-ci ne puissent plus être attribuées
à une personne concernée précise sans avoir recours à des informations
supplémentaires. Les données identifiantes doivent être conservées séparément et
soumises à des mesures techniques et organisationnelles afin de garantir que les
données personnelles ne sont pas attribuées à une personne physique identifiée ou
identifiable. Comme indiqué plus haut, contrairement à l’« anonymisation », la
« pseudonymisation » est réversible (tant qu'une table de correspondance
permettant de faire le lien entre le pseudonyme et les données identifiantes d'une
personne existe et est accessible). Enfin, le « caviardage » (art. 27, al. 2

LIPAD) consiste, dans un traitement de données personnelles, à masquer des
passages ou des données d’un document en vue de sa communication ou de
sa publication, de sorte que la personne physique ou morale concernée ne
puisse pas être identifiée.
La notion de « fichier » est supprimée, à l’instar de ce qui est prévu pour
la nLPD. Cela correspond à la solution retenue par la Convention 108+, qui
58

https://www.cnil.fr/en/node/15316

43/189

PL 13347

recourt en lieu et place à la notion de « traitement ». En effet, compte tenu
des nouvelles technologies, les données peuvent aujourd’hui être exploitées
comme un fichier, alors même qu’elles sont disséminées. Un exemple parlant
est le profilage, lors duquel on va chercher des données dans différentes
sources, non constitutives de fichiers, afin d’évaluer certaines caractéristiques
d’une personne59.
Le présent projet de loi introduit les notions de « responsable du
traitement » et de « sous-traitant ». Ces définitions s’inspirent de celles de la
nLPD60, ainsi que de celles de la Convention 108+61, de la directive (UE)
2016/68062, et du RGPD63. Du fait de l’introduction de la notion de
« responsable du traitement », la définition d’organe a été supprimée de
l’article 4 et remplacée dans le corps du présent projet de loi.
Du fait de la suppression de la notion de fichier, le présent projet de loi
remplace également la notion de « maître du fichier » par celle de
« responsable du traitement ». Le responsable du traitement est toute
institution publique, au sens de l’article 3, qui, seule ou conjointement avec
d’autres, détermine les finalités et les moyens du traitement de données
personnelles. Cette définition s’inspire de celle de la nLPD64 et vise à utiliser
la même terminologie que celle de la Convention 108+65, de la directive (UE)
2016/68066 et du RGPD67.
Le « sous-traitant », quant à lui, est toute institution publique, organisme
ou personne physique ou morale qui traite des données personnelles pour le
compte du responsable du traitement. Cette définition s’inspire de celle de la
nLPD68 qui reprend celle de la Convention 108+69.
Le présent projet de loi introduit une définition de la « sécurité des
données personnelles », soit l’ensemble des mesures organisationnelles et
techniques permettant d’assurer la confidentialité et l’intégrité desdites

59
60
61
62
63
64
65
66
67
68
69

FF 2017 6565, p. 6643.
Art. 5, lettre k.
Art. 2, lettres d et f.
Art. 3, par. 8 et 9.
Art. 4, par. 7 et 8.
Art. 5, lettre j.
Art. 2, lettre d.
Art. 3, par. 8.
Art. 4, par. 7.
Art. 5, lettre k.
Art. 2 lettre f; voir également art. 3, par. 9, de la directive (UE) 2016/680 et art. 4,
par. 8 RGPD.

PL 13347

44/189

données. Il introduit également, à l’instar de la nLPD70, une définition de la
« violation de la sécurité des données personnelles». Est considérée comme
telle toute atteinte à la sécurité des données personnelles entraînant de
manière accidentelle ou illicite leur perte, leur modification, leur effacement,
leur destruction, leur divulgation ou un accès non autorisé à ces données
personnelles. La directive (UE) 2016/67971 et le RGPD72 contiennent
également une définition de cette notion.
Enfin, le présent projet de loi introduit une nouvelle définition, celle de
« décision individuelle automatisée ». Cette notion est en effet reprise plus
loin dans le corps du présent projet de loi, conformément aux nouvelles
exigences du droit supérieur. Il s’agit de toute décision prise exclusivement
sur la base d’un traitement automatisé de données, y compris le profilage, et
qui a des effets juridiques sur la personne concernée ou qui l’affecte de
manière significative.
Section 4A du chapitre I du titre II, article 13A
La section 4A relative à la Cour des comptes est nouvelle. Elle fait partie
du chapitre I du titre II relatif à la publicité des séances et est introduite, à
l’instar de ce qui est prévu pour le Grand Conseil, le Conseil d’Etat, le
pouvoir judiciaire, les communes et les établissements et corporations de
droit public, pour préciser la question de la publicité des séances en lien avec
les délibérations et autres séances de la Cour des comptes. L’article 13A
précise ainsi que ces dernières se tiennent à huis clos.
Art. 20A
Cet article fait partie du chapitre II du titre II relatif à l’information du
public et vient préciser les modalités de cette dernière par la Cour des
comptes.
La Cour des comptes mène déjà une politique active d’information du
public par la diffusion de ses rapports, d’examens dits « sommaires » ou
« ciblés », d’une newsletter, de son rapport annuel et d’articles de ses
collaboratrices et collaborateurs. Elle place sur son site les communiqués
qu’elle adresse à la presse et les vidéos qu’elle produit, de même que les
annexes méthodologiques, voire certains rapports produits par des
mandataires. L’alinéa 1 formalise cette activité et précise ainsi que la Cour
70
71
72

Art. 5, lettre h.
Art. 3, par. 11.
Art. 4, par. 12.

45/189

PL 13347

des comptes informe le public sur ses activités, notamment par le biais de la
publication de ses rapports et d’autres documents qu’elle considère d’intérêt
public. Il précise toutefois également que, dans ce cadre, la Cour des comptes
veille à la protection du secret professionnel, de fonction, fiscal ou d’affaires
des personnes entendues, et de toute autre secret prévu par la loi.
L’alinéa 2 prévoit, quant à lui, que la Cour des comptes ne peut donner
d’informations au public susceptibles de permettre l’identification de
l’auteure ou l’auteur d’une communication ou d’une personne, sous réserve
toutefois des règles qui régissent son activité.
Enfin, l’alinéa 3 précise que la Cour des comptes veille, dans le cadre de
l’information du public, au respect des règles professionnelles prohibant la
transmission d’informations ou la transmission de documents en matière
d’audit, d’évaluation ou de révision. Les contours de la transparence pour ce
qui concerne l’activité de révision des comptes de l’Etat qui incombe à la
Cour des comptes sont traités par la modification à la LSurv (voir également
infra, modifications à d’autres lois, commentaire ad art. 34 LSurv.)
Art. 26, al. 2. lettre d
Cette disposition a été complétée par le terme « investigations », suite à
l’introduction de la Cour des comptes parmi les institutions soumises à la
LIPAD.
Art. 28, al. 3
Cet alinéa a uniquement été modifié d’un point de vue terminologique,
pour refléter le remplacement de la notion de « responsable » (au sens de
l’art. 50 LIPAD) par celle de « conseillère ou conseiller à la protection des
données et à la transparence » (voir également infra commentaire ad art. 50).
Art. 30, al. 5
Cet alinéa a principalement été complété afin de prévoir, dans la troisième
phrase de l’alinéa, à l’instar de ce qui figure à l’article 49, que l’institution
notifie également sa décision à la préposée cantonale ou au préposé cantonal.
Parallèlement, la première phrase de l’alinéa a été modifiée uniquement pour
rendre la terminologie conforme au langage épicène. La deuxième phrase n’a,
pour sa part, pas subi de modification.

PL 13347

46/189

Art. 31, al. 2
Cet alinéa a uniquement été modifié pour actualiser le renvoi à l’article 50
(préalablement article 50, alinéa 2, désormais article 50, alinéa 3).
Art. 33, al. 2 et 3
Al. 2
Cet alinéa a uniquement été modifié pour actualiser le renvoi à l’article 50
(préalablement article 50, alinéa 2, désormais article 50, alinéa 3).
Al. 3
Cet alinéa a uniquement été modifié pour des raisons terminologiques,
suite à la suppression de la définition d’« organe ». Ce terme a ainsi été
remplacé par le terme « institution » au sens large. Pour le surplus, cet article
n’a subi aucune modification de fond.
Art. 35 et 36
Par souci de cohérence, ces deux articles sont inversés dans leur ordre
d’apparition par rapport à la LIPAD actuelle. Il semble en effet opportun
d’énoncer les grands principes de la protection des données, dont la licéité, la
bonne foi, la proportionnalité, la finalité et l’exactitude, avant d’entrer dans le
détail des exigences de la base légale notamment.
Art. 35
Cette disposition, reprenant les grands principes de traitement de données
personnelles, est calquée sur la nLPD73 afin de faciliter les futures
interprétations par les autorités d’application, et se rapproche ce faisant des
textes européens74.
Al. 1
Cet alinéa rappelle l’exigence du principe de licéité, à l’instar de la
Convention 108+75 et de la nLPD76. Cela signifie qu’il ne doit pas enfreindre
une autre norme du droit suisse visant directement ou indirectement à
protéger la personnalité77.
73
74
75
76
77

Art. 6.
FF 2017 6565, p. 6646.
Art. 5, par. 3.
Art. 6, al. 1.
Rosenthal, op. cit., ch. 34 et réf. cit.

47/189

PL 13347

Al. 2
Cet alinéa rappelle l’exigence du principe de la proportionnalité. Il figure
déjà à l’heure actuelle dans la LIPAD78, mais est remanié pour se rapprocher
de la nLPD79, afin de faciliter les futures interprétations par les autorités
d’application.
Elément essentiel du droit de la protection des données, le principe de
proportionnalité doit être respecté à toutes les étapes du traitement, y compris
au stade initial, c’est-à-dire lorsqu’il est décidé de procéder ou non au
traitement des données80. Il concerne non seulement les données, mais aussi
le choix des moyens et des méthodes de traitement.
Il découle du principe de proportionnalité que seules les données aptes et
nécessaires à atteindre les finalités du traitement peuvent être traitées. Par
ailleurs, il doit y avoir un rapport raisonnable entre les finalités et le moyen
utilisé, les droits de la personne concernée devant être préservés dans la plus
large mesure possible (principe de proportionnalité au sens étroit). Les
principes d’évitement et de minimisation des données en constituent 2
expressions. Le premier implique que, si le but du traitement peut être atteint
sans collecte de données nouvelles, cette option doit être privilégiée. Le
second veut que seules les données absolument nécessaires au but poursuivi
soient traitées. Ces 2 principes doivent être respectés dès la conception de
nouveaux systèmes, et se mêlent ainsi partiellement aux principes de
protection des données dès la conception et de protection des données par
défaut (voir infra commentaire ad art. 37)81.
L’exigence du respect du principe de proportionnalité figure également
dans la Convention 108+82.
Al. 3
Cet alinéa regroupe les principes de finalité et de reconnaissabilité.
La référence à des « finalités déterminées », à l’instar de la nLPD83,
indique qu’il n’est pas permis de traiter des données pour des finalités non
définies, imprécises ou vagues. La légitimité d’une finalité dépendra des
circonstances, le but étant de garantir dans chaque cas un juste équilibre entre
78
79
80
81
82
83

Art. 36, al. 1, lettre a.
Art. 6, al. 2.
Rapport explicatif de la Convention 108+, ch. 40 ad art. 5.
FF 2017 6565, p. 6644.
Art. 5, par. 1, et par. 4, lettre c.
Art. 6, al. 3; voir aussi art. 5, par. 2, lettre b, de la Convention 108+ ainsi que
l’art. 4, par. 1, lettre b, de la directive (UE) 2016/679 et l’art. 5, par. 2, lettre b
RGPD.

PL 13347

48/189

les droits, les libertés et les intérêts en jeu : le droit à la protection des
données à caractère personnel, d’une part, et la protection d’autres droits,
d’autre part. Un juste équilibre doit ainsi être ménagé entre les intérêts de la
personne concernée et ceux du responsable du traitement ou de la société84.
Par ailleurs, le but et les méthodes du traitement, ainsi que les catégories
de données traitées, doivent être globalement reconnaissables pour les
personnes concernées selon les règles de la bonne foi.
Cet alinéa mentionne également que les données doivent être traitées
ultérieurement de manière compatible avec les finalités initiales. Cette
formulation permet de se rapprocher, à l’instar de la nLPD, de la
terminologie de la Convention 108+85. La notion d’utilisation « compatible »
implique que les données à caractère personnel ne doivent pas faire l’objet
d’un traitement ultérieur que la personne concernée pourrait considérer
comme inattendu, inapproprié ou contestable86. Un autre exemple classique
de traitement des données généralement compatible avec la finalité initiale
est la « pseudonymisation » ou l’« anonymisation » des données afin de les
utiliser à d’autres fins (p. ex. pour les communiquer à un tiers pour lequel
elles ne sont plus des données personnelles)87.
Afin d’établir si les finalités d’un traitement ultérieur sont compatibles
avec celles pour lesquelles les données à caractère personnel ont été
collectées initialement, le responsable du traitement, après avoir respecté
toutes les exigences liées à la licéité du traitement initial, devrait tenir
compte, entre autres : de tout lien entre ces finalités et les finalités du
traitement ultérieur prévu; du contexte dans lequel les données à caractère
personnel ont été collectées, en particulier des attentes raisonnables des
personnes concernées, en fonction de leur relation avec le responsable du
traitement, quant à l’utilisation ultérieure desdites données; de la nature des
données à caractère personnel; des conséquences pour les personnes
concernées du traitement ultérieur prévu; et de l’existence de garanties
appropriées à la fois dans le cadre du traitement initial et du traitement
ultérieur prévu88.
Al. 4
Cet alinéa 4 est lié à la question de la durée de conservation des données
personnelles. Il prévoit ainsi, en reprenant l’alinéa 1 de l’article 40 de la
84
85
86
87
88

Rapport explicatif de la Convention 108+, ch. 48 ad art. 5.
Art. 5, par. 4, lettre b.
Rapport explicatif de la Convention 108+, ch. 49 ad art. 5.
Rosenthal, op. cit., ch. 36.
Rapport explicatif de la Convention 108+, ch. 49 ad art. 5.

49/189

PL 13347

LIPAD actuelle en le remaniant, que les données doivent être détruites ou
anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du
traitement. Cette exigence correspond à ce que prévoit la nLPD89 et la
Convention 108+90. Elle découle aujourd’hui implicitement du principe
général de proportionnalité. Le Conseil d’Etat estime toutefois important, à
l’instar du Conseil fédéral, compte tenu des évolutions technologiques et des
capacités presque illimitées de stockage, de la mentionner expressément. Le
respect de ce principe implique que le responsable du traitement fixe des
délais de conservation. La deuxième phrase est reprise de l’article 40 de la
LIPAD actuelle. De ce fait, l’article 40 LIPAD est abrogé (voir également
infra commentaire ad art. 40).
Al. 5
Cet alinéa reprend le principe de l’exactitude des données, à l’instar de la
nLPD91 et des textes européens92. Ce principe est déjà prévu dans la LIPAD
actuelle mais est remanié pour se rapprocher de la nLPD, afin de faciliter les
futures interprétations par les autorités d’application. Le texte prévoit que
celui qui traite des données personnelles doit s’assurer qu’elles sont exactes.
Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de
détruire les données inexactes ou incomplètes au regard des finalités pour
lesquelles elles sont collectées ou traitées. Les données qui ne peuvent être
rectifiées ou complétées doivent être effacées ou détruites. Le caractère
approprié de la mesure dépend notamment du type de traitement et de son
étendue, ainsi que du risque que le traitement des données en question
présente pour la personnalité ou les droits fondamentaux des personnes
concernées. Le devoir d’exactitude peut impliquer selon les cas de tenir les
données à jour93.
Al. 6
Cet alinéa reprend la teneur actuelle de l’article 36, alinéa 2 LIPAD.

89
90
91
92
93

Art. 6, al. 4.
Art. 5, par. 4, lettre e; voir également l’art. 4, par. 1, lettre 3, de la directive (UE)
2016/680 et l’art. 5, par. 1, lettre e RGPD.
Art. 6, al. 4.
Art. 5, par. 3, lettre d de la Convention 108+; voir également art. 4, par. 1, lettre d,
de la directive (UE) 2016/680 et art. 5, par. 1, lettre d RGPD.
FF 2017 6565, p. 6646.

PL 13347

50/189

Art. 36
Al. 1
Cet alinéa reprend, en la modifiant un peu, la teneur de l’article 35, alinéa
1, de la LIPAD actuelle. Il prévoit désormais que les institutions publiques ne
peuvent traiter des données personnelles que si une base légale le prévoit ou
si l’accomplissement de leurs tâches légales le rend nécessaire.
Al. 2
Cet alinéa concerne plus spécifiquement les traitements de données
personnelles sensibles, les activités de profilage et les traitements de données
personnelles dont les finalités ou les modalités de traitement sont susceptibles
de porter gravement atteinte aux droits fondamentaux de la personne
concernée. Un traitement de donnée personnelles non sensibles est
susceptible de porter atteinte aux droits fondamentaux d’une personne en
fonction des circonstances. Ainsi, le traitement des noms de famille qui, dans
bien des cas, ne présente aucun risque pour les individus (par exemple pour
l’établissement courant de bulletins de salaire), pourrait impliquer des
données sensibles, par exemple s’il a pour finalité de révéler l’origine
ethnique ou les convictions religieuses de personnes à partir de l’origine
linguistique de leur nom94.
Cet alinéa prévoit que de tels traitements ne peuvent avoir lieu que si une
loi au sens formel le prévoit expressément (base légale directe), ou s’il est
indispensable à l’accomplissement d’une tâche définie dans une loi au sens
formel (base légale indirecte).
Une atteinte grave aux droits fondamentaux de la personne concernée
peut également résulter du mode de traitement des données personnelles. Tel
peut être le cas des décisions individuelles automatisées au sens de l’article
38B LIPAD. Certes, toutes les décisions individuelles automatisées ne
présentent pas un risque élevé pour les droits des personnes concernées. Le
cas échéant, une base légale au sens matériel est suffisante. En principe,
lorsque la décision individuelle automatisée se fonde sur un traitement de
données personnelles sensibles, une base légale au sens formel doit être
prévue. Les exigences de l’article 11 de la directive (UE) 2016/680 sont ainsi
respectées95.

94
95

Rapport explicatif de la Convention 108+, ch. 60 ad art. 6.
FF 2017 6565, p. 6696.

51/189

PL 13347

Al. 3
Cet alinéa réserve l’application de l’article 36A, qui introduit le
consentement de la personne concernée comme élément fondant la licéité du
traitement aux conditions restrictives prévues à l’article 36A.
Al. 4
La première phrase de cet alinéa est reprise de l’article 35, alinéa 4, de la
LIPAD actuelle. Le législateur l'a depuis mis en œuvre par l'adoption de la loi
instituant les numéros d’identification personnels communs, du 20 septembre
2013 (LNIP; rs/GE A 209).
La 2e phrase de cet alinéa est nouvelle. Elle abroge la 2e phrase actuelle
de l’article 35, alinéa 4, de la LIPAD actuelle, devenue obsolète au vu du
changement législatif intervenu au niveau fédéral relatif à l'usage et à la
communication du numéro AVS. En effet, une modification de la loi fédérale
sur l’assurance-vieillesse et survivants, du 20 décembre 1946 (LAVS;
RS 831.10), portant sur l'introduction d'une Quatrième partie spécifique
intitulée « Utilisation systématique du numéro AVS en dehors de l’AVS » (art.
153b à 153i nLAVS), est entrée en vigueur au 1er janvier 2022. Le but de
cette modification est d'accroître l'efficacité des processus administratifs en
permettant aux autorités fédérales, cantonales et communales d'utiliser de
manière systématique le NAVS pour accomplir leurs tâches légales et faire
avancer la cyberadministration96.
En résumé, les unités des administrations cantonales et communales sont
désormais habilitées à utiliser le numéro AVS de manière systématique dans
la mesure où l’exécution de leurs tâches légales le requiert (art. 153c nLAVS)
et moyennant l'adoption de mesures techniques et organisationnelles
destinées à protéger les données (art. 153d nLAVS); la communication du
numéro AVS dans l’application du droit cantonal ou communal étant pour le
surplus régie par l'article 153g nLAVS.
Art. 36A
Al. 1
Cet alinéa introduit un fait justificatif extra-légal dérogeant aux exigences
de l’article 36. Il vise à autoriser les institutions publiques à traiter des
données personnelles, y compris sensibles ou dont les finalités ou les
modalités de traitement sont susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée, nécessaires à
96

Voir Message du 18 décembre 2020 « Utilisation systématique du numéro AVS
par les autorités », RO 2021 758; FF 2019 6955.

PL 13347

52/189

l’accomplissement de leurs tâches légales, et à procéder à du profilage,
également dans le cas où la personne concernée a donné son consentement
dans un cas d’espèce. Le consentement doit rester une exception en tant que
fait justificatif extra-légal au traitement de données personnelles et ne saurait
justifier des traitements systématiques de données personnelles.
Une disposition similaire est prévue dans la nLPD97. Cette formulation
permet par ailleurs, à l’instar de la nLPD, de se rapprocher de la terminologie
de la Convention 108+98, afin de satisfaire aux exigences de celle-ci.
Al. 2
Pour être considéré comme valable, le consentement doit avoir été
exprimé librement et après que la personne concernée a été dûment informée,
et doit porter sur un ou plusieurs traitements déterminés. Il doit être exprès en
cas de traitement de données personnelles sensibles, de traitement de données
personnelles dont les finalités ou les modalités de traitement sont susceptibles
de porter gravement atteinte aux droits fondamentaux de la personne
concernée ou de profilage.
Pour que le consentement soit valable, il faut toujours que le traitement,
en particulier son ampleur et son but, soit suffisamment défini. Le
consentement peut porter sur plusieurs traitements identiques ou différents. Il
est également possible que le but du traitement nécessite plusieurs
traitements. Le consentement doit couvrir le but du traitement auquel il sert
de motif justificatif. Si les données sont traitées à d’autres fins que celles qui
ont fait l’objet d’un consentement, ce traitement doit être justifié par d’autres
motifs99.
Le consentement doit en outre être clair. Il faut donc que la déclaration de
la personne concernée exprime la volonté de celle-ci sans ambiguïté. Tout
dépend des circonstances concrètes de chaque cas particulier. Conformément
au principe de la proportionnalité, on considère que plus les données sont
sensibles, plus le consentement doit être clair100.
Le présent projet de loi, à l’instar de la nLPD, ne prévoit pas de forme
particulière pour le consentement. En particulier, il n’est pas lié à une
déclaration écrite. La personne concernée peut donner un consentement clair
au sens de l’alinéa 2 par la manifestation tacite de sa volonté. Tel est le cas
lorsque la manifestation de la volonté ne découle pas de la déclaration elle97

Art. 34, al. 4, lettre b.
Art. 5, par. 2; voir également art. 6, par. 1, lettre a RGPD.
99 FF 2017 6565, p. 6647.
100 FF 2017 6565, p. 6647.
98

53/189

PL 13347

même, mais d’un comportement qui, compte tenu des circonstances dans
lesquelles il se produit, peut être compris comme l’expression claire de la
volonté. Mais la manifestation de la volonté est nécessaire; le simple silence
ou l’inaction ne peuvent constituer un consentement valable à la violation de
la personnalité. L’article 6 CO est réservé lorsque les parties sont convenues
d’une acceptation tacite101.
Selon la seconde phrase de l’alinéa 2, le consentement doit être exprès
lorsque le traitement concerne des données sensibles ou consiste en un
profilage. Une déclaration de volonté est « expresse » lorsqu’elle est
formulée oralement, par écrit ou par un signe, et qu’elle découle directement
des mots employés ou du signe en question. Une déclaration de volonté en
tant que telle doit manifester clairement la volonté dans sa forme même. Cela
pourrait se faire notamment en cochant une case, en optant activement pour
certains paramètres techniques pour des services de la société de
l’information ou au moyen d’une autre déclaration. La même chose vaudrait
pour des moyens d’expression non verbaux qui, dans le contexte concret,
sont des signes clairs, ou un geste approprié, ce qui peut être fréquemment le
cas lors d’une consultation médicale. On peut par exemple penser à des
signes approbateurs de la tête ou à l’ouverture de la bouche pour le
prélèvement de muqueuse, après des explications claires. Lorsqu’un
consentement exprès est requis, il ne peut pas être tacite102.
A noter que la LIPAD utilisait jusqu’ici, à l’instar de la LPD dans sa
teneur actuelle, le terme de consentement « explicite » (cf. art. 35 et 39 de la
LIPAD actuelle). Ce terme a été remplacé dans le présent projet de loi par le
terme de consentement « exprès », suivant en cela la Confédération et la
terminologie du CO (voir également infra, commentaire ad art. 39).
Al. 3
Cet alinéa prévoit que le consentement peut être révoqué en tout temps et
sans motifs. En effet, aucune influence ou pression indues (de nature
économique ou autre), directe ou indirecte, ne peut être exercée sur la
personne concernée et son consentement ne doit pas être considéré comme
libre si elle n’a pas de véritable choix ou de liberté de choix, ou ne peut
refuser ou retirer son consentement sans subir de préjudice103. La seule
réserve est celle du délai raisonnable qui pourrait être nécessité pour des
raisons techniques.
101

FF 2017 6565, p. 6647.
FF 2017 6565, p. 6647.
103 Rapport explicatif de la Convention 108+, ch. 42 ad art. 5; voir également consid.
42 RGPD.
102

PL 13347

54/189

Al. 4
Cet alinéa correspond à l’article 10, lettre b, de la directive (UE)
2016/680 et à l’article 6, paragraphe 1, lettre d, du RGPD104. En vertu de
cette disposition, les institutions publiques peuvent traiter des données
personnelles si le traitement est nécessaire à la sauvegarde des intérêts vitaux
de la personne concernée ou d’une autre personne physique, y compris leur
intégrité physique ou leur vie105. Il vise également les cas où le traitement est
nécessaire à des fins humanitaires, y compris pour suivre des épidémies et
leur propagation, ou dans les cas d'urgence humanitaire, notamment les
situations de catastrophe naturelle et d'origine humaine (conflit armé ou autre
type de violence)106.
Al. 5
Cet alinéa introduit un deuxième fait justificatif extra-légal dérogeant aux
exigences de l’article 36. Il vise à autoriser les institutions publiques à traiter
des données personnelles, y compris sensibles ou dont les finalités ou les
modalités de traitement sont susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée, et à procéder à du profilage,
également dans les cas où la personne concernée a rendu ses données
personnelles accessibles à tout un chacun et ne s’est pas opposée
expressément au traitement. Une disposition similaire est aussi prévue dans la
nLPD107.
Art. 36B
Cette disposition s’inspire de l’article 33 nLPD, qui met en œuvre
l’article 21 de la directive (UE) 2016/680108, afin de faciliter les futures
interprétations par les autorités d’application.
Elle prévoit que, lorsque 2 institutions publiques ou plus déterminent
conjointement les finalités et les moyens du traitement, elles sont
responsables conjointes du traitement et doivent définir de manière
transparente leurs obligations respectives dans la déclaration au registre des
activités de traitement, soit CATTRAIT selon sa nouvelle appellation du fait

104

Voir également rapport explicatif de la Convention 108+, ch. 46 et 47 ad art. 5.
Voir consid. 112 RGPD.
106 Voir rapport explicatif de la Convention 108+, ch. 47 ad art. 5; voir également
consid. 46b RGPD.
107 Art. 34, al. 4, lettre b.
108 Voir également art. 26 RGPD.
105

55/189

PL 13347

de la disparition de la notion de « fichier » (à ce sujet, voir infra commentaire
ad art. 43).
Art. 36C
Cet article reprend, pour l’essentiel, la teneur de l’article 13A RIPAD. Il
précise de plus, à l’alinéa 1, lettre a, que seuls les traitements que le
responsable du traitement est en droit de réaliser peuvent être sous-traités
(voir infra).
Al. 1 et 2
Ces alinéas posent le cadre légal général de la sous-traitance. Ils sont
calqués sur l’article 9 nLPD, afin de faciliter les futures interprétations par les
autorités d’application.
Le contrat liant le responsable du traitement et le sous-traitant peut être de
nature diverse. Il peut s’agir d’un mandat (art. 394 et suivants CO109), d’un
contrat d’entreprise (art. 363 et suivants CO) voire d’un contrat mixte selon
les obligations du sous-traitant. Le sous-traitant cesse d’être un tiers à
compter du moment où il débute ses activités contractuelles pour le compte
du responsable du traitement110.
Ces alinéas instituent un devoir de diligence à la charge du responsable du
traitement, dans le but de sauvegarder les droits des personnes concernées en
cas de sous-traitance. Le responsable du traitement doit s’assurer de manière
active que le sous-traitant respecte la loi dans la même mesure que lui111.
Cela concerne principalement le respect des principes généraux de protection
des données, les règles relatives à la sécurité, ainsi que le respect des droits
des personnes concernées (art. 44 et suivants LIPAD). Le contrat de soustraitance ne doit en effet pas faire obstacle à l’obligation de l’institution de
respecter en tout temps ses obligations aux termes des articles 44 et suivants
LIPAD relatifs aux droits des personnes concernées (notamment droit
d’accès à ses données personnelles, droit de demander la rectification, la
destruction ou encore d’en constater le caractère illicite, voire d’exiger la fin
du traitement illicite). Le responsable du traitement doit, par analogie avec
l’article 55 CO, mettre tout en œuvre pour éviter d’éventuelles violations de
la LIPAD. Il doit ainsi veiller à choisir soigneusement son mandataire, à lui

109

Loi fédérale complétant le Code civil suisse (Livre cinquième : Droit des
obligations), du 30 mars 1911; RS 220.
110 FF 2017 6565, p. 6643.
111 FF 2017 6565, p. 6651.

PL 13347

56/189

donner les instructions adéquates et à exercer la surveillance nécessaire112. La
Convention 108+ prévoit elle aussi une obligation similaire113.
L’obligation de prévoir la possibilité de faire des audits chez le soustraitant, ou, à défaut, d'obtenir les résultats d'audits de tiers indépendants,
respectivement de participer sans frais à l'élaboration de ces derniers précise
et renforce les mesures de sécurité qui doivent être mises en place, et permet
de s’assurer de leur efficacité.
Al. 3
Cet alinéa exige que le contrat de sous-traitance doit prévoir l’obligation,
pour le sous-traitant, d’annoncer au responsable du traitement, dans les
meilleurs délais, tout cas de violation de la sécurité des données. Cette
précision est nécessaire, puisque l’obligation y relative, prévue à l’article
37C, alinéa 4, ne vaut a priori que pour un sous-traitant soumis au champ
d’application de la LIPAD, ce qui ne sera pas toujours le cas.
Al. 4
Cet alinéa exige que l’institution donne expressément son accord à une
sous-traitance en cascade et que le contrat conclu oblige le sous-traitant du
premier niveau à veiller au respect des mêmes prescriptions de protection
dans la suite de la chaîne de sous-traitance. L’accord préalable écrit est
également une exigence de la directive (UE) 2016/680114.
Al. 5
Cet alinéa prévoit explicitement que l’institution demeure responsable des
données personnelles qu’elle fait traiter par des tiers. Cette responsabilité
s’étend naturellement également aux données personnelles dont le traitement
aurait été délégué par le sous-traitant à un autre sous-traitant (sous-traitance
en cascade).
Al. 6
Cet alinéa traite des cas où le recours à un prestataire tiers implique un
traitement à l’étranger, par exemple le recours à des systèmes d’information
délocalisés ou dématérialisés.
La notion de « niveau de protection adéquat » a été choisie afin de suivre
celle choisie au niveau fédéral115, au niveau européen116 ainsi que dans la
112

FF 2017 6565, p. 6651.
Art. 10, par. 1h.
114 Art. 22, par. 2.
115 Art. 16 nLPD.
116 Art. 36 de la directive (UE) 2016/680; art. 45 RGPD.
113

57/189

PL 13347

Convention 108+117. Elle ne se recoupe pas entièrement avec celle de
« niveau de protection équivalent » utilisée à l’article 39 LIPAD, cette
dernière pouvant être plus restrictive. A noter toutefois que les deux notions
pourraient être amenées à se recouper largement.
Il est rappelé en outre que le terme « traitement » recouvre tant des
traitements complets que partiels de données personnelles.
Il convient encore de préciser qu’il a été renoncé ici à réglementer
spécifiquement l’usage des réseaux sociaux par le petit et le grand Etat
(Facebook, Twitter, etc.) dans la mesure où les citoyennes et les citoyens y
recourant le font sur une base volontaire, le plus souvent en entrant dans un
rapport de droit direct avec le gestionnaire de la plate-forme privée et après
avoir eux-mêmes créé un compte et accepté les conditions générales de ces
instruments – dont la récolte des données personnelles (adresse IP et autres
informations laissées sur leurs comptes publics). Dès lors, ces situations
peuvent être appréhendées par les règles générales relatives au consentement
des personnes concernées.
Art. 37
Cet article instaure l’obligation de protéger les données dès la conception
(« privacy by design ») et par défaut (« privacy by default »), le second
concept étant inclus dans le premier.
Il est calqué sur l’article 7 nLPD, afin de faciliter les futures
interprétations par les autorités d’application, et met en œuvre, à l’instar de ce
dernier, les exigences de la Convention 108+118 et de la directive (UE)
2016/680119. Le RGPD contient une règle similaire120.
Al. 1
Cet alinéa traite de la protection des données dès la conception (« privacy
by design »). Cette dernière se caractérise par des mesures proactives visant à
prévenir et minimiser les risques d’atteinte aux droits des personnes
concernées. L’obligation débute ainsi en amont des opérations de traitement,
avant la collecte des données. Son but est d’assurer un traitement conforme à
la loi du début à la fin du traitement des données (i. e. de la collecte à la
suppression de la donnée, y compris l’archivage). Ce principe ne doit pas être
117

Voir article 14 (le terme adéquat est ici remplacé par approprié; voir toutefois
rapport explicatif de la Convention 108+, ch. 112, ad art. 14).
118 Art. 10, par. 3, et rapport explicatif de la Convention 108+, ch. 89 ad art. 10.
119 Art. 20.
120 Art. 25.

PL 13347

58/189

confondu avec la protection des données par défaut (« privacy by default »),
qui exige de traiter le moins de données possibles par des préréglages
appropriés (voir infra commentaire ad al. 3). Les 2 principes n’en restent pas
moins étroitement liés, dans la mesure où de telles fonctionnalités doivent
être intégrées dès la conception121.
La protection technique des données personnelles ne s’appuie pas sur une
technologie précise; elle passe plutôt par la mise en place de règles
techniques et organisationnelles conformes aux principes définis aux articles
35 et 37A du présent projet de loi. En d’autres termes, les exigences légales
auxquelles doit satisfaire un traitement conforme à la protection des données
sont déjà intégrées dans le système, de manière à rendre impossible une
violation de la protection des données ou d’en réduire la probabilité.
Il s’agit par exemple de la fixation d’échéances régulières pour
l’effacement ou l’anonymisation systématique des données personnelles. Un
principe significatif pour la protection des données au plan technique est
celui de la « minimisation des données », qui ressort aussi de l’article 35 du
présent projet de loi. Selon ce dernier, il faut fixer avant même le début d’un
traitement ses modalités, de manière à ce que le moins de données possible
soient traitées, et de façon à ce qu’elles soient conservées le moins longtemps
possible122.
Al. 3
Cet alinéa traite du principe de la protection des données par défaut.
Le responsable du traitement est tenu, par le biais de préréglages
appropriés, de garantir que le traitement soit limité au minimum requis par la
finalité poursuivie (principe de la minimisation des données), pour autant que
la personne concernée n’en dispose pas autrement (« privacy by default »)123.
Les systèmes d’information et les applications traitant des données
personnelles doivent ainsi être paramétrés, par défaut, de la manière la plus
favorable à la protection de la vie privée.
Le lien avec la protection des données dès la conception est étroit. En
effet, ces réglages prédéfinis s’inscrivent souvent dans un système entier
respectueux de la protection des données. Ce qui est spécifique à la
protection des données par défaut, c’est l’influence éventuelle de la personne
concernée. Alors qu’elle ne peut en principe pas modifier le système lui121

Lechtman, L’obligation de « privacy by design » en Suisse et son implémentation
dans les études d’avocat, in Anwalts 10/2020, p. 403 et suivantes et réf. cit.
122 FF 2017 6565, p. 6648-6649.
123 FF 2017 6565, p. 6649; voir également rapport explicatif de la Convention 108+,
ch. 89 ad art. 10.

59/189

PL 13347

même, elle a toujours la possibilité, s’agissant des réglages par défaut, de
choisir une solution différente. La protection des données par défaut permet
en conséquence à la personne concernée de consentir à un traitement
déterminé124.
Art. 37A
Cet article est globalement calqué sur l’article 8 nLPD, afin de faciliter les
futures interprétations par les autorités d’application.
Al. 1
Le devoir d’assurer la sécurité des données est une exigence de la
Convention 108+125 et de la directive (UE) 2016/680126. Le RGPD prévoit
une règle comparable127. Les institutions publiques doivent ainsi assurer, par
des mesures organisationnelles et techniques appropriées, une sécurité
adéquate des données personnelles par rapport au risque encouru. Ces
mesures doivent permettre d’éviter toute violation de la sécurité des données
personnelles.
Cette disposition matérialise l’approche fondée sur les risques. Plus le
risque d’une atteinte à la sécurité des données est élevé, plus les exigences
auxquelles doivent répondre les mesures à prendre seront élevées128.
Al. 2
L’alinéa 2 mentionne le but des mesures. Ces dernières doivent permettre
d’éviter toute violation de la sécurité des données, soit toute violation de la
sécurité entraînant la perte de données personnelles, leur modification, leur
effacement ou leur destruction, leur divulgation ou un accès non autorisés à
ces données, et ce indépendamment de la question de savoir si la violation est
intentionnelle ou non, licite ou illicite (art. 4, lettre j, du présent projet de loi).
Les mesures peuvent viser par exemple à pseudonymiser des données, à
assurer la confidentialité et la disponibilité du système ou de ses services, ou
encore à élaborer des procédures visant à tester, à analyser et à évaluer
régulièrement l’efficacité des mesures prises129.

124

FF 2017 6565, p. 6649-6650; voir également rapport explicatif de la Convention
108+, ch. 89 ad art. 10.
125 Art. 7.
126 Art. 4, par. 1, lettre f, de la directive (UE) 2016/680.
127 Art. 5, par, 1, lettre f, et 32 RGPD.
128 FF 2017 6565, p. 6650.
129 FF 2017 6565, p. 6650.

PL 13347

60/189

Il existe une interaction entre la protection des données et leur sécurité,
mais ces deux aspects doivent être traités séparément. La protection des
données relève de la protection de la personnalité de l’individu. Quant à la
sécurité des données, elle vise généralement les données présentes chez un
responsable du traitement ou chez un sous-traitant et englobe le cadre
organisationnel et technique général du traitement des données. Par
conséquent, la protection de l’individu n’est possible que si des mesures
techniques générales ont été prises pour la sécurité des données le
concernant. D’où la distinction opérée entre l’obligation d’assurer la sécurité
des données au sens du présent article et la protection des données dès la
conception visée à l’article 37 du présent projet de loi. L’article 37A du
présent projet de loi oblige les institutions publiques à prévoir, pour leurs
systèmes, une architecture de sécurité appropriée et à les protéger contre les
maliciels ou la perte de données, par exemple. L’article 37 du présent projet
de loi vise, par contre, à garantir, par des moyens techniques, le respect de
prescriptions de protection de données, par exemple la proportionnalité du
traitement des données. Certaines mesures, comme l’anonymisation des
données, peuvent à cet égard se révéler significatives pour les 2
obligations130.
Al. 3
Conformément à cet alinéa, les exigences minimales en matière de
sécurité des données personnelles seront déterminées par le Conseil d’Etat
par voie réglementaire.
Al. 4
Cet alinéa prévoit, conformément à la directive (UE) 2016/680131 que les
institutions publiques sont tenues de contrôler périodiquement le respect des
mesures de sécurité mises en place. Le projet d’ordonnance fédérale relative
à la loi fédérale sur la protection des données (P-OLPD) mis en consultation
par le Département fédéral de justice et police (DFJP) prévoit également cette
obligation132.
Art. 37B
Cet article prévoit l’obligation de procéder à une analyse d’impact
relative à la protection des données personnelles. Il s’inspire de l’article 22
nLPD, afin de faciliter les futures interprétations par les autorités
130

FF 2017 6565, p. 6650.
Art. 19, par. 1; le RGPD prévoit une règle similaire à l’art. 24, par. 1.
132 Art. 1, al. 2 P-OLPD.
131

61/189

PL 13347

d’application et concrétise, à l’instar de ce dernier, les exigences posées par
la Convention 108+133 et la directive (UE) 2016/680134. Le RGPD contient
des dispositions similaires135.
L’analyse d’impact est un instrument destiné à identifier et à évaluer les
risques que certains traitements de données personnelles pourraient entraîner
pour la personne concernée. Le cas échéant, cette analyse doit servir à définir
des mesures pour faire face à ces risques. L’avantage pour le responsable du
traitement est qu’elle permet d’anticiper d’éventuels problèmes juridiques
liés à la protection des données et d’éviter les coûts qui pourraient en
résulter136.
Al. 1
L’analyse d’impact doit être menée par le responsable du traitement avant
la mise en œuvre du traitement. Le responsable du traitement doit procéder à
une telle analyse lorsque le traitement envisagé est susceptible d’entraîner un
risque élevé pour la personnalité ou les droits fondamentaux de la personne
concernée. Le risque doit être analysé au cas par cas en termes de gravité et
de vraisemblance.
Le responsable du traitement est donc tenu de faire un pronostic des
conséquences que le traitement en question peut avoir pour la personne
concernée137.
Al. 2
L’alinéa 2 précise que l’existence d’un risque élevé dépend de la nature,
de l’étendue, des circonstances et de la finalité du traitement. Plus le
traitement est étendu, plus les données sont sensibles et plus la finalité du
traitement est vaste, plus il y a lieu de conclure à un risque élevé. L’alinéa 2
mentionne 3 exemples dans lesquels un tel risque existe :
– selon la lettre a, c’est le cas lorsque le traitement concerne un grand
volume de données sensibles, comme cela peut se produire dans le cadre
de projets de recherche médicaux;
– la lettre b dispose qu’un risque élevé existe en cas de profilage; tel peut
être également le cas lorsque des décisions sont prises exclusivement sur
la base d’un traitement de données personnelles automatisé, y compris en

133

Art. 10, par. 2.
Art. 27.
135 Art. 35 et suivants.
136 FF 2017 6565, p. 6676.
137 FF 2017 6565, p. 6676.
134

PL 13347

62/189

cas de profilage, et que ces décisions ont des effets juridiques sur la
personne concernée ou l’affectent de manière notable138;
– selon la lettre c, enfin, il y a un risque élevé lorsqu’il s’agit de la
surveillance de grandes parties du domaine public (p. ex. la surveillance
d’un hall de gare)139.
Al. 3
Selon l’alinéa 3, l’analyse d’impact relative à la protection des données
contient notamment une description du traitement envisagé. Il faut ainsi
présenter les différents processus (p. ex. la technologie employée), la finalité
du traitement ou la durée de conservation des données personnelles. Par
ailleurs, l’analyse d’impact doit montrer quels risques le traitement implique
pour la personnalité ou les droits fondamentaux de la personne concernée. Il
s’agit ici d’un approfondissement de l’évaluation des risques qui doit déjà
être faite en amont, lors de l’examen de la nécessité de procéder à une
analyse d’impact. Il convient ainsi de présenter la nature du risque élevé
qu’engendre le traitement envisagé et les moyens de l’évaluer. Enfin,
l’analyse d’impact doit expliquer les mesures prévues pour faire face à ce
risque. Il s’agira souvent de mettre en œuvre les principes de l’article 35 du
présent projet de loi, ainsi que les principes de protection dès la conception et
par défaut (« privacy by design/by default »; art. 37 du présent projet de loi).
A cette occasion, il est possible de mettre en balance les intérêts de la
personne concernée et ceux du responsable du traitement. Cette confrontation
des intérêts doit être dûment motivée et intégrée dans l’analyse d’impact.140.
La réalisation de l’analyse d’impact doit être menée sans formalités
excessives dans le respect du principe de proportionnalité141.
Al. 4
Conformément à l’article 56A, alinéa 2, lettre e du présent projet de loi, la
préposée cantonale ou le préposé cantonal exprime son avis sur les projets
d’actes législatifs ayant un impact en matière de protection des données
personnelles. Le présent alinéa prévoit ainsi que lorsque l’analyse d’impact
est requise au sens de l’alinéa 1 du présent article, elle doit être jointe au
projet d’acte législatif soumis à la préposée cantonale ou au préposé cantonal.
Bien qu’elle ne soit pas prescrite par la Convention 108+, cette
consultation préalable correspond à la réglementation européenne142. Elle est
138

FF 2017 6565, p. 6677.
FF 2017 6565, p. 6677.
140 FF 2017 6565, p. 6678.
141 Rapport explicatif de la Convention 108+, ch. 88 ad art. 10.
139

63/189

PL 13347

reprise dans le présent projet de loi pour permettre à la préposée cantonale ou
au préposé cantonal d’exercer une fonction de conseil et de prévention, sans
compter qu’elle offre une plus grande efficacité aux responsables du
traitement en ce sens que les difficultés qui pourraient surgir en lien avec le
traitement sont déjà éliminées à un stade précoce143.
Cela permet également au législateur d’évaluer les risques éventuels pour
la personne concernée au regard du but du traitement et d’édicter, le cas
échéant, des prescriptions pour y faire face144.
Al. 5
Cet alinéa vise les cas de figure où des nouveaux traitements susceptibles
d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de
la personne concernée seraient envisagés, alors même que les institutions
publiques estiment qu'elles disposent déjà des bases légales nécessaires pour
ce faire. Dans un tel cas de figure, aucune nouvelle base légale n'étant prévue,
l’alinéa 4 n’entrerait pas en ligne de compte. Il fallait donc prévoir une base
légale ad hoc.
Art. 37C
Le présent article s’inspire de l’article 24 nLPD, afin de faciliter les
futures interprétations par les autorités d’application. Il instaure l’obligation
d’annoncer toute violation de la sécurité des données personnelles145.
Cette disposition concrétise les exigences fixées par la Convention
108+146 et la directive (UE) 2016/680147. Le RGPD contient des dispositions
similaires148.
Les mesures à prendre en cas d’incident entraînant une violation de la
sécurité des données au sens de l’article 4, lettre j, du présent projet de loi
portent sur 3 niveaux :
a) identification de la violation et correction (al. 1);
b) consignation, dans un document interne, de la nature de la violation, du
type de données personnelles concernées et des catégories de personnes

142

Art. 28 de la directive [UE] 2016/680 et art. 36 RGPD.
FF 2017 6565, p. 6678.
144 FF 2017 6565, p. 6678.
145 Cette notion est définie à l’art. 4, lettre j, du présent projet de loi.
146 Art. 7, par. 2.
147 Art. 30 et 31.
148 Art. 33 et 34.
143

PL 13347

64/189

touchées, des conséquences probables pour ces dernières et des mesures
prises pour y remédier (al. 2); et
c) annonce de la violation lorsque cela est nécessaire à la préposée cantonale
ou au préposé cantonal ou aux personnes concernées (al. 3 et 4, sous
réserve de l’al. 5) et annonce de tout cas de violation par le sous-traitant
au responsable du traitement (al. 4).
Al. 1
Cet alinéa prévoit que le responsable du traitement doit prendre
immédiatement les mesures appropriées, lorsqu’il constate une violation de la
sécurité des données, afin de mettre fin à la violation et d’en minimiser les
effets et en informer immédiatement sa conseillère ou son conseiller à la
protection des données et à la transparence.
Al. 2
Le responsable du traitement doit documenter, dans un document interne,
la nature de la violation, le type de données personnelles concernées et les
catégories de personnes touchées, les conséquences probables pour ces
dernières et les mesures prises pour y remédier. Le P-OLPD mis en
consultation prévoit une obligation similaire à son article 19, alinéa 5.
Al. 3
Le présent projet n’exige pas, à l’instar de l’article 24 nLPD, que tout
incident doive être annoncé à la préposée cantonale ou au préposé cantonal.
Seuls sont visés les cas de violation de la sécurité des données entraînant
vraisemblablement un risque élevé pour la personnalité ou les droits
fondamentaux de la personne concernée.
Al. 4
Cet alinéa prévoit, à l’instar de l’article 24 nLPD, que le sous-traitant doit
annoncer au responsable du traitement, dans les meilleurs délais, tout cas de
violation de la sécurité des données personnelles.
Cette obligation est reprise à l’article 36C relatif à la sous-traitance, dans
la mesure où cette obligation devra obligatoirement figurer dans le contrat
liant l’institution à son sous-traitant.
Al. 5
Cet alinéa prévoit que le responsable du traitement doit informer la
personne concernée lorsque cela est nécessaire à sa protection ou lorsque la
préposée cantonale ou le préposé cantonal l’exige.
Il existe une marge d’appréciation assez large pour déterminer si la
première condition est réalisée. Il faut se demander notamment si

65/189

PL 13347

l’information peut réduire les risques pour la personnalité ou les droits
fondamentaux de la personne concernée, en lui permettant notamment de
prendre les dispositions nécessaires pour se protéger (modification des
données d’accès ou du mot de passe, p. ex.)149.
Al. 6
Cet alinéa prévoit les conditions auxquelles le responsable du traitement
peut restreindre l’information de la personne concernée, la différer ou y
renoncer.
Le terme « secret » de la lettre c vise les secrets spéciaux et non pas le
secret de fonction. Le devoir d’informer est réputé impossible à respecter
(lettre c) lorsque le responsable du traitement n’est pas en mesure d’identifier
les personnes concernées par la violation de la sécurité des données. On
estime de même que l’information nécessite des efforts disproportionnés dès
lors qu’il faudrait informer individuellement un grand nombre de personnes
concernées et que les coûts qui en résulteraient semblent excessifs au regard
du gain qu’en retireraient les personnes concernées. C’est notamment dans
ces cas de figure que peut s’appliquer la lettre f : cette disposition autorise le
responsable du traitement à opter pour une communication publique si
l’information des personnes concernées est garantie de manière équivalente.
On estime que cette condition est remplie quand une annonce individuelle ne
permettrait pas d’améliorer sensiblement l’information de la personne
concernée150.
Art. 38
A l’instar de l’article 19 nLPD, cet article traite du devoir du responsable
du traitement d’informer la personne concernée lors de la collecte de données
personnelles.
Ces exigences se retrouvent dans la Convention 108+151 ainsi que dans la
directive (UE) 2016/680152. Le RGPD contient une réglementation similaire.
Le devoir d’informer renforce la transparence des traitements, ce qui est
l’un des principaux buts de la révision153. Le responsable du traitement est
tenu de faire preuve de transparence dans la conduite des opérations de
traitement afin de garantir un traitement loyal et de permettre aux personnes
149

FF 2017 6565, p. 6682.
FF 2017 6565, p. 6682.
151 Art. 8.
152 Art. 13.
153 FF 2017 6565, p. 6668.
150

PL 13347

66/189

concernées de comprendre et, partant, d’exercer pleinement leurs droits dans
le cadre du traitement considéré154. L’amélioration de la transparence du
traitement des données personnelles entraîne donc aussi un renforcement des
droits de la personne concernée, autre but important de la révision. Enfin, le
devoir d’informer contribue à sensibiliser la population sur la protection des
données, qui est aussi un objectif de la révision155.
Al. 1 et 2
Le présent projet de loi, à l’instar de la nLPD, ne précise pas la forme que
doit revêtir l’information. Le responsable du traitement doit veiller à ce que
la personne concernée puisse effectivement prendre connaissance de celle-ci
par un moyen facilement accessible, mais pas à ce qu’elle s’informe
effectivement.
Une information générale peut suffire si les données sont collectées
auprès de la personne concernée156. Les informations peuvent être fournies
sous tout format approprié (par le biais d’un site web, d’outils technologiques
sur des appareils personnels, etc.) dès lors qu’elles sont présentées de
manière effective et loyale à la personne concernée157.
Si les données personnelles ne sont pas collectées auprès de la personne
concernée, le responsable du traitement doit réfléchir à un moyen qui
permette à celle-ci de prendre effectivement connaissance de l’information.
La simple mise à disposition des informations peut ne pas suffire. Il faut
informer activement la personne concernée, que ce soit d’une manière
générale ou personnalisée. Le devoir d’information vise en effet aussi à éviter
que des données concernant une personne soient traitées à l’insu de celle-ci.
Les exceptions visées à l’article 38A sont réservées.
L’information n’est soumise à aucune exigence de forme, mais il faut de
manière générale en choisir une qui respecte le principe de la transparence
des données. L’alinéa 2 prévoit d’ailleurs que le responsable du traitement
communique à la personne concernée, lors de la collecte, les informations
nécessaires pour qu’elle puisse faire valoir ses droits selon la LIPAD et pour
que la transparence des traitements soit garantie. Pour des raisons de preuve,
il est en outre recommandé de documenter l’information ou d’y procéder par
écrit. Par ailleurs, l’information doit être rédigée de manière suffisamment
claire pour atteindre son but, à savoir la transparence du traitement des
données.
154

Rapport explicatif de la Convention 108+, ch. 67 ad art. 8.
FF 2017 6565, p. 6668.
156 FF 2017 6565, p. 6668.
157 Rapport explicatif de la Convention 108+, ch. 68 ad art. 8.
155

67/189

PL 13347

La liste des informations que le responsable du traitement doit fournir à la
personne concernée au sens de l’alinéa 2 n’est pas exhaustive; il s’agit
uniquement des informations minimales à fournir dans ce cadre.
Le responsable du traitement est libre de décider s’il préfère indiquer les
destinataires ou les catégories de destinataires. Comme dans l’UE158, les
sous-traitants font partie des destinataires au sens de la disposition. Si le
responsable du traitement ne souhaite pas révéler l’identité des destinataires,
il peut se contenter d’indiquer leur catégorie. Le degré de détails de
l’information dépendra du type de données personnelles traitées ainsi que de
la nature et de l’ampleur du traitement. Il est ainsi par exemple possible que
l’on doive informer sur la durée du traitement ou l’anonymisation de
données. Cette souplesse est nécessaire si l’on veut tenir compte de tous les
types de traitements possibles. Elle garantit par ailleurs que seules les
informations nécessaires sont transmises.159.
Al. 3
En cas de communication de données personnelles à l’étranger, le
responsable du traitement doit communiquer en outre à la personne, en sus
des informations mentionnées à l’alinéa 2, le nom de la corporation ou de
l’établissement de droit public auquel elles sont communiquées et, le cas
échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7.
Cet alinéa transpose la solution fédérale au droit genevois existant.
Al. 4
Dans l’hypothèse où les données personnelles ne sont pas collectées
auprès de la personne concernée, le responsable du traitement lui
communique les informations mentionnées aux alinéas 2 et 3 au plus tard 1
mois après qu’il a obtenu les données personnelles. S’il communique les
données personnelles avant l’échéance de ce délai, il en informe la personne
concernée au plus tard lors de la communication. En résumé, le délai est au
maximum d’un mois à partir de l’obtention des données personnelles par le
responsable du traitement, quelle que soit la finalité du traitement. Il ne se
raccourcit que si le responsable du traitement communique les données
personnelles à des destinataires160.

158

Art. 4, par. 9 RGPD.
FF 2017 6565, p. 6668.
160 FF 2017 6565, p. 6670.
159

PL 13347

68/189

Art. 38A
Cet article mentionne les cas dans lesquels le responsable du traitement
est délié du devoir d’information au sens de l’article 38 du présent projet de
loi.
Al. 1
Cet alinéa s’inspire de la nLPD161 et de la Convention 108+162. Le RGPD
contient des règles similaires163.
Conformément à la lettre b, le responsable du traitement est délié du
devoir d’information si le traitement des données est prévu par la loi (tant
formelle que matérielle).
L’information est impossible au sens de la lettre c lorsque la personne
concernée n’est pas identifiable, par exemple parce qu’il s’agit de la photo
d’un inconnu. Cela dit, il ne suffit pas de supposer que l’identification est
impossible. Il faut procéder à un minimum de recherches, dans les limites du
raisonnable164.
Les efforts déployés pour informer la personne concernée sont
disproportionnés au sens de la lettre c dès lors qu’ils paraissent injustifiés par
rapport au bénéfice que la personne concernée retirerait de l’information. Il
faut notamment tenir compte du nombre de personnes concernées.
L’information nécessite par exemple des efforts disproportionnés lorsque des
données sont traitées uniquement à des fins d’archivage d’intérêt public.
L’information de toutes les personnes concernées supposerait régulièrement
des efforts considérables, tout en présentant un intérêt souvent limité en
raison de l’ancienneté des données, par exemple. Cette dernière exception
doit être interprétée de manière restrictive : le responsable du traitement ne
doit pas se contenter d’une supposition. Il doit déployer tous les efforts qu’on
est en droit d’attendre de lui dans le cas d’espèce pour remplir son devoir
d’information. Ce n’est que si ses efforts restent vains que l’on considérera
que l’information n’est pas possible165.
Al. 2
Contrairement à l’alinéa 1, cet alinéa englobe les configurations dans
lesquelles il y a pesée des intérêts. En fonction de la pesée des intérêts, le
responsable du traitement renonce à la communication des informations, la
161

Art. 20.
Art. 8, par. 2 et 3.
163 Art. 14, par. 5.
164 FF 2017 6565, p. 6671.
165 FF 2017 6565, p. 6671.
162

69/189

PL 13347

restreint ou la diffère. Cette disposition doit être interprétée restrictivement.
L’information ne doit pas être limitée au-delà de ce qui est absolument
nécessaire et son motif doit être mis en relation avec l’intérêt à la
transparence du traitement. De manière générale, on choisira la solution la
plus favorable à la personne concernée, garantissant la transparence
maximale du traitement compte tenu des circonstances166.
Cette disposition vise par exemple les cas dans lesquels les informations
concernant le traitement des données personnelles de la personne concernée
contiennent aussi des informations sur des tiers. Dans certains cas, les intérêts
de ce tiers peuvent être lésés par l’accomplissement du devoir
d’information167.
La nLPD mentionne, à titre d’intérêt public prépondérant, la sûreté
intérieure ou extérieure de la Suisse ou le cas où la communication des
informations est susceptible de compromettre une enquête, une instruction ou
une procédure judiciaire ou administrative168.
Art. 38B
A l’instar de l’article 21 nLPD, de la Convention 108+169 et de la directive
(UE) 2016/680170, cet article réglemente le devoir d’informer la personne
concernée en cas de décision individuelle automatisée. Le RGPD171 prévoit
des règles similaires.
L’introduction de la notion de décision individuelle automatisée est
nécessaire car ces décisions sont de plus en plus fréquentes en raison du
développement technologique. Une décision individuelle automatisée
implique en tout cas qu’il n’y ait eu aucune décision prise par une personne
physique sur la base de sa propre évaluation de la situation. Ainsi, il y a
décision individuelle automatisée lorsqu’une exploitation de données a lieu
sans intervention humaine et qu’il en résulte une décision, ou un jugement, à
l’égard de la personne concernée172.
L’expression « décisions individuelles automatisées » ne désigne ainsi
que les décisions pour lesquelles une machine dispose d’un pouvoir
166

FF 2017 6565, p. 6672.
FF 2017 6565, p. 6672.
168 Voir également dans ce cadre l’art. 13, par. 3, de la directive (UE) 2016/680 et
l’art. 23 RGPD.
169 Art. 9, lettre a.
170 Art. 11.
171 Art. 22.
172 FF 2017 6565, p. 6674.
167

PL 13347

70/189

d’appréciation. La machine prend une décision sur la base d’une évaluation
des données personnelles à sa disposition, que la machine les ait « apprises »
ou qu’un être humain les ait programmées. Ainsi, seules les décisions qui
sont entièrement prises par une machine et qui supposent un pouvoir
d’appréciation sont concernées, c’est-à-dire celles qui requièrent une
évaluation ou une interprétation. Le système de contrôle d’accès, qui
déverrouille la porte lorsqu’un badge valable est présenté, ne prend aucune
décision individuelle automatisée car il n’y a pas de place pour
l’interprétation. En outre, aucune décision individuelle automatisée n’est
prise s’il existe un accord préalable avec la banque selon lequel le compte
bénéficie d’une autorisation de découvert jusqu’à 1 000 francs et si le
distributeur automatique de billets applique strictement cette limite. Le
distributeur automatique de billets ne prend pas de décision, il en applique
simplement une. Si, en revanche, la banque laisse son ordinateur déterminer
une limite de découvert individuelle pour chaque client – sur la base de ses
entrées et sorties de paiements – il s’agit d’une décision individuelle
automatisée. Il n’y a pas de décision individuelle automatisée lorsqu’un
ordinateur suggère des limites de découvert individuelles à un employé de
banque, mais que celles-ci sont finalement approuvées par l’employé. Du
point de vue de la protection des données, il s’agit d’un profilage
(l’ordinateur évalue la solvabilité du client concerné de manière entièrement
automatique), mais aucune décision n’est prise de manière automatisée. Dans
ce contexte, le fait qu’une décision prise par une machine soit communiquée
par la machine ou par un être humain (et que l’être humain ne puisse ou ne
doive plus influencer la décision) est sans importance173.
Al. 1
Il n’est pas nécessaire que la personne concernée soit informée de chaque
décision individuelle automatisée, mais seulement lorsque la décision a pour
elle des effets juridiques ou l’affecte de manière significative. De tels effets
sont admis, par exemple, en cas de taxation fiscale automatique. On peut
supposer que la personne concernée est affectée de manière significative
lorsqu’elle est durablement entravée sur le plan économique ou personnel.
Une simple nuisance ne suffit pas174.
Al. 2
A la base des décisions individuelles automatisées se trouvent des
algorithmes. A la demande de la personne ayant fait l’objet d’une telle
décision, le responsable du traitement lui communique la logique et les
173
174

Rosenthal, op. cit., ch. 108.
FF 2017 6565, p. 6674.

71/189

PL 13347

critères à la base de celle-ci. Cette garantie est nécessaire pour permettre à la
personne concernée d’apprécier le bien-fondé de la décision avant
d’éventuellement la contester. Elle est prévue par l'article 9, chiffre 1, lettre d,
de la Convention 108+, qui stipule que toute personne a le droit d’obtenir, à
sa demande, connaissance du raisonnement qui sous-tend le traitement de
données, lorsque les résultats de ce traitement lui sont appliqués. Cette
demande ne suspend toutefois pas le délai prévu à l’alinéa 3.
Al. 3
Cet alinéa introduit la possibilité, pour toute personne ayant fait l’objet
d’une décision individuelle automatisée, de former une réclamation, dans les
30 jours à compter de sa notification, auprès de la même autorité.
Al. 4
Cet alinéa précise que la décision sur réclamation ne peut pas être rendue
de manière automatisée, afin de garantir qu’une personne physique se penche
sur la réclamation.
Al. 5
Cet alinéa réserve les procédures de réclamation prévue par des lois
spéciales.
Art. 39
Cet article a été modifié suite à la suppression de la définition
d’« organe ». Ce terme a ainsi été remplacé par le terme « institution
publique ». De même, suite au changement de terminologie, le terme
« responsable » (au sens de l’art 50 LIPAD) a été remplacé par les termes
« conseillère ou conseiller à la protection des données et à la transparence »
(voir également infra commentaire ad art. 50).
Les renvois de l’alinéa 1, lettre a, ont été modifiés pour correspondre à la
nouvelle structure du présent projet de loi.
L’alinéa 7 a été modifié pour remplacer le consentement « explicite » par
le consentement « exprès », conformément à ce qui a été fait pour la nLPD
(voir également supra commentaire ad art. 35).
Enfin, l’alinéa 11 a été complété afin de prévoir que l’institution publique
requise communique sa décision non seulement aux parties et aux personnes
consultées, mais également à la préposée cantonale ou au préposé cantonal.

PL 13347

72/189

Art. 40
Cet article a été abrogé, dans la mesure où son contenu a été intégré à
l’article 35, alinéa 4 (voir également supra commentaire ad art. 35).
Art. 41
Cette disposition est calquée sur l’article 39 nLPD, afin de faciliter les
futures interprétations par les autorités d’application.
Cette disposition vise 2 situations : premièrement, celle où une institution
publique traite les données qu'elle détient à des fins ne se rapportant pas à des
personnes; deuxièmement, celle où elle communique les données à des
organes de la Confédération ou des cantons, ou encore à des personnes
privées, à des fins de recherche, de planification ou de statistique175.
L’alinéa 1 énonce à quelles conditions une institution publique peut
invoquer le privilège de la recherche; ces conditions sont cumulatives.
Première condition (lettre a) : l’institution publique qui utilise des
données personnelles à des fins de recherche, de planification ou de
statistique doit les rendre anonymes aussitôt que la finalité du traitement le
permet. On entend par rendre anonyme toute démarche visant à empêcher
l'identification des personnes concernées ou à ne rendre celle-ci possible
qu'au prix d'efforts démesurés. En pratique, il arrive fréquemment que le
chercheur, le planificateur ou le statisticien, bien qu'il utilise des données
dépourvues de références à des personnes déterminées, n'entende néanmoins
pas les rendre d'emblée anonymes, car il doit conserver la possibilité de
vérifier exceptionnellement l'identité d'une personne. Lorsqu'il est confronté à
de telles situations, il se doit de coder ou de crypter les données. Il peut, par
exemple, séparer les caractéristiques personnelles des autres données, de telle
sorte qu'il ne soit plus possible de mettre en relation telle donnée avec telle
personne sans passer par le numéro de référence176.
Conformément à la lettre b, l’institution publique ne communique des
données sensibles que sous une forme ne permettant pas d’identifier les
personnes concernées. Cette modification vise à renforcer la protection des
données sensibles. Cette condition est réalisée lorsque les données sont
communiquées sous une forme pseudonymisée, et que la clé pour réidentifier
la personne reste chez celui qui transmet les données (anonymisation
factuelle)177. La « pseudonymisation » constitue ainsi tout traitement de
175

FF 1988 II 421, p. 479.
FF 1988 II 421, p. 480.
177 FF 2017 6565, p. 6699.
176

73/189

PL 13347

données personnelles consistant à remplacer l'ensemble des données
identifiantes par un identifiant neutre (pseudonyme), de telle façon que
celles-ci ne puissent plus être attribuées à une personne concernée précise
sans avoir recours à des informations supplémentaires. Les données
identifiantes doivent être conservées séparément et soumises à des mesures
techniques et organisationnelles afin de garantir que les données personnelles
ne sont pas attribuées à une personne physique identifiée ou identifiable.
Contrairement à l’« anonymisation », la « pseudonymisation » est réversible
(tant qu'une table de correspondance permettant de faire le lien entre le
pseudonyme et les données identifiantes d'une personne existe et est
accessible).
En vertu de la lettre c, l’institution publique qui a collecté les données
doit donner son accord à leur nouvelle transmission à des tiers par le
destinataire originel.
Enfin, les privilèges institués par l'article 41 sont liés à la condition que
les résultats du traitement soient publiés sous une forme ne permettant pas,
selon le cours ordinaire des choses, d'identifier les personnes concernées
(lettre d).
L’alinéa 2 énumère exhaustivement les dispositions du présent projet de
loi qui ne sont pas applicables au traitement de données ne se rapportant pas à
des personnes. Il s'agit d'abord du principe de la compatibilité des buts
institué par l’article 35, alinéa 3, du présent projet de loi. Etant donné que la
recherche, la planification ou la statistique sont des activités sans effet direct
sur les personnes concernées, il n'y a pas lieu d'interdire l'utilisation de
données qui ont été collectées à de toutes autres fins. Pour la même raison,
les institutions publiques pourront traiter des données sensibles ou effectuer
du profilage à des fins de statistique, de recherche ou de planification, ou
encore à tout autre fin ne se rapportant pas à des personnes, sans être tenues
de se conformer aux conditions spéciales instituées par l’article 36, alinéa 2,
du présent projet de loi, pour autant que l’exigence de base légale ou de
traitement nécessaire à l’accomplissement des tâches légales de l’institution
publique (art. 36, al. 1, du présent projet de loi) soit respecté. Il n'est pas
nécessaire non plus que les institutions publiques observent les dispositions
générales sur la communication de données. Il s'ensuit que la communication
de données à des fins ne se rapportant pas à des personnes ne nécessite
aucune base juridique supplémentaire. Il n'est pas non plus exigé que le
destinataire ait absolument besoin des données pour accomplir une tâche
légale, ni que la personne concernée ait donné son consentement. Cela dit, en
vertu de la lettre c, l’institution publique qui a collecté les données doit
donner son accord à leur nouvelle transmission.

PL 13347

74/189

Art. 42, al. 1, phrase introductive
La phrase introductive a uniquement été modifiée pour actualiser le
renvoi (préalablement à l’art. 35, désormais à l’art. 36).
Art. 43
La LIPAD contient déjà, à l’heure actuelle, à son article 43, le catalogue
des fichiers (CATFICH). Selon cette disposition, la préposée cantonale ou le
préposé cantonal dresse et tient à jour un catalogue des fichiers des
institutions publiques, comportant les précisions utiles sur les informations
traitées, la base légale de leur traitement, leur état de validité ou la fréquence
de leur mise à jour et de leur épuration, et leur accessibilité (al. 1). Les
fichiers éphémères ne recensant ni données personnelles sensibles ni profils
de la personnalité sont exemptés de l’enregistrement au catalogue des fichiers
(al. 2). Ce catalogue est public et rendu facilement accessible (al. 3).
Du fait de la disparition de la notion de fichier et de son remplacement
par la notion de traitement, ce catalogue des fichiers est désormais intitulé
registre des activités de traitement des institutions publiques. L’article 43 est
par ailleurs un peu remanié.
La directive (UE) 2016/680178 et le RGPD179 prévoient également un tel
registre.
Al. 1
Comme c’est le cas à l’heure actuelle pour CATFICH, c’est la préposée
cantonale ou le préposé cantonal qui dressera et tiendra à jour le registre des
activités de traitement des institutions publiques. De même, à l’instar de ce
qui est prévu à l’article 43, alinéa 3, dans sa teneur actuelle, ce registre sera
public et rendu facilement accessible.
Al. 2
L’alinéa 2 précise les indications minimales que doit contenir le registre.
Par « catégories des personnes concernées », on entend des groupes
partageant les mêmes caractéristiques. Les catégories des données
personnelles traitées désignent la nature des données (« données sensibles »,
p. ex.)180.

178

Art. 24.
Art. 30.
180 FF 2017 6565, p. 6655
179

75/189

PL 13347

Par « catégories des destinataires », on entend également par là des
groupes partageant les mêmes caractéristiques (« autorités de surveillance »,
p. ex.)181.
La déclaration du registre des activités de traitement doit également
mentionner les autres responsables du traitement, en cas de responsables du
traitement conjoints, ainsi que la répartition des responsabilités entre les
différentes institutions responsables (voir également supra commentaire ad
art. 36B).
Al. 3
L’alinéa 3 énumère quant à lui les indications que les institutions
publiques fournissent à la préposée cantonale ou au préposé cantonal, sur
requête de ces derniers.
S’agissant du « délai de conservation des données », ce délai étant lié,
conformément à l’article 35, aux finalités du traitement, il n’est pas toujours
possible de l’établir avec précision, d’où la mention « dans la mesure du
possible ». S’il n’est pas possible de fournir une indication précise, le registre
doit au moins indiquer les critères selon lesquels ce délai sera fixé182.
En ce qui concerne les « mesures visant à garantir la sécurité des
données personnelles », le but de leur description est de faire apparaître
d’éventuels manquements dans les mesures de sécurité. La mention « dans la
mesure du possible » indique que cette obligation ne s’applique que si les
mesures peuvent être définies de manière suffisamment concrète183.
Si les destinataires sont à l’étranger, la préposée cantonale ou le préposé
cantonal doit en outre pouvoir savoir si les conditions d’une communication à
l’étranger sont remplies. La lettre c prévoit donc que les informations
communiquées doivent en tous les cas mentionner le nom de la corporation
ou de l’établissement de droit public étranger destinataire, et, le cas échéant,
les exceptions prévues à l’article 39, alinéa 7.
Les institutions publiques devront également communiquer à la préposée
cantonale ou au préposé cantonal, à sa requête, l'identité et les coordonnées
de leurs sous-traitants.
Al. 4
Comme mentionné ci-dessus, à l’heure actuelle, l’article 43, alinéa 2
LIPAD prévoit que les fichiers éphémères ne recensant ni données
personnelles sensibles ni profils de la personnalité n’ont pas à être déclarés
181

Ibid.
Ibid.
183 Ibid.
182

PL 13347

76/189

dans CATFICH. Du fait de la disparition de la notion de « fichier » et afin de
permettre au Conseil d’Etat de prévoir des exceptions à l’obligation de
déclarer pour certaines catégories de traitements à des fins administratives
internes qui ne présentent manifestement pas de risques pour les droits des
personnes concernées, l’article 43, alinéa 2, actuel, est remplacé par cet
alinéa.
Art. 44 et 45
Ces articles reprennent la notion du droit d’accès déjà connue dans la
LIPAD actuelle, en l’adaptant à l’évolution du droit supérieur.
Art. 44
Cet article énonce les principes du droit d’accès. La nLPD184, la
Convention 108+185, la directive (UE) 2016/680186 et le RGPD187 contiennent
des dispositions similaires.
Le droit d’accès complète l’obligation d’informer du responsable du
traitement. Il est la clé qui permet à la personne concernée de faire valoir les
droits que lui octroie la loi.
Al. 1
L’alinéa 1 dispose que toute personne physique ou morale de droit privé
peut demander par écrit au responsable du traitement, en s’adressant à la
conseillère ou au conseiller à la protection des données et à la transparence
(au sens de l’art. 50) de ce dernier, si des données personnelles la concernant
sont traitées. En effet, conformément aux travaux préparatoires de la
LIPAD188 actuelle, il est précisé que seule une personne physique ou morale
de droit privé se voit conférer des droits en relation avec ses propres données
personnelles. Le but de la loi n’est pas de conférer aux institutions de droit
public qui lui sont soumises des droits spécifiques à cet égard. Il est dès lors
précisé que ce catalogue de droits ne concerne que les personnes de droit
privé.
Le droit d’accès appartient ainsi à toute personne physique ou morale de
droit privé et ne dépend d’aucun intérêt particulier. Cela signifie qu’il n’y a
aucune restriction liée à la nationalité, au domicile ou à l’âge, voire à la
184

Art. 25.
Art. 9, par. 1, lettre b.
186 Art. 14.
187 Art. 15.
188 PL 9870, exposé des motifs, p.69 ad art. 17.
185

77/189

PL 13347

personnalité du demandeur ou à l’usage qu’il compte faire de ses données. Le
demandeur n’a en outre pas à motiver sa demande.
Par rapport au droit en vigueur, la justification de l’identité est transférée
dans l’article 45 relatif aux modalités. Il est par ailleurs désormais fait
référence au responsable du traitement, par le biais de sa conseillère ou son
conseiller LIPAD, et non plus au responsable LIPAD.
Al. 2
L’alinéa 2 dispose que la personne physique ou morale de droit privé
mentionnée à l’alinéa 1 reçoit les informations nécessaires à la mise en œuvre
de ses droits en matière de protection des données personnelles et pour
garantir la transparence du traitement. A sa demande, elle reçoit du
responsable du traitement les informations listées aux lettres a à f.
Cette disposition met en lumière non seulement le lien étroit qui existe
entre le droit d’accès et le devoir d’informer, mais aussi le but fondamental
du droit d’accès qui est de permettre à la personne concernée de faire valoir
ses droits en matière de protection des données189. En ce sens, cette
disposition limite clairement le droit d’accès : le droit d’accès vise
uniquement à aider une personne concernée à faire valoir ses droits en
matière de protection des données (au moins ses droits pouvant faire l’objet
d’une action en justice) et à garantir la transparence du traitement des
données (p. ex. pour permettre à une personne de choisir de fournir ou non
des données ou de savoir – pour sa tranquillité d’esprit – quelles données une
institution publique détient à son sujet).
Les lettres a à f donnent une énumération non exhaustive des informations
qui doivent être communiquées dans tous les cas à la personne concernée. La
norme générale dans la phrase introductive permet subsidiairement de
demander d’autres informations qui sont nécessaires pour que la personne
physique ou morale de droit concernée puisse faire valoir ses droits en vertu
de la LIPAD et pour garantir la transparence du traitement. Lorsqu’elle traite
des quantités importantes de données sur la personne concernée, la personne
tenue de fournir les renseignements doit pouvoir demander à cette dernière de
préciser sur quelles données ou quelles opérations de traitement porte sa
requête190.

189
190

Voir à ce sujet l’ATF 138 III 425, consid. 5.3.
FF 2017 6565, p. 6683.

PL 13347

78/189

Al. 3
Le débiteur du droit d’accès est toujours le responsable du traitement. Le
fait que celui-ci confie le traitement à un sous-traitant ne change rien à cet
égard.
Lorsque la personne concernée adresse une demande d’accès directement
au sous-traitant, celui-ci doit lui indiquer le nom du responsable du traitement
ou transmettre sa demande à ce dernier. S’il n’est pas tenu, en pareil cas, de
renseigner lui-même la personne concernée, le sous-traitant ne doit pas non
plus entraver l’exercice du droit d’accès191.
Al. 4
Le droit d’accès est un droit subjectif inhérent à la personne, que même
une personne qui n’a pas l’exercice des droits civils mais qui est capable de
discernement peut faire valoir seule, sans avoir à requérir le consentement de
son représentant légal. Le fait que ce droit est inhérent à la personne a pour
conséquence que nul ne peut y renoncer par avance192.
Art. 45
Cet article énonce les modalités du droit d’accès. Cette disposition existe
déjà dans la LIPAD actuelle, mais a été légèrement remaniée, à l’instar de
l’article 44.
Al. 1
La justification de l’identité figurait déjà dans l’article 44 de la LIPAD
actuelle. Elle a été regroupée avec les autres dispositions concernant les
modalités du droit d’accès par souci de cohérence.
Al. 2
L’article 45 dans sa teneur actuelle prévoit que la communication des
données et informations doit être faite sous une forme intelligible et, en règle
générale, par écrit et gratuitement. Cette formulation a été légèrement
remaniée et prévoit désormais que les renseignements sont, en règle générale,
fournis par écrit sur un support physique ou électronique. En accord avec le
responsable du traitement, la personne physique ou morale de droit privé
concernée peut consulter ses données sur place.

191
192

FF 2017 6565, p. 6684.
FF 2017 6565, p. 6682.

79/189

PL 13347

Al. 3
L’article 44, alinéa 3, dans sa teneur actuelle prévoit que la satisfaction
d’une demande impliquant un travail disproportionné peut être subordonnée
au paiement préalable d’un émolument. De même, l’article 45 dans sa teneur
actuelle prévoit que la communication de ces données et informations doit
être faite sous une forme intelligible et, en règle générale, par écrit et
gratuitement. L’article 45, alinéa 3, du présent projet de loi regroupe ces 2
dispositions et prévoit désormais que le responsable du traitement fournit
gratuitement les renseignements demandés. Le Conseil d’Etat peut toutefois
prévoir des exceptions, notamment si la communication de l’information
implique un travail disproportionné. Cette disposition est calquée sur l’article
25, alinéa 6 nLPD.
Al. 4
Cette disposition est calquée sur l’article 25, alinéa 7 nLPD et prévoit
qu’à moins que des circonstances exceptionnelles ne le justifient, le
responsable du traitement doit fournir les renseignements demandés dans un
délai de 30 jours.
Art. 47, al. 2
Le présent projet de loi modifie certaines lettres de l’alinéa 2.
A la lettre a, il ajoute la notion d’effacement, qui a également été ajoutée
dans la liste exemplative des traitements (voir supra commentaire ad art. 4).
Les lettres d et e sont simplement adaptées à l’inversion, dans le présent
projet de loi, des articles 35 et 36.
A toutes fins utiles, il sera rappelé que, conformément aux travaux
préparatoires de la LIPAD actuelle193, le droit d’obtenir des institutions les
actions sollicitées n’existe que « sauf disposition légale contraire », afin de
réserver notamment aussi bien les règles particulières de la loi sur les
archives publiques, du 1er décembre 2000 (LArch; rs/GE B 2 15), relatives à
la destruction des dossiers, que celles de la loi sur la santé, du 7 avril 2006
(LS; rs/GE K 1 03), en particulier l’article 57 de cette dernière qui traite de la
conservation du dossier du patient.

193

PL 9870, exposé des motifs, p. 70 ad art. 17.

PL 13347

80/189

Art. 49
Cet article reprend l’actuel article 49 LIPAD en le modifiant.
A l’alinéa 1, suite à la suppression de la définition d’« organe », ce terme
a ainsi été remplacé par les termes « responsable du traitement ».
Par ailleurs, comme cela sera exposé plus en détail ci-après (voir infra
commentaire ad art. 56C), la préposée cantonale ou le préposé cantonal aura
désormais de nouveaux pouvoirs d’intervention et d’investigation,
conformément aux exigences de la Convention 108+ et de la directive (UE)
2016/680. Le RGPD prévoit également ces exigences. Cela a pour
conséquence que la préposée cantonale ou le préposé cantonal aura désormais
le pouvoir de rendre des décisions à l’encontre des institutions.
De ce fait, par souci de cohérence de l’activité de la préposée cantonale
ou du préposé cantonal, le présent projet de loi prévoit de supprimer la
procédure de recommandation de la préposée cantonale ou du préposé
cantonal dans le cadre de l’article 49 LIPAD.
Les alinéas 3 à 5 sont ainsi abrogés.
L’alinéa 2 est modifié suite au changement terminologique des
responsables LIPAD en « conseillères et conseillers à la protection des
données et à la transparence » au sens de l’article 50 LIPAD.
L’alinéa 3 (ancien al. 6) est modifié pour prévoir que l’institution statue
par voie de décision dans les 30 jours sur les prétentions de la requérante ou
du requérant. La pratique a en effet démontré que l’appréciation desdites
prétentions nécessite un examen approfondi qui dépasse souvent, voire
toujours, les 10 jours. Comme actuellement, ce délai de 30 jours constitue un
délai d’ordre.
Art. 50
Cet article reprend l’actuel article 50 LIPAD en le modifiant légèrement.
Al. 1
La LIPAD actuelle prévoit déjà que des responsables ayant une formation
appropriée et les compétences utiles doivent être désignés au sein des
institutions, pour y garantir une correcte application de la LIPAD. Les
travaux préparatoires de la LIPAD actuelle précisaient à cet égard que les
responsables des institutions sont la cheville ouvrière du nouveau dispositif.
Ce constat renforce la nécessité de mettre un soin tout particulier dans la
désignation des responsables et leur organisation, afin de faciliter autant que
faire se peut l’efficacité de leur action. On ne saurait ici définir de manière
trop rigide les compétences et le niveau de formation attendu des futures et

81/189

PL 13347

futurs responsables, tant les institutions ont des moyens en personnel et en
budget qui peuvent se révéler différents. Poser des exigences trop élevées
quant à la formation appropriée des responsables alors qu’une petite
institution ne peut immédiatement les satisfaire serait contre-productif. En
revanche, la nécessité d’une formation continue et l'appui de la préposée
cantonale ou du préposé cantonal à cet égard seront des atouts
supplémentaires auxquels chaque institution pourra recourir194.
La terminologie est toutefois adaptée au droit fédéral, les responsables
LIPAD étant désormais dénommés « conseillères et conseillers à la
protection des données et à la transparence », à l’instar de la nLPD195 et du
P-OLPD196. Cette fonction est également prévue dans la directive (UE)
2016/680197 et le RGPD, sous l’appellation « délégué à la protection des
données ». Elle est également mentionnée dans le rapport explicatif de la
Convention 108+198.
Al. 2
Cet alinéa prévoit, à l’instar du droit européen199 et du droit fédéral200, que
plusieurs institutions publiques pourront désigner ensemble une conseillère
ou un conseiller LIPAD, afin de tenir compte des différences de tailles et de
moyens des différentes institutions publiques.
Al. 3
Cet alinéa est repris de la LIPAD actuelle et a été complété suite à la
proposition d’inclure la Cour des comptes dans les institutions soumises à la
LIPAD.
Al. 4
Cet alinéa est repris de la LIPAD actuelle et modifié en lien avec les
nouvelles compétences de la préposée cantonale ou du préposé cantonal
incluse à l’article 56C (voir infra commentaire ad art. 56C). Il prévoit
désormais que le Conseil d’Etat prescrit par substitution les mesures et les
procédures nécessaires à une correcte application du titre III du présent projet

194

PL 9870, exposé des motifs, p. 74 ad art. 21.
Art. 10, al. 4.
196 Art. 27 à 30.
197 Art. 32 à 34.
198 Rapport explicatif de la Convention 108+, ch. 87 ad art. 10.
199 Art. 32, ch. 3, de la directive (UE) 2016/680; le RGPD contient une disposition
similaire à l’art. 37, ch. 3.
200 Art. 25 de l’ordonnance fédérale sur la protection des données, du 31 août 2022
(OPDo).
195

PL 13347

82/189

de loi, si une instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps
utile après avoir été mise en demeure de le faire.
Al. 6
Cet alinéa a été modifié pour tenir compte de la nouvelle terminologie de
l’article 50.
Art. 51
Cet article reprend l’actuel article 51 LIPAD en le complétant et en le
modifiant.
Al. 1 et 2
Ces alinéas introduisent la notion de conseillère et conseiller LIPAD, et
en décrivent la fonction de manière générale. Ainsi, ces alinéas précisent que
les conseillères et conseillers LIPAD :
– sont les interlocuteurs privilégiés (de par leur formation et leurs
compétences, et par opposition à interlocuteur unique) des personnes
concernées et de la préposée cantonale ou du préposé cantonal pour tout
ce qui a trait au traitement des données personnelles et à la transparence
de leur institution publique (al. 1);
– assument une fonction de conseil et de soutien (al. 2);
– sont associés de manière appropriée aux activités de traitement (al. 2).
Al. 3
Cet alinéa vient préciser les deux premiers alinéas et les tâches
accomplies par les conseillères et conseillers LIPAD.
Outre la fonction de conseil et soutien aux membres de leur institution
publique en matière de protection des données, elles et ils donnent également
à ces derniers les instructions utiles sur le traitement des données
personnelles nécessaires à l’accomplissement de leurs tâches légales ou des
demandes d’accès aux documents en matière de transparence (lettre a; cette
disposition est reprise de l’article 51, alinéa 2, lettre b, de la LIPAD actuelle).
Ils doivent également concourir à l’établissement de l’analyse d’impact
relative à la protection des données (lettre b; voir également supra
commentaire ad art. 37B concernant l’analyse d’impact) et communiquer à la
préposée cantonale ou au préposé cantonal les activités de traitement de
l’institution publique au sens de l’article 43 du présent projet de loi, ainsi que
leurs mises à jour régulières (lettre c; voir également supra commentaire ad
art. 43 concernant le registre des activités de traitement). Enfin, ils sont
chargés d’annoncer à la préposée cantonale ou au préposé cantonal la

83/189

PL 13347

violation de la sécurité des données personnelles pour le compte du
responsable du traitement (lettre d; voir également supra commentaire ad art.
37C).
Al. 4
Cette disposition est reprise de l’article 51, alinéa 2, de la LIPAD actuelle.
Al. 5
Cette disposition est reprise de l’article 51, alinéa 1, de la LIPAD actuelle.
Art. 52, al. 2 et 3
Ces alinéas sont repris de l’article 56, alinéas 6 et 7, de la LIPAD actuelle
et regroupés dans cet article dans la mesure où ils concernent également la
thématique de la « coordination ».
Art. 55A
Cette disposition est calquée sur l’article 48 nLPD.
Elle prévoit que la préposée cantonale ou le préposé cantonal doit
s’assurer, par des mesures de contrôle appropriées portant notamment sur la
sécurité des données personnelles, du respect et de la bonne application en
son sein des dispositions de la LIPAD.
Art. 56 et 56A
Pour faciliter la lecture, et dans la mesure où les compétences de la
préposée cantonale ou du préposé cantonal LIPAD ont été étoffées, le présent
projet de loi propose de séparer l’article 56 de la LIPAD actuelle en 2 volets,
l’un en matière d’information du public et d’accès aux documents (art. 56),
l’autre en matière de protection des données personnelles (art. 56A).
Art. 56
Cet article reprend la teneur de l’article 56, alinéas 1 et 2, de la LIPAD
actuelle. Seule une modification formelle a été apportée à ces derniers, du fait
que cet article ne concerne désormais plus que le volet de l’information du
public et l’accès aux documents.

PL 13347

84/189

Art. 56A
Cet article reprend la teneur de l’article 56, alinéa 3, de la LIPAD
actuelle. Par parallélisme avec l’article 56, alinéa 1, du présent projet de loi,
l’alinéa 1 de l’article 56A du présent projet de loi introduit, de manière
générale, la mission de la préposée cantonale ou du préposé cantonal en
matière de protection des données personnelles.
Cette disposition adapte par ailleurs la terminologie aux modifications
apportées dans le présent projet de loi par rapport à la loi actuelle (disparition
de la notion de « fichier » au profit de celle de « traitement », voir également
supra commentaire ad art. 4; remplacement des « responsables » en matière
de protection des données par les « conseillères et conseillers à la protection
des données et à la transparence », voir également supra commentaire ad art.
50).
Art. 56B
Cette disposition prévoit de renforcer les moyens d’intervention de la
préposée cantonale ou du préposé cantonal, conformément aux nouveaux
standards des lois de protection des données, que ce soit la nLPD201, la
Convention 108+202, la directive (UE) 2016/680203 ou encore le RGPD204.
Al. 1 et 4
En vertu de l’alinéa 1, la préposée cantonale ou le préposé cantonal peut
effectuer, d’office ou sur dénonciation, un contrôle auprès d’une institution
publique ou d’un sous-traitant afin de vérifier qu’ils respectent les
dispositions de protection des données.
La préposée cantonale ou le préposé cantonal peut décider librement des
contrôles qu’il opère et de la suite à donner à une dénonciation (al. 1,
deuxième phrase), à l’instar du préposé fédéral qui peut renoncer à ouvrir une
enquête lorsque la violation des prescriptions de protection des données est
de peu d’importance ou s’il considère que la fourniture de conseils au
responsable du traitement concerné peut constituer une mesure suffisante
pour remédier à une situation en soi peu problématique205.
Le dénonciateur peut être un tiers ou la personne concernée. Toutefois,
même dans le cas où le dénonciateur est la personne concernée, cette dernière
201

Art. 49 nLPD.
Art. 15, par. 2, letres. a à d.
203 Art. 47, par. 2.
204 Art. 58, par. 2.
205 FF 2017 6565, p. 6706.
202

85/189

PL 13347

n’aura pas qualité de partie à la procédure (cf. art. 56D, al. 2, a contrario),
contrairement aux cas des articles 44, 47 et 49 LIPAD. La préposée cantonale
ou le préposé cantonal sera toutefois tenu de l’informer de la suite donnée à
sa dénonciation (al. 4).
Al. 2 et 3
Ces alinéas traitent du devoir de collaboration des institutions et des soustraitants et de la problématique du secret de fonction, et autres secrets
institués par la loi, qui y est liée.
La préposée cantonale ou le préposé cantonal peut ainsi notamment
demander des renseignements, exiger la production de documents, procéder à
des inspections et se faire présenter des traitements de donner. Il peut
également recourir, au besoin, à des expertes et experts dans les domaines
techniques (al. 2).
Le secret de fonction ne peut pas lui être opposé dans ce cadre. Les autres
secrets institués par la loi sont toutefois réservés (al. 3). Cet alinéa est calqué
sur l’article 131 de la constitution de la République et canton de Genève, du
14 octobre 2012 (Cst-GE; rs/GE A 2 00), applicable à la Cour des comptes,
ainsi que sur les articles 201A, alinéa 7, et 230H, alinéa 3, de la loi portant
règlement du Grand Conseil de la République et canton de Genève, du 13
septembre 1985 (LRGC; rs/GE B 1 01), applicables à la commission de
contrôle de gestion et aux commissions d’enquêtes parlementaires.
Art. 56C
Cette disposition a été inspirée de la nLPD206, qui met en œuvre la
directive (UE) 2016/680207 et donne suite aux recommandations des
évaluateurs Schengen de conférer des compétences décisionnelles à la
préposée cantonale ou au préposé cantonal208, qui ont recommandé de
renforcer les pouvoirs d'exécution des autorités cantonales chargées de la
protection des données en les habilitant à prendre directement des décisions
juridiquement contraignantes. La Convention 108+ prévoit également que les
autorités de contrôle disposent du pouvoir de rendre des décisions relatives

206

Art. 51.
Art. 47, par. 2.
208 Décision d'exécution du Conseil arrêtant une recommandation pour remédier aux
manquements constatés lors de l'évaluation de 2018 de l’application, par la Suisse,
de l’acquis de Schengen dans le domaine de la protection des données, du 8 mars
2019.
207

PL 13347

86/189

aux violations de ses propres dispositions et peuvent, notamment, infliger des
sanctions administratives209.
Le RGPD210 contient une disposition similaire, qui énumère par ailleurs
toutes les mesures correctrices que l’autorité de contrôle est habilitée à
prendre. L’octroi d’une compétence décisionnelle à l’autorité de surveillance
est un élément déterminant au sens de l’article 45 RGPD pour décider du
maintien de la décision d’adéquation de la Commission européenne en faveur
de la Suisse211.
L’article 56C laisse une grande marge de manœuvre à la préposée
cantonale ou au préposé cantonal. En effet, cette disposition ne l’oblige pas à
prendre des mesures administratives, mais lui donne la faculté de le faire.
L’article 56C contient 2 catégories de mesures.
Al. 1 et 2
La première catégorie prévoit un catalogue de mesures contre des
traitements de données contraires à des dispositions de protection des
données. Le principe de base de cette réglementation est le respect du
principe de proportionnalité. Ainsi, au lieu d’ordonner la cessation du
traitement, la préposée cantonale ou le préposé cantonal peut ordonner sa
modification et limiter la mesure à la partie du traitement problématique.
Al. 3
La seconde catégorie concerne des cas de non-observation de
prescriptions d’ordre ou de devoirs à l’égard de la personne concernée. Parmi
les compétences décisionnelles qui sont attribuées à la préposée cantonale ou
au préposé cantonal, celle-ci ou celui-ci peut par exemple ordonner à
l’institution publique de se conformer à son devoir d’informer lors de la
collecte des données, conformément à l’article 38 du présent projet de loi, ou
de procéder à une analyse d’impact relative à la protection des données
personnelles au sens de l’article 37B du présent projet de loi. La liste de
l’alinéa 3 n’est pas exhaustive.
Suivant en cela le choix fait par la Confédération pour la nLPD, la
préposée cantonale ou le préposé cantonal ne disposera pas du pouvoir de
prononcer des sanctions administratives à l’encontre des institutions212.

209

Art. 15, par. 2, lettre c.
Art. 58, par. 2.
211 FF 2017 6565, p. 6707.
212 FF 2017 6565, p. 6589.
210

87/189

PL 13347

Al. 4
Cet alinéa prévoit, suite à l’abrogation de l’alinéa 3 de l’article 50 suite
aux nouvelles compétences de la préposée cantonale ou du préposé cantonal,
que si une institution publique ne donne pas suite à l’ordre de cette dernière
ou ce dernier, au sens de l’alinéa 3, elle ou il peut saisir les instances
compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par
substitution les mesures nécessaires.
Art. 56D
Cette disposition prévoit que la procédure est régie par la loi sur la
procédure administrative, du 12 septembre 1985 (LPA; rs/GE E 5 10) (al. 1).
L’alinéa 2 prévoit que l’institution publique visée par une décision de la
préposée cantonale ou du préposé cantonal a qualité pour recourir contre
celle-ci. Par conséquent, seule celle-ci peut recourir contre les mesures
prononcées contre elle par la préposée cantonale ou le préposé cantonal.
La personne concernée n’a pas qualité de partie à la procédure, même si
la préposée cantonale ou le préposé cantonal a ouvert l’enquête sur
dénonciation de celle-ci (voir supra commentaire ad art. 56B). Dans la
mesure où la personne concernée entend faire valoir des prétentions d’une
institution publique responsable du traitement, elle doit procéder selon
l’article 47 du présent projet de loi, en recourant le cas échéant contre la
décision de l’institution publique responsable du traitement auprès de la
chambre administrative de la Cour de justice.
Art. 56E
Cette disposition, nouvelle, règle la collaboration entre les autorités
cantonales, fédérales et étrangères chargées de la protection des données.
La Convention 108+213 prévoit également que les autorités de contrôle
coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs
fonctions et l’exercice de leurs pouvoirs, notamment :
a) en s’accordant mutuellement une assistance par l’échange d’informations
pertinentes et utiles et en coopérant entre elles, à condition qu’en ce qui
concerne la protection des données à caractère personnel toutes les règles
et garanties de la Convention 108+ soient respectées;
b) en coordonnant leurs investigations ou interventions, ou en menant des
actions conjointes;
213

Art. 17.

PL 13347

88/189

c) en fournissant des informations et des documents sur leur droit et sur
leurs pratiques administratives en matière de protection des données.
La directive (UE) 2016/680214 et le RGPD215 contiennent des dispositions
similaires.
Art. 59, lettre a
Cette lettre a uniquement été modifiée pour actualiser le renvoi à l’article
50 (préalablement art. 50, al. 2, désormais art. 50, al. 3).
Art. 68, al. 8
Cet alinéa est calqué sur l’article 69 nLPD. Il prévoit, à l’instar du droit
fédéral, que les dispositions relatives à la protection des données dès la
conception et par défaut et celles relatives aux analyses d’impact ne
s’appliquent pas aux traitements qui ont débuté avant l’entrée en vigueur du
présent projet de loi, pour autant que les finalités du traitement restent
inchangées et que de nouvelles données ne soient pas collectées.
Modifications à d’autres lois
1.

Loi instituant les numéros d’identification personnels communs, du
20 septembre 2013 (LNIP; rs/GE A 2 09)
L’article 1 de la loi instituant les numéros d’identification personnels
commun a uniquement été modifié pour actualiser le renvoi (préalablement à
l’art. 4, lettre i LIPAD et désormais à l’art. 4, lettre n).
2.

Loi générale relative au personnel de l'administration cantonale,
du pouvoir judiciaire et des établissements publics médicaux, du
4 décembre 1997 (LPAC; rs/GE B 5 05)
Est introduite, au sein de la LPAC, une base légale spécifique relative au
traitement, par les employeurs, de données personnelles, y compris sensibles.
L’alinéa 1 rappelle ainsi que le traitement des données ne peut s’effectuer
que dans la mesure nécessaire à la réalisation des tâches assignées aux
employeurs par la LPAC.

214
215

Art. 50.
Art. 61.

89/189

PL 13347

L’alinéa 2 explicite dans quels buts l’employeur peut traiter des données
au sens de la LIPAD. La liste est exemplative, mais couvre les tâches
principales de l’employeur, étant entendu que le traitement de telles données
doit s’effectuer dans la mesure nécessaire à la réalisation des tâches qui lui
sont assignées.
L’alinéa 3 donne une base légale à l’établissement – lors de recrutements
– de tests de personnalité ou au recours au profilage. L’accord de la personne
candidate est nécessaire et les résultats de ces tests ou du profilage doivent
être détruits dans un délai de 12 mois, afin de se conformer à l’article 35,
alinéa 4, du présent projet de loi.
L’alinéa 4 prévoit la possibilité du traitement des données visées à
l’alinéa 1 par un système d’information. Il s’agit notamment, au sein de
l'administration cantonale, du système SIRH.
Enfin, conformément à l’alinéa 5, le règlement d’application de la loi
générale relative au personnel de l’administration cantonale, du pouvoir
judiciaire et des établissements publics médicaux, du 24 février 1999 (RPAC;
rs/GE B 5 05.01), pourra préciser les modalités relatives au traitement des
données précitées.
3.

Loi sur la Haute école spécialisée de Suisse occidentale – Genève,
du 29 août 2013 (LHES-SO-GE; rs/GE C 1 26)
Est introduite, au sein de la loi régissant la HES-SO Genève, une base
légale spécifique relative au traitement de données personnelles, y compris
sensibles, et au profilage, par ladite institution, dans la mesure nécessaire à la
réalisation de sa mission de recherche scientifique fondamentale et appliquée.
Il est relevé qu'un tel ajout a été recommandé par le préposé cantonal à la
protection des données et à la transparence.
Les dispositions de la loi fédérale relative à la recherche sur l'être humain,
du 30 septembre 2011 (LRH; RS 810.30), tout comme celles de la LIPAD,
ainsi que celles de leurs réglementations d’application respectives, sont
toutefois réservées.
4. Loi sur l’université, du 13 juin 2008 (LU; rs/GE C 1 30)
Est introduite, au sein de la loi régissant l'Université de Genève, une base
légale spécifique relative au traitement de données personnelles, y compris
sensibles, et au profilage, par ladite institution, dans la mesure nécessaire à la
réalisation de sa mission de recherche scientifique fondamentale et appliquée.

PL 13347

90/189

Il est relevé qu'un tel ajout a été recommandé par le préposé cantonal à la
protection des données et à la transparence.
Les dispositions de la LRH, tout comme celles de la LIPAD, ainsi que
celles de leurs réglementations d’application respectives, sont toutefois
réservées.
5.

Loi sur la formation continue des adultes, du 18 mai 2000 (LFCA;
rs/GE C 2 08)
L’article 11A LFCA a uniquement été modifié pour actualiser le renvoi
(préalablement à l’art. 35, al. 1 LIPAD et désormais à l’art. 36, al. 1).
6.

Loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv; rs/GE
D 1 09)
L’inclusion de la Cour des comptes parmi les institutions soumises à la
LIPAD nécessite de modifier l’article 34 LSurv afin de préciser les contours
des modalités du volet transparence dans le cadre de la révision des états
financiers individuels et consolidés de l’Etat de Genève.
L’article 34 LSurv est ainsi modifié afin de prévoir que les
communications écrites complémentaires aux états financiers individuels et
consolidés de l’Etat de Genève ne peuvent pas faire l’objet d’une demande
d’accès aux documents au sens de la LIPAD. La même règle s’applique aux
documents relatifs à d'autres entités reçus par la Cour des comptes dans le
cadre de la révision des états financiers individuels et consolidés de l'Etat de
Genève.
7. Loi sur la santé, du 7 avril 2006 (LS; rs/GE K 1 03)
L’article 122B LS a uniquement été modifié pour actualiser le renvoi
(préalablement à l’art. 35, al. 1 LIPAD et désormais à l’art. 36, al. 1).
8.

Loi sur les établissements publics médicaux, du 19 septembre 1980
(LEPM; rs/GE K 2 05)
Est introduite, au sein de la LEPM, une base légale spécifique relative au
traitement de données personnelles, y compris sensibles, et au profilage, par
les HUG, dans la mesure nécessaire à la réalisation de leur mission de
recherche médicale fondamentale et clinique.
Un tel ajout été recommandé par le préposé cantonal à la protection des
données et à la transparence pour ce qui concerne l'Université de Genève et la

91/189

PL 13347

HES-SO Genève. Cet ajout se justifie également pour ce qui concerne les
HUG, la recherche faisant partie de leurs activités (art. 2, al. 2, lettre b
LEPM) et la LEPM ne contenant pas, à ce jour, de dispositions spécifiques
sur le traitement de données personnelles sensibles ou sur le profilage dans le
cadre d’une étude médicale.
Les dispositions de la LRH, tout comme celles de la LIPAD, ainsi que
celles de leurs réglementations d’application respectives, sont toutefois
réservées.
Au bénéfice de ces explications, nous vous remercions de réserver un bon
accueil au présent projet de loi.

Annexes :
1) Planification des charges et revenus de fonctionnement découlant du
projet
2) Préavis financier
3) Avis du préposé cantonal à la protection des données et à la transparence
4) Rapport sur les retours de consultation. Le tableau détaillé de toutes les
prises de position n’est pas joint au présent PL pour des raisons de taille
mais il est disponible sur le site Internet de l’Etat à l’adresse suivante :
https://www.ge.ch/node/32494
5) Détermination de l’Association des communes genevoises
6) Tableau comparatif

PL 13347

92/189

ANNEXE 1

93/189

PL 13347

ANNEXE 2

PL 13347

94/189

95/189

PL 13347

ANNEXE 3

PL 13347

96/189

97/189

PL 13347

PL 13347

98/189

99/189

PL 13347

PL 13347

100/189

101/189

PL 13347

PL 13347

102/189

103/189

PL 13347

PL 13347

104/189

105/189

PL 13347

PL 13347

106/189

107/189

PL 13347

PL 13347

108/189

109/189

PL 13347

PL 13347

110/189

111/189

PL 13347

PL 13347

112/189

113/189

PL 13347

PL 13347

114/189

115/189

PL 13347

PL 13347

116/189

ANNEXE 4

REPUBLIQUE ET CANTON DE GENEVE
Chancellerie d'Etat

6 juin 2023
__________________________________________________________________________

Révision de la loi sur l'information du public, l'accès aux
documents officiels et la protection des données
personnelles (LIPAD)
Rapport sur les résultats de la procédure de consultation
__________________________________________________________________________

1

117/189

PL 13347

Table des matières
1.

2.
3.

Contexte.........................................................................................................................4
1.1.

Adaptation au droit supérieur en matière de protection des données .......................4

1.2.

La préparation de l'avant-projet de loi.......................................................................4

Procédure de consultation ...........................................................................................5
Résultats de la procédure de consultation..................................................................5
3.1.

Les participantes et participants ...............................................................................5

3.2.

Remarques générales ..............................................................................................5

3.3.

Avis sur les différentes propositions .........................................................................7

3.3.1.

Proposition 1: Modifications apportées au champ d’application de la loi...7

3.3.1.A.

La Cour des comptes ..................................................................................7

3.3.1.B.

Les personnes physiques ou morales et organismes de droit privé chargés
de tâches publiques ....................................................................................8

3.3.1.C.

La BCGE.....................................................................................................9

3.3.2.

Proposition 2: Modifications apportées à l’article relatif aux définitions ..10

3.3.3.

Proposition 3: Inclusion d’un principe de coordination en cas de
demandes d’accès multiples.........................................................................10

3.3.4.

Proposition 4: Modification des dispositions relatives aux grands
principes de la protection des données et à la notion de base légale, et
inclusion du consentement...........................................................................11

3.3.4.A.

Les grands principes .................................................................................11

3.3.4.B.

La base légale...........................................................................................12

3.3.4.C.

La base légale...........................................................................................14

3.3.5.

Proposition 5: Inclusion des notions du traitement de données
personnelles conjoint et de sous-traitant ....................................................15

3.3.5.A

Le traitement de données personnelles conjoint .......................................15

3.3.5.B

Les sous-traitants......................................................................................16

3.3.6.

Proposition 6: Inclusion des notions de protection des données dès la
conception et par défaut, de règles concernant la sécurité des données et
la violation de cette même sécurité, ainsi que la notion d’analyse d’impact
........................................................................................................................18

3.3.6.A.

La protection des données dès la conception et par défaut.......................18

3.3.6.B.

La sécurité des données personnelles ......................................................19

3.3.6.C.

Analyse d’impact .......................................................................................21

3.3.6.D.

Violation de la sécurité des données.........................................................21

3.3.7.

Proposition 7: Devoir d’informer la personne concernée et droits de la
personne concernée en cas de décision individuelle automatisée............22

3.3.7.A.

Devoir d’informer la personne concernée..................................................22

3.3.7.B.

Droits de la personne concernée en cas de décision individuelle
automatisée ..............................................................................................23

3.3.8.

Proposition 8: Modification de la norme relative aux traitements à des fins
générales ne se rapportant pas à des personnes .......................................24
2

PL 13347

3.3.9.

118/189

Proposition 9: Registre des activités de traitement en remplacement du
catalogue des fichiers ...................................................................................26

3.3.10. Proposition 10: Droit d’accès aux données personnelles, prétentions et
mise en œuvre ...............................................................................................27
3.3.11. Proposition 11: Conseillères et conseillers LIPAD et PPDT .......................28
3.3.11.A. Les conseillères et conseillers LIPAD........................................................28
3.3.11.B. Les PPDT .................................................................................................29
3.3.12. Proposition 12: Modifications à d’autres lois ..............................................31
3.3.12.A. Modification à la loi sur la Haute école spécialisée de Suisse
occidentale – Genève ...............................................................................31
3.3.12.B. Modification à la loi sur l’Université ...........................................................31
3.3.12.C. Modification à la loi sur les établissements publics médicaux....................32
3.3.13. Remarques générales de certaines participantes et certains participants...
........................................................................................................................33
4.

Consultation des documents .....................................................................................33

5.

Annexes .......................................................................................................................33

3

119/189

PL 13347

1. Contexte
1.1. Adaptation au droit supérieur en matière de protection des données
L'avant-projet de modification de la loi sur l’information du public, l’accès aux documents et la
protection des données (ci-après : APL LIPAD) consiste majoritairement en une adaptation au
droit supérieur contraignant, soit la mise en conformité avec:
•
•

la Convention modernisée du Conseil de l’Europe pour la protection des personnes à
l’égard du traitement des données à caractère personnel (Convention 108+) 1;
la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel par les autorités compétentes à des
fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces
données (acquis de Schengen). 2

L'avant-projet de loi a également pour objectif de conférer à la loi genevoise un « niveau de
protection adéquat » au sens du règlement (UE) 2016/679 relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel et à la libre circulation
de ces données (RGPD), au cas où le droit genevois était choisi aléatoirement par la
Commission européenne pour déterminer si la Suisse dispose d’un tel niveau de protection
des données (décision d’adéquation).
La Confédération et les cantons sont en effet tenus de transposer dans leur législation les
dispositions de la législation européenne en matière de protection des personnes à l’égard du
traitement des données à caractère personnel (Convention 108+ du Conseil de l'Europe et
acquis de Schengen). La Confédération a déjà procédé à cette transposition dans la nouvelle
loi fédérale sur la protection des données, du 25 septembre 2020 (nLPD), qui entrera en
vigueur le 1er septembre 2023. La nLPD reprend également les dispositions de la directive
Schengen et se rapproche autant que possible du RGPD, dans la mesure où la compatibilité
avec ce dernier sera un élément important en vue de la prochaine décision d’adéquation du
droit suisse à la règlementation européenne.
1.2. La préparation de l'avant-projet de loi
L'avant-projet de loi a été élaboré par la direction des affaires juridiques de la chancellerie
d’Etat sous l’égide du groupe interdépartemental LIPAD/RIPAD qu’elle préside. Ce groupe de
travail est constitué des responsables LIPAD départementaux. Le juriste de l’office cantonal
des systèmes d’information et du numérique a également participé aux travaux 3. Le groupe
de travail a également bénéficié de la collaboration ponctuelle du préposé cantonal et de la
préposée adjointe.
Afin de faciliter l’interprétation à l’avenir des dispositions de la LIPAD, le groupe de travail a
pris le parti de calquer autant que possible les modifications de la LIPAD sur la nLPD, tout en
gardant les spécificités cantonales jugées nécessaires et opportunes.
L'avant-projet comprend en outre certaines modifications indépendantes de cette adaptation
au droit supérieur, qui se sont avérer nécessaires par la pratique, dont notamment l'inclusion
de la Cour des comptes dans le champ d'application de la loi.
1

Décision du Conseil des Ministres du 18 mai 2018 d'adopter le Protocole d’amendement à la Convention pour
la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE
n°108).
2 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016.
3 Cf. art. 21 du règlement d'application de la loi sur l'information du public, l'accès aux documents et la protection
des données personnelles (RIPAD; A 2 08 01).

4

PL 13347

120/189

2. Procédure de consultation
Le Conseil d'Etat a lancé une consultation publique sur cet avant-projet de loi du 6 juillet au
17 octobre 2022.
Au moment du lancement, la chancellerie d'Etat a spécifiquement invité 69 entités à répondre
à la consultation, dont le Pouvoir judiciaire, la Cour des comptes, la commission consultative
en matière de protection des données, de transparence et d’archives publiques, les
établissements de droit publics principaux, l'Université de Genève, la HES-SO Genève, les
communes, l'association des communes genevoises, ainsi que les principaux partis politiques.
La consultation était par ailleurs ouverte à toute personne et institution intéressée.
Afin de faciliter la consolidation des résultats, les entités et personnes intéressées ont été
invitées à répondre à la consultation par le biais d'un questionnaire en ligne Limesurvey.
3. Résultats de la procédure de consultation
3.1. Les participantes et participants
A l'issue du délai, 44 participantes et participants ont répondu à la consultation, à savoir :
-

-

-

17 communes 4 ;
Les 6 établissements publics principaux, soit les Transports publics genevois (TPG),
l'Aéroport international de Genève (AIG), l'Hospice général (HG), les Hôpitaux
universitaires de Genève (HUG), les Services industriels de Genève (SIG), l'Institution
genevoise de maintien à domicile (IMAD);
7 autres établissements publiques, soit la Caisse de prévoyance de l’Etat de Genève
(CPEG), la Banque cantonale de Genève (BCGE), les Etablissements publics pour
l’intégration (EPI), la Haute école spécialisée de Suisse occidentale – Genève (HESSO), la faculté de droit de Université de Genève (UNIGE, faculté de droit), le rectorat
de l’Université de Genève (UNIGE, rectorat) et le Secrétariat des fondations
immobilières de droit public (SFIDP);
4 partis politiques: soit les Vert-e-s genevois-es, le parti Socialiste genevois, l'UDCGenève et le parti le CENTRE Genève;
Le Secrétariat du Pouvoir Judiciaire (PJ (SG));
1 association de droit privée subventionnée et délégataire, soit le Centre de
consultation pour victimes d’infractions (Centre LAVI);
La commission consultative en matière de protection des données, de transparence et
d’archives publiques (CCPDTA);
Le SécuSIGE 5;
L'Union des Associations Patronales Genevoises (UAPG)
5 personnes physiques, dont 3 anonymes.

Quant à l'ACG, elle a informé le Conseil d'Etat qu'elle renonçait à formuler un préavis aux
côtés des communes dans le cadre de cette consultation. A sa demande, le Conseil d'Etat a
accepté que la chancellerie lui présente l'avant-projet de loi après le retour de la consultation
publique puis qu’un nouveau délai lui soit octroyé pour faire part de ses observations. Par
courrier du 4 mai 2023, accompagné d’un tableau comparatif, l’ACG a fait part de ses
déterminations, lesquelles sont annexées au présent rapport.

3.2. Remarques générales
4 Avully, Avusy, Bernex, Carouge, Chêne-Bougeries, Chêne-Bourg, Collonge-Bellerive, Cologny, Gy, Laconnex,

Meinier, Plan-les-Ouates, Presinge, Soral, Vandoeuvres, Veyrier et la Ville de Genève.

5 Comité de sécurité des systèmes d'informations du canton de Genève, institué par arrêté du Conseil d'Etat du 17

janvier 2018, regroupant les responsables de la sécurité de l'information des entités étatiques et paraétatiques
du canton de Genève et présidé par le directeur général des systèmes d'information de l'administration cantonale.

5

121/189

PL 13347

Globalement, l'avant-projet de loi a été bien accueilli, avec une large majorité de participantes
et participants ayant répondu être tout à fait d'accord ou plutôt d'accord avec chacune des
propositions de modifications, sans compter les participantes et participants ne s'étant tout
simplement pas prononcés sur certaines questions.
La disposition sur l’exigence de base légale a été accueillie favorablement par plus de 80%
des participantes et participants. Parmi les opposants, deux communes reprochent à la
disposition d’être trop restrictive et exigeante pour les administrations communales, alors que
deux partis politiques, le parti le Centre et les Vert-e-s genevois-es, estiment au contraire que
la formulation serait trop floue, laissant une trop une marge d’appréciation trop importante aux
autorités.
S’agissant de l’introduction du consentement comme motif justification d'un traitement de
données personnelles, plus de 70% des participantes et participants se sont déclarés tout à
fait d’accord ou plutôt d’accord avec la proposition. Cette disposition a néanmoins suscité de
nombreuses remarques portant notamment sur l’opportunité d’étendre le consentement au
profilage et au traitement de données personnelles dont les finalités ou les modalités sont
susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée
(AIG, SécuSIGE), l’ajout de «l’ incapacité psychique » aux côtés de l’incapacité physique ou
juridique (CCPDTA), la nécessité de réglementer le consentement des mineurs ou des
personnes incapables de discernement (CCPDTA, HES-SO, HUG, le parti le Centre, Mme
Lücker-Babel) ou encore les modalités du retrait du consentement (IMAD, une personne privée
anonyme).
La disposition sur la sous-traitance a également été bien accueillie avec 70% des participantes
et participants tout à fait d’accord ou plutôt d’accord à la proposition. Toutefois, alors que la
CCPDTA regrette que le traitement des données personnelles à l’étranger soit rendu possible
et que le parti Socialiste souhaite que les sous-traitants sur territoire suisse puissent être
favorisés, des critiques importantes - émanant principalement des SIG, de la CPEG, de l'AIG,
du SécuSIGE et de la faculté de droit et du rectorat de l'Université de Genève - reprochent à
la proposition de règlementation d'être trop restrictive s'agissant de l'impossibilité de
communiquer des données à l'étranger vers des pays dont la législation n'assure pas un
niveau de protection adéquate et estiment qu'il est indispensable d'accorder le droit genevois
avec le droit européen et fédéral en matière de communication transfrontière de données. Le
rectorat de l’UNIGE propose également de supprimer la contrainte d’effectuer des audits sur
le site du sous-traitant, estimant qu’un sous-traitant certifié constituerait une garantie plus
convaincante.
Au niveau de la sécurité des données, 80% des participantes et participants se sont déclarées
tout à fait d’accord ou plutôt d’accord à la proposition de disposition. Toutefois, un certain
nombre de participantes et participants, dont l'IMAD, les TPG, la HES-SO, le rectorat de
l'Université de Genève, les Vert-e-s genevois-es, la Ville de Genève, les HUG et le parti le
CENTRE, estiment que la formulation de l'alinéa 2 ("Les mesures doivent permettre d'éviter
toute violation de la sécurité des données") est trop stricte, voire irréaliste, le risque zéro
n'existant pas.
En outre, 77% des participantes et participants sont déclarés tout à fait d’accord ou plutôt
d’accord avec la proposition de disposition sur la violation de la sécurité des données.
Certains, dont la CCPDTA, l’IMAD, les Vert-e-s genevois-es et le parti Socialiste, estiment
toutefois qu’une trop grande marge d’appréciation est laissée à l’autorité s’agissant de
l’obligation d’informer les personnes concernées.
S’agissant des propositions de dispositions concernant la protection des données dès la
conception et par défaut ainsi que les analyses d’impact, elles ont été globalement bien
6

PL 13347

122/189

accueillie sans soulever de problèmes majeurs, de même que les dispositions sur le devoir
d’information la personne concernée et les droits de cette dernières en cas de décision
individuelle automatisée.
La proposition de modification de la norme relative aux traitements à des fins générales ne se
rapportant pas à des personnes a été bien accueillie également (à 80% tout à fait d’accord ou
plutôt d’accord). Parmi les deux seuls opposants, les Vert-e-s genevois-es estiment que la
disposition est trop large et que le PPDT devrait être préalablement informé en cas de données
personnelle sensibles, tandis que le rectorat de l’UNIGE relève que limiter la communication
de données sensibles aux seules entités bénéficiant d’un statut de droit public aurait pour
conséquence d’exclure toute collaboration avec des institutions ou entités relevant du droit
privé.
Concernant le registre des activités de traitement en remplacement du catalogue des fichiers,
63% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord
avec la proposition. La principale critique porte sur les termes « dans la mesure du possible »
figurant aux lettres a et b de l’article 43, alinéa 3 concernant les informations à fournir au PPDT.
Les opposants estiment en effet que cette réserve ne se justifie pas, les informations devant
être transmises dans tous les cas.
S’agissant du droit d’accès à ses données personnelles et des modalités de mise en œuvre,
77% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord
avec les propositions y relatives. Les remarques principales portent sur la nécessité de prévoir
une communication compréhensible et adaptée aux capacités cognitives et numériques des
destinataires ainsi que de reprendre en droit cantonal les exceptions prévues par le droit
fédéral afin notamment d’éviter que le but du droit d’accès soit détourné.
Quant à la fonction de conseiller et conseillère LIPAD, 80% des participantes et participants
se sont déclarés tout à fait d’accord ou plutôt d’accord avec les propositions y relatives. Les
remarques principales portent sur la nécessité de prévoir des formations continues afin
d’assurer une mise à jour de leurs connaissances. Parmi les opposants, les critiques sont de
natures diverses, à savoir les coûts engendrés pour les institutions (Centre LAVI), la lourdeur
des tâches pour les petites institutions (commune de Collonge-Bellerive) ou encore le fait que
cette fonction serait inappropriée pour les entités d’une certaine importance, pour lesquelles
un délégué général LIPAD serait préconisé (Ville de Genève).
Enfin, bien que 68% des participantes et participants se soient déclarés tout à fait d’accord ou
plutôt d’accord avec les propositions de dispositions sur les pouvoirs des PPDT, celles-ci sont
les plus critiquées de l’avant-projet (avec 9 participantes et participants se déclarant ne pas
être d’accord ou pas du tout d’accord), après celle sur le consentement. En substance, les
critiques portent principalement sur l’étendue des pouvoirs accordés au PPDT.
3.3. Avis sur les différentes propositions
3.3.1. Proposition 1: Modifications apportées au champ d’application de la loi
3.3.1.A.

La Cour des comptes

Le champ d'application visé par l’avant-projet de loi inclut désormais la Cour des comptes.
La proposition figure aux articles 3, 13A, 20A et 26 de l’avant-projet, et à l’article 34 de la loi
sur la surveillance de l’Etat, du 13 mars 2014 (LSurv; D 1 09 ; voir article 2, al. 3 souligné :
modifications à d’autres lois).

7

123/189

PL 13347

19 participantes et participants se sont déclarés tout à fait d'accord 6 et 13 participantes et
participants se sont déclarés plutôt d'accord, 7 avec une réserve du parti Socialiste qui estime
que les missions de la Cour des comptes relevant de la loi sur les lanceurs d'alerte (LPLA ; B
5 07) devraient bénéficier du régime d'exception de l'article 3, al. 3 LIPAD.
11 participantes et participants n'ont pas pris position. 8 Une seule entité, la commune de
Cologny, n'est pas du tout d'accord avec la proposition, mais n'a fait aucun commentaire.
3.3.1.B. Les personnes physiques ou morales et organismes de droit privé
chargés de tâches publiques
L'avant-projet de loi propose également d’inclure les personnes physiques ou morales et
organismes de droit privé chargés de tâches publiques dans les entités soumises au volet de
la protection des données. En effet, il convient de considérer que ces derniers agissent en tant
qu’organes de l’Etat et qu’en tant que tels, ils doivent être soumis à la LIPAD dans les limites
de l’accomplissement desdites tâches. Dans le droit actuel, les personnes physiques ou
morales et organismes de droit privé chargés de tâches publiques sont exclus du champ
d’application en vertu de l’article 3, alinéa 4 LIPAD.
La proposition figure à l’article 3 de l’avant-projet.
18 participantes et participants se sont déclarés tout à fait d'accord. 9 Les TPG indique que
s'agissant de tâches publiques, ne pas inclure ces entités de droit privé dans le champ
d'application de la loi reviendrait à créer une distorsion sur le marché. Le parti Socialiste
indique que la nouvelle structure de l'article 3, alinéa 2 reste floue, l'avant-projet semblant
fusionner la phrase introductive de l'alinéa 2 et celle de la lettre a, ce qui peut avoir une
incidence sur le reste du contenu de l'alinéa 2. La faculté de droit de l'UNIGE indique qu'il
paraît logique d'étendre les règles qui s'appliquent à l'Etat lorsque celui-ci charge des
entreprises de droit privé d'exécuter des tâches publiques. Cela permet de garantir davantage
de protection et de transparence dans les activités de l'Etat et d'aligner la loi genevoise sur la
loi et/ou la pratique des autres cantons et l'article 5, lettre i nLPD relatif à la définition d'organe
fédéral.
16 participantes et participants se sont déclarés plutôt d'accord. 10 Le Centre LAVI relève qu'en
tant que personne morale de droit privé chargée de remplir des tâches de droit public cantonal,
cette proposition de modification aura pour conséquence de l'inclure dans le champ
d'application de la LIPAD, volet « protection des données ». Il rappelle également qu'un certain
nombre d'exigences découlent directement de la loi fédérale sur l'aide aux victimes
d'infractions (ci-après: LAVI), notamment le « secret LAVI », prévu à l'article 11, alinéa 1 LAVI,
auquel le droit cantonal ne peut pas déroger. Il souligne enfin que les mesures de protection
des données prévues par le droit cantonal ont un coût important qui devra être évalué pour
toutes les entités subventionnées chargées de tâches de droit public cantonal nouvellement
concernées par l'extension du champ d'application de la LIPAD. Concernant le maintien de la
protection des données des personnes morales, l'AIG considère que le droit cantonal irait
beaucoup plus loin que ce qui est prévu au niveau fédéral et estime que cela ne se justifie pas.
6
La CCPDTA, les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Présinge, Vandoeuvres
et la Ville de Genève, l'HG, les TPG, la HES-SO Genève, Les Vert-e-s genevois-es, le SécuSIGE, l'UNIGE (faculté
de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes privées.
7 Les communes d'Avully, Bernex, Carouge, Collonge-Bellerive, Gy, Laconnex, Meinier, Soral et Veyrier, le parti
Socialiste, l'UDC, la SFIDP et une personne privée.
8 La BCGE, le Centre LAVI, la CPEG, l'AIG, les HUG, l'IMAD, les SIG, les EPI, l'UAPG et une personne privée.
9
La CCPDTA, les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates et Presinge, l'HG, les
SIG, les TPG, la HES-SO, les Vert-e-s genevois-es, le parti Socialiste, l'UNIGE (faculté de droit), l'UNIGE (rectorat),
le PJ (SG) et 3 personnes physiques.
10 Le Centre LAVI, les communes de Bernex, Carouge, Collonge-Bellerive, Gy, Meinier, Vandoeuvres, Veyrier et
la Ville de Genève, l'AIG, les HUG, l'IMAD, l'UDC, le CENTRE, la SFIDP et une personne physique.

8

PL 13347

124/189

L'IMAD estime que cela fait sens de considérer que les délégataires de tâches publiques
cantonales ou communales agissent en tant qu'organes de l'Etat et qu'ils soient soumis à la
LIPAD dans ce cadre.
3 entités, les communes de Laconnex et Soral ainsi que le SécuSIGE, ne sont pas d'accord
avec la proposition. Les deux communes ne commentent toutefois pas leur position. Le
SécuSIGE estime que l'extension du champ d'application aux personnes morales constitue
un élargissement non négligeable par rapport à la LPD et au RGPD, avec pour effet d'accroitre
les responsabilités de tous et l'obligation d'annonce ainsi que d'impliquer de possibles impacts
juridiques spécifiques au canton.
2 autres entités, les communes d'Avully et de Cologny, ne sont pas du tout d'accord, mais
sans commentaire également.
5 participantes et participants n'ont pas pris position. 11 Le CPEG relève toutefois que la notion
de tâches de droit public cantonal ou communal devient plus centrale avec la proposition de
modification du champ d'application. Afin de réduire l'insécurité juridique, elle suggère
d'introduire une définition de la tâche publique dans la LIPAD.
3.3.1.C.

La BCGE

Le avant-projet de loi propose d’exclure du champ d’application de la loi les traitements de
données personnelles effectués par la Banque cantonale de Genève (BCGE).
La proposition figure à l’article 3 de l’avant-projet.
21 participantes et participants se sont déclarés tout à fait d'accord, 12 dont le BCGE. Cette
dernière recommande toutefois son exclusion générale du champ d'application de la LIPAD,
dès lors que son activité relève de la banque universelle plutôt que de celle de
l'accomplissement d'une tâche publique et que ses relations avec sa clientèle relèvent du droit
privé. Elle indique appliquer d'ores et déjà la loi fédérale sur la protection des données et
estime qu'une application concurrente de la loi cantonale serait source d'inconvénients
importants. S'agissant des règles sur la transparence, elle estime que celles-ci entreraient en
conflit avec d'autres normes applicables dans le cadre de son activité bancaire. L'UNIGE
(faculté de droit) estime qu'il n'y a pas de raison de maintenir la BCGE dans le champ
d'application de la LIPAD, puisque les tâches effectuées ne sont pas des tâches publiques et
qu'elles relèvent du droit privé.
11 participantes et participants se sont déclarés plutôt d'accord. 13 L'AIG précise que son
activité - principalement commerciale - est régie en grande partie par la législation fédérale et
par la concession fédérale. Elle souhaiterait qu'une réserve soit ajoutée pour l'exécution de
tâches fédérales dans le cadre desquelles les institutions sont soumises à la loi fédérale sur
la protection des données. Les Vert-e-s genevois-es estiment qu'il faut préalablement
s'assurer que la législation sur les banques comprend une disposition sur la transparence des
données et indiquent que la modification proposée de la LIPAD n'offre aucune garantie
d'équivalence. Le SécuSIGE souhaiterait qu'une réserve soit ajoutée prévoyant qu'en cas
d'exécution de tâches fédérales, les institutions sont soumises à la loi fédérale sur la protection
des données.

11 La BCGE, la CPEG, les EPI, l'UAPG et Mme M.-F. Lücker-Babel.

12 La BCGE, la CCPDTA, les communes d'Avully, Avusy, Chêne-Bourg, Collonge-Bellerive, Cologny, Gy,
Laconnex, Plan-les-Ouates, Presinge, Soral, Vandoeuvres, Veyrier et la Ville de Genève, les SIG, la HES-SO
Genève, l'UDC, l'UNIGE (faculté de droit), le PJ (SG), M. Thomas Dagonnier .
13 Les communes de Bernex, Carouge, Chêne-Bougeries et Meinier, l'AIG, Les Vert-e-s genevois-es, SécuSIGE,
la SFIDP et 3 personnes privées anonymes.

9

125/189

PL 13347

3 entités, soit les TPG, le parti Socialiste et le parti le CENTRE, ne sont pas d'accord avec
la proposition, estimant en substance qu'en tant qu'institution paraétatique régie par une loi
cantonale, les relations entre la BCGE et sa clientèle doivent être traitées au même titre qu'une
autre institution publique cantonale.
Enfin, 9 participantes et participants n'ont pas pris position. 14
3.3.2. Proposition 2: Modifications apportées à l’article relatif aux définitions
L’avant-projet de loi supprime les opinions culturelles des données personnelles sensibles et
la définition d’organe. L’avant-projet complète par ailleurs ce même article avec les définitions
relatives aux données génétiques et biométriques, au sous-traitant, à la sécurité des données
et à la violation de cette même sécurité, à l’anonymisation, à la pseudonymisation et au
caviardage, ainsi qu’à la décision individuelle automatisée. La définition du profil de la
personnalité est remplacée par celle de profilage, et celle de maître du fichier par celle de
responsable du traitement. La notion de traitement est complétée.
La proposition figure à l’article 4 de l’avant-projet.
20 participantes et participants se sont déclarées tout à fait d'accord. 15
14 participantes et participants se sont déclarés plutôt d'accord, 16 avec la précision que l'IMAD
et une personne privée estiment que les données culturelles ne devraient pas être supprimées
des données personnelles sensibles. Le SécuSIGE estime qu'il est indispensable de préciser
les données des personnes morales couvertes par la LIPAD. L'UAPG estime que les notions
d'interconnexion, de rapprochement, de limitation et d'extraction devraient être supprimées et
la notion de profilage à risque élevée ajoutée pour se calquer sur le droit fédéral. Le
Secrétariat général du Pouvoir judiciaire suggère de supprimer la définition de
« pseudonymisation » qui n'est pas reprise dans la loi, ainsi que celles d'anonymisation et de
caviardage qui sont essentiellement utilisées dans le cadre des dispositions sur l'accès aux
documents.
3 participante et participants, la commune de Carouge, les TPG et le parti Socialiste ne sont
pas d'accord avec les propositions. Les TPG et le parti Socialiste estiment que l'article
proposé n'est pas en conformité avec le RGPD qui contiendrait une définition plus restrictive
des données sensibles. La commune de Carouge n'a pour sa part pas commenté sa position.
2 participantes, la CPEG et une personne privée, ne sont pas du tout d'accord. La CPEG
estime que l'avant-projet de loi ne devrait pas maintenir un régime de protection pour les
personnes morales, puisque selon elle le droit fédéral ne le fait pas et que de plus l'article 50,
al. 2 LPP interdit en principe au législateur cantonal d'adopter toute autre disposition que celles
relatives aux prestations ou au financement de l'institution. Quant à la personne privée, elle
ne commente pas sa position.
Enfin, 5 participantes et participants n'ont pas pris position. 17
3.3.3. Proposition 3: Inclusion d’un principe de coordination en cas de
demandes d’accès multiples
Le Centre LAVI, la CPEG, l'HG, les HUG, l'IMAD, les EPI, l'UAPG, l'UNIGE (rectorat) et Mme M.-F. Lücker-Babel.
15 La CCPDTA, les communes d'Avusy, Bernex, Chêne-Bougeries, Collonge-Bellerive, Plan-les-Ouates, Presinge,
Vandoeuvres et la Ville de Genève, l'AIG, l'HG, les SIG, les EPI, la HES-SO Genève, Les Vert-e-s genevois-es,
l'UDC, le CENTRE, l'UNIGE (faculté de droit), l'UNIGE (rectorat) et une personne privée.
16 Les communes d'Avully, Chêne-Bourg, Gy, Laconnex, Meinier et Soral, les HUG, l'IMAD, SécuSIGE, la SFIDP,
l'UAPG, le PJ (SG) et 2 personnes privées.
17 La BCGE, le Centre LAVI, les communes de Cologny et Veyrier, ainsi que Mme M.-F. Lücker-Babel.
14

10

PL 13347

126/189

Il peut arriver que plusieurs institutions soient sollicitées en vue de l’accès à un même
document. L'avant-projet propose une règle de coordination dans un tel cas de figure.
La proposition figure à l’article 28 de l’avant-projet.
27 participantes et participants sont déclarés tout à fait d'accord. 18 12 participantes et
participants se sont déclarés plutôt d'accord. 19 La commune d'Avully relève toutefois des
difficultés à appliquer la norme sans information transversale. Le parti Socialiste et les TPG
indiquent notamment qu'au vu des finalités différentes des traitements d'une institution à
l'autre, la motivation de la demande d'accès devra être cohérente par rapport à l'institution à
laquelle le demandeur s'adresse. L'HG demande pour sa part s'il ne serait pas plus opportun
de prévoir que la première institution saisie traite la demande et que, si plusieurs institutions
sont informées qu'elles sont saisies en même temps, elles déterminent laquelle traite la
demande. Le SécuSIGE indique qu'il convient de prévoir dans la loi une obligation d'accorder
aux institutions les moyens techniques, financiers et humains nécessaires.
Une entité, l'IMAD, n'est pas d'accord avec la proposition. Elle relève la complexité de la mise
en œuvre. Selon elle, il sera parfois difficile pour les institutions, vu leurs intérêts divergents,
de parvenir à un consensus dans un délai raisonnable. Elle estime qu'en cas de désaccord, la
saisine du PPDT à brève échéance devrait être prévue, de même que l'obligation pour la
personne requérante d'indiquer si elle a soumis une même demande auprès d'une ou plusieurs
autres institutions.
3 entités et une personne physique n'ont pas pris position. 20
3.3.4. Proposition 4: Modification des dispositions relatives aux grands
principes de la protection des données et à la notion de base légale, et
inclusion du consentement
3.3.4.A.

Les grands principes

L’avant-projet détaille les grands principes de la protection des données, soit la licéité, la bonne
foi, la proportionnalité, les finalités déterminées et reconnaissables pour la personne
concernée, la destruction, l’effacement ou l’anonymisation des données lorsque ces dernières
ne sont plus nécessaires, et l’exactitude des données.
La proposition figure à l’article 35 de l’avant-projet.
27 participantes et participants se déclarent tout à fait d'accord. 21 La commune de Bernex
demande toutefois à quelle loi fait référence l'art. 35, al. 4 de l'APL qui réserve la possibilité de
conserver les données « en vertu d'une autre loi ». Les Vert-e-s genevois-es estiment que la
notion de « licéité » n'est pas suffisamment explicite.

18 La CCPDTA, les communes d'Avusy, Bernex, Chêne-Bougeries, Chêne-Bourg, Collonge-Bellerive, Cologny, Gy,

Laconnex, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'AIG, les HUG, les SIG, les EPI, la HESSO Genève, Les Vert-e-s genevois-es, l'UDC, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et
3 personnes privées.
19
Les communes d'Avully, Carouge, Meinier, Soral et Veyrier, l'HG, les TPG, le parti Socialiste, le parti le CENTRE,
SécuSIGE, la SFIDP et une personne privée.
20
La BCGE, le Centre LAVI, la CPEG et Mme M.-F. Lücker-Babel.
21 La CCPDTA, les communes d'Avusy, Bernex, Chêne-Bougeries, Cologny, Gy, Plan-les-Ouates, Presinge,
Vandoeuvres et la Ville de Genève, l'HG, les HUG, les SIG, les TPG, les EPI, les Vert-e-s genevois-es, le parti
Socialiste, l'UDC, le parti le CENTRE, SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG),
Mme M.-F. Lücker-Babel et 2 autres personnes privées anonymes.

11

127/189

PL 13347

13 participantes et participants se déclarent plutôt d'accord avec les propositions. 22 La
commune de Collonge-Bellerive s'interroge toutefois sur l'application concrète du
consentement mentionné à l'article 35, alinéa 3 de l'APL. L'IMAD estime que la notion
« d'effacement » à l'article 35, alinéa 4 de l'APL prête à confusion et devrait être retirée. Elle
propose par ailleurs de préciser dans le RIPAD les conditions d'application de la possibilité
instituée à l'article 35, al. 4, 2ème phrase, de différer la destruction des données durant deux
ans au maximum à des fins d’évaluation de politiques publiques. S'agissant de l'article 35,
alinéa 5 de l'APL, l'IMAD suggère, à l'instar de l'art. 6, al. 5 nLPD, de préciser que « Le
caractère approprié de la mesure dépend notamment du type de traitement et de son étendue
ainsi que du risque que le traitement des données en question présente pour la personnalité
ou les droits fondamentaux des personnes concernées ». La HES-SO estime pour sa part que
l'obligation figurant à l'article 35, alinéa 5, 2ème phrase de s'assurer de l'exactitude des données
personnelles traitées est difficile à mettre en œuvre et propose de préciser, à l'instar de l'art.
36, al.1, let. b de la LIPAD actuelle, « autant que les circonstances permettent de l'exiger ».
Aucune participante ou participant ne s'est déclaré pas d'accord.
4 participantes n'ont pas pris position. 23 Par celles-ci, la commune d'Avully estime toutefois
que l'article 35 de l'APL est totalement inadapté aux pratiques de travail usuelles et efficientes.
Elle s'interroge en particulier sur la destruction des données et demande notamment à partir
de quand celles-ci ne s'avèrent plus nécessaires. Elle estime que leur destruction
systématique pourrait nuire à des prises de décisions ultérieures.
3.3.4.B.

La base légale

L’avant-projet reprend, en le remaniant, l’article relatif à l’exigence de base légale. Il prévoit
ainsi que les institutions ne peuvent traiter des données personnelles que si une base légale
le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. Par ailleurs, les
traitements de données personnelles sensibles, les activités de profilage et les traitements de
données personnelles dont les finalités ou les modalités de traitement sont susceptibles de
porter gravement atteinte aux droits fondamentaux de la personne concernée ne peuvent avoir
lieu que si une loi au sens formel le prévoit expressément ou si le traitement est indispensable
à l’accomplissement d’une tâche définie dans une loi au sens formel. L’article sur le
consentement est réservé (voir ci-dessous, proposition 4.C).
La proposition figure à l’article 36 de l’avant-projet.
Globalement la nouvelle disposition est bien accueillie par plus de 80% des entités ou
personnes ayant répondu à la consultation. Les critiques principales 24 reprochent une trop
grande marge d'appréciation laissée aux autorités à l'alinéa 1 dans la détermination de la
nécessité de traiter des données personnelles (ordinaires) pour l'accomplissement de leurs
tâches légales, ainsi que le caractère alternatif des conditions prévues aux lettres a et b de
l'alinéa 2 concernant le traitement des données personnelles sensibles, les activités de
profilage et les traitements de données dont les finalités ou les modalités de traitement sont
susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée.
De manière plus détaillée :

22 Le Centre LAVI, les communes de Carouge, Chêne-Bourg, Collonge-Bellerive, Laconnex, Meinier,Soral et
Veyrier, l'AIG, l'IMAD, la HES-SO Genève, la SFIDP et une personne privée.
23 La BCGE, la commune d'Avully, la CPEG et M. Thomas Dagonnier.
24 Le parti le CENTRE, Mme M.-F. Lücker-Babel et les Vert-e-s genevois-es.

12

PL 13347

128/189

22 participantes et participantes se sont déclarés tout à fait d'accord avec la proposition. 25 Le
Centre LAVI relève, pour le cas où la proposition de modification du champ d'application pour
y inclure les entités privées délégataires d'une tâche publique était adoptée, qu'il serait alors
soumis à la LIPAD, et qu'en application de l'article 36, alinéa 2, lettre b, il serait autorisé à
traiter des données personnelles sensibles qui lui sont indispensables pour accomplir ses
tâches, dès lors que celles-ci sont définies dans une loi au sens formel, soit dans la loi fédérale
sur l'aide aux victimes d'infractions (LAVI – RS 312.5) et dans la loi cantonale d'application
(LaLAVI – J 4 10). Les TPG indiquent qu'il conviendrait de prévoir une base légale pour faciliter
l'entraide entre institutions publiques et faciliter la sous-traitance ou plus largement les
collaborations entre institutions.
14 participantes et participants se sont déclarées plutôt d'accord. 26 La commune de
Collonge-Bellerive s'interroge sur l'application pratique de l'article 36A de l'APL relatif au
consentement, estimant impossible parfois d'obtenir un consentement préalablement à
certaines activités ou manifestations. La CPEG relève que la détermination de la législation
qui lui est applicable en matière de protection des données est une question complexe, non
tranchée par la jurisprudence. Elle précise que le préposé fédéral à la protection des données
s'est pour sa part exprimé en faveur d'une soumission de la CPEG au droit cantonal de la
protection des données. Si l'article 85a LPP lui fournit une base légale formelle pour le
traitement des données personnelles (y compris sensibles) concernant ses assurés, elle
estime qu'une base légale formelle cantonale, dans la LCPEG, serait nécessaire pour lui
permettre de traiter des données personnelles, y compris sensibles, dans d'autres domaines,
notamment dans le cadre de ses placements et de son fonctionnement interne. Elle indique
également qu'une réserve en faveur de la LIPAD devrait être faite à l'art. 55, al. 1 LCPEG
relatif au secret de fonction. L'UAPG estime pour sa part que l'alinéa 2 du projet d'article ne
devrait pas inclure des données personnelles dont les finalités ou les modalités de traitement
sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne
concernée, mais se limiter aux données sensibles et aux activités de profilage.
3 participantes et participant ne sont pas d'accord avec la proposition. La commune de
LACONNEX estime que la notion de tâches légales est trop restrictive considérant les
multiples activités d'une commune pouvant nécessiter par exemple le recours à une sélection
d'adresses pour une prestation particulière, sans lien avec une prestation expressément
prévue par une base légale. Mme Lücker-Babel et le parti le CENTRE estiment que les
termes de l'article 36, alinéa 1 « si l'accomplissement de leurs tâches légales le rend
nécessaire » sont trop imprécis et qu'il conviendrait de limiter cette possibilité aux situations
pour lesquelles le législateur n'a pas encore eu le temps de légiférer. Ils formulent la même
critique concernant l'alinéa 2, lettre b relatif au traitement « indispensable » à
l'accomplissement d'une tâche définie dans une loi au sens formel.
2 entités ne sont pas du tout d'accord. La commune d'AVULLY craint une « juridification »
des pratiques, source potentielle d'immobilisme. Les Vert-e-s genevois-es estiment que tout
traitement de données doit reposer sur une base légale et que la notion de « nécessité du
traitement de données dans le cadre de l'accomplissement des tâches légales » est trop floue
et laisse une marge d'appréciation trop importante aux autorités. Ils proposent de reformuler
entièrement la disposition.
3 participantes n'ont pas pris position. 27

25
La CCPDTA, le Centre LAVI, les communes d'Avusy, Chêne-Bougeries, Plan-les-Ouates, Presinge,
Vandoeuvres et la Ville de Genève, l'HG, les HUG, les SIG, les TPG, les EPI, la HES-SO Genève, le parti Socialiste,
l'UDC, SécuSIGE, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées.
26 Les communes de Bernex, Carouge, Chêne-Bourg, Collonge-Bellervie, Cologny, Gy, Meinier et Veyrier, la
CPEG, l'AIG, l'IMAD, la SFIDP, l'UAPG et une personne privée.
27 La BCGE, la commune de Soral et M. Thomas Dagonnier.

13

129/189

PL 13347

3.3.4.C.

La base légale

L’avant-projet ajoute le consentement comme motif justificatif extra-légal aux traitements des
données personnelles, tout en précisant les conditions auxquelles ce motif peut être admis.
Cela signifie que les institutions peuvent également traiter des données personnelles, y
compris sensibles, nécessaires à l’accomplissement de leurs tâches légales, en l’absence de
base légale, si la personne concernée a consenti au traitement. Le responsable du traitement
devra pouvoir démontrer l’existence d’un tel consentement. La personne concernée ne
consentira valablement que si elle exprime librement sa volonté concernant un ou plusieurs
traitements déterminés et après avoir été dûment informée, étant précisé que le consentement
devra être exprès en cas de traitement de données personnelles sensibles ou de profilage. Le
consentement pourra être révoqué en tout temps et sans motifs, tout en rappelant que la mise
en œuvre effective pourra requérir un délai raisonnable pour des raisons techniques. Enfin,
les institutions pourront traiter des données personnelles, y compris sensibles, si la personne
concernée a rendu ces dernières accessibles à tout un chacun et ne s’est pas opposée
expressément au traitement, ainsi qu’en cas de traitement nécessaire à la sauvegarde des
intérêts vitaux d’une personne concernée se trouvant dans l’incapacité physique ou juridique
de donner son consentement, ou d’une autre personne physique.
La proposition 4.C figure à l’article 36A de l’avant-projet.
Plus de 70% des participantes et participants sont favorables ou plutôt favorables à
l'introduction du consentement comme motif justification d'un traitement de données
personnelles.
De manière plus détaillée:
18 participantes et participants se sont déclarés tout à fait d'accord. 28 L'AIG précise qu'il
pourrait être opportun de prévoir à l'article 36A, alinéa 1 que le consentement peut être utilisé
pour le profilage et pour le traitement de données personnelles dont les finalités ou les
modalités sont susceptibles de porter gravement atteinte aux droits fondamentaux de la
personne concernée. L'AIG estime également que les règles actuelles sur la communication
de données ne lui semblent pas adaptées à son activité commerciale et qu'une reprise du droit
fédéral serait préférable afin de permettre le consentement comme motif justificatif justifiant
une communication. Quant aux HUG, ils demandent s'il ne serait pas judicieux de prévoir dans
la loi la manière dont sont traitées les cas de décès ou de perte de capacité de discernement.
14 participantes et participantes se sont déclarés plutôt d'accord. 29 La CCPDTA estime
toutefois que l'utilisation du consentement pour déroger aux exigences de l'article 35, al. 2
pour le traitement de données personnelles sensibles interroge. Elle estime aussi que les
conditions d'exercice du consentement par une personne mineure capable de discernement
et des personnes porteuses d'un handicap psychique ou mental doivent être décrites dans des
alinéas dédiés. Elle propose d'intégrer à l'article 36A, al. 4 de l'APL « l'incapacité psychique »
de donner son consentement, aux côtés de l'incapacité physique ou juridique. La HES-SO
s'interroge aussi sur le consentement des personnes faisant l'objet d'une mesure de protection
de l'adulte (tutelle, curatelle). Une personne privée anonyme estime que le retrait du
consentement devrait être précisé dans la loi pour s'assurer qu'il reste accessible. Cette
dernière craint également que l'article 36A, al. 5 de l'APL puisse conduire à des abus. Le
SécuSIGE indique qu'il pourrait être opportun de prévoir à l'alinéa 1 l'utilisation du
consentiement également pour le profilage et pour le traitement de données personnelles dont
28 Les communes d'Avusy, Carouge, Chêne-Bougeries, Chêne-Bourg, Gy, Plan-les-Ouates, Présinge, la Ville de
Genève, l'AIG, l'HG, les HUG, les SIG, les TPG, les EPI, l'UDC, L'UNIGE (rectorat), le PJ (SG) et une personne
privée.
29 La CCPDTA, le Centre LAVI, les communes de Bernex, Cologny, Meinier, Vandoeuvres, Veyrier, la HES-SO
Genève, SécuSIGE, la SFIDP, l'UAPG, l'UNIGE (faculté de droit) et deux personnes privées.

14

PL 13347

130/189

les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux
droits fondamentaux de la personne concernée. L'UAPG estime que l'exigence d'un
consentement exprès ne devrait être requis que pour le profilage à risque élevé, notion qui
devrait être intégrée dans le projet de loi. L'UNIGE (faculté de droit) estime que les
explications données dans l'exposé des motifs de l'APL p. 49 (concernant les formulaires avec
cases à cocher pré-validées) laissent sous-entendre que la LIPAD va instaurer une pratique
cantonale plus stricte que la nLPD en matière de forme du consentement (conforme au
RGPD). Elle recommande de supprimer cette mention afin de se conformer à la nLPD et éviter
ainsi des interprétations divergentes entre le droit fédéral et le droit cantonal.
4 participantes et participants ne sont pas d'accord avec la proposition. 30 Le parti Socialiste
s'oppose à l'alinéa 5 tel que proposé, estimant que le fait que des données personnelles soient
publiquement accessibles ne justifie pas en soi leur traitement par l'Etat, d'autant que leur
publicité n'est elle-même parfois pas licite. Le parti le CENTRE et Mme Lücker-Babel
indiquent que les situations dans lesquelles le consentement est requis leur paraissent floues.
Ils estiment également que la loi doit prévoir le consentement des mineurs capables de
discernement et celui des personnes majeures incapables d'exercer elles-mêmes leurs droits,
et pas uniquement lorsque des intérêts vitaux sont en jeux. Quant à la commune de Soral,
elle n'a pas commenté sa prise de position.
4 participantes et participants ne sont pas du tout d'accord avec la proposition. 31 La commune
de Collonge-Bellerive et les Vert-e-s genevois-es peinent à comprendre dans quels cas de
figure le consentement serait requis. Les Vert-e-s genevois-es demandent, dans le cas où
cet article serait maintenu, que la notion de "volonté expresse" disparaisse au profit d'une
obligation de consentement écrit. Ils estiment que la question de la case à cocher est aussi
problématique. La commune de Laconnex estime qu'il serait très difficile de démontrer
l'existence du consentement. La commune d'Avully n'a commenté sa prise de position.
4 participantes et participants n'ont pas pris position. 32 Seule l'IMAD a toutefois formulé des
remarques : concernant le retrait du consentement de l'alinéa 3, elle indique qu'il conviendrait
de prévoir ce qui est entendu par « délai raisonnable » pour mettre en œuvre ce retrait. Quant
à l'alinéa 4, elle estime qu'il serait judicieux de prévoir également la possibilité pour les
autorités de traiter des données personnelles d'une personne incapable physiquement ou
juridiquement de donner son consentement pour les cas où le traitement est « nécessaire pour
protéger l'intégrité corporelle de la personne ou d'une autre personne physique ». Elle ajoute
qu'il serait également utile de préciser que cette disposition vise aussi les cas de traitement
nécessaire à des fins humanitaires, y compris pour suivre des épidémies. Quant aux autres
exceptions prévues par le droit fédéral, elle indique que la possibilité pour l'exécutif d'autoriser
un traitement s'il considère que les droits des personnes concernées ne sont pas menacés
pourrait également exister au niveau cantonal. Enfin, elle indique que dans le domaine des
soins, le partage d'informations entre partenaires du réseau de soins est indispensable, mais
que la nécessité d'obtenir le consentement explicite du bénéficiaire rend la tâche très
compliquée en pratique.
3.3.5. Proposition 5: Inclusion des notions du traitement de données
personnelles conjoint et de sous-traitant
3.3.5.A

Le traitement de données personnelles conjoint

L’avant-projet traite des traitements conjoints de données personnelles par plusieurs
institutions, ainsi que les responsabilités et obligations respectives de ces dernières.
30 La commune de Soral, le parti Socialiste, le parti le CENTRE et Mme M.-F. Lücker-Babel.

31 Les communes d'Avully, Collonge-Bellervie et Laconnex ainsi que les Vert-e-s genevois-es.
32 La BCGE, la CPEG, l'IMAD et M. Thomas Dagonnier.

15

131/189

PL 13347

La proposition 5.A figure à l’article 36B de l’avant-projet.
21 entités sont déclarées tout à fait d'accord avec la proposition. 33 Les TPG suggèrent en
substance de compléter l'art. 36B en invitant les parties à convenir d'un accord de
coresponsabilité des données personnelles comme le prévoit le RGPD. Cet accord définirait
les tâches de chaque responsable de traitement. Cette co-responsablité permettrait d'ouvrir,
selon eux, la possibilité aux institutions de faire appel à des services infonuagiques SaaS et
de suivre les tendances actuelles du marché, sans être pénalisées dans le développement de
solutions pertinentes.
11 entités se sont déclarées plutôt d'accord avec la proposition. 34 L'HG nuance son accord
estimant que la déclaration au PPDT pourrait être compliquée à mettre en œuvre et propose
que chaque institution procède à une déclaration au sens de l'art. 43. L'IMAD indique qu'il
pourrait être précisé que les institutions conviennent d'un accord comme le prévoit le RGPD
et qu'un point de contact soit donné au profit de la personne concernée. Le parti Socialiste
propose de prévoir, afin d'éviter des conflits, la possibilité de répartir la part de responsabilité
en lien avec le traitement pour chaque partie. Le SécuSIGE indique que le RIPAD devra
préciser la mise en œuvre concrète.
1 participante, la commune de Carouge, n'est pas d'accord avec la proposition mais ne
commente pas sa position. 1 participante, la commune de Cologny, n'est pas du tout d'accord
mais ne commente pas non plus sa position.
10 participantes et participants ne se sont pas prononcés. 35
3.3.5.B

Les sous-traitants

L’avant-projet propose par ailleurs d’intégrer, dans la loi, la fonction de sous-traitant qui figure
actuellement dans le règlement d’application de la LIPAD, du 21 décembre 2011 (RIPAD ; A
2 08.01). Le contrat liant un responsable du traitement à son sous-traitant peut être de nature
diverse. Il peut s’agir d’un contrat de mandat, d’un contrat d’entreprise, voire d’un contrat mixte
selon les obligations du sous-traitant. Afin de sauvegarder les droits des personnes
concernées en cas de sous-traitance, l’avant-projet prévoit, notamment, un devoir de diligence
à la charge du responsable du traitement, la responsabilité de ce dernier malgré la soustraitance, et l’interdiction de la sous-traitance en cascade sauf accord écrit préalable du
responsable du traitement. L’avant-projet traite également de la problématique de la soustraitance impliquant un traitement de données à l’étranger.
La proposition 5.B figure à l’article 36C de l’avant-projet.
Plus de 70% des entités ayant répondu à la consultation sont favorables ou plutôt favorable à
la proposition. Cela étant, dans le camp des opposants, des critiques importantes émanant
principalement des SIG, de la CPEG, de l'AIG et du rectorat de l'Université de Genève,
reprochent à la proposition de règlementation d'être trop restrictive par rapport au droit fédéral
et aux législations de certains cantons, notamment s'agissant de l'impossibilité de
communiquer des données à l'étranger vers des pays dont la législation n'assure pas un
niveau de protection adéquate. Ils estiment qu'il est indispensable d'accorder le droit genevois
33 La CCPDTA, les communes d'Avully, Chênes-Bougeries, Chêne-Bourg, Collonge-Bellerive, Plan- les-Ouates,
Présinge, Vandoeuvres, la Ville de Genève, l'AIG, les SIG, les TPG, la HES-SO, Les Vert-e-s genevois-es, l'UDC,
le parti le CENTRE, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées anonymes.
34 Les communes d'Avully, Bernex, Laconnex, Meinier, l'HG, les HUG, l'IMAD, le parti Socialiste, SécuSIGE, la
SFIDP, l'UAPG.
35 La BCGE, le Centre LAVI, les communes de Gy, Soral et Veyrier, la CPEG, les EPI et trois personnes privées,
dont M. Thomas Dagonnier et Mme M.-F. Lücker-Babel.

16

PL 13347

132/189

avec le droit européen et fédéral en matière de communication transfrontière de données, en
particulier afin de ne pas les prétériter dans leurs activités soumises à concurrence.
De manière plus détaillée :
14 participantes et participants se sont déclarés tout à fait d'accord. 36 Les TPG relèvent
toutefois que l'exigence d'un accord écrit peut ne pas être réaliste dans le cadre d'une soustraitance chez un GAFAM. Pour ces cas, il serait peut-être plus réaliste, selon les TPG, de
fonder la décision de sous-traitance sur le principe d'une gestion des risques. La HES-SO
suggère qu'une réserve en faveur de l'article 36C relatif à la sous-traitance soit ajoutée à
l'article 39 traitant de la communication. 37
17 participantes et participants se sont déclarés plutôt d'accord. 38 La CCPDTA regrette
toutefois vivement que le traitement des données personnelles à l'étranger soit rendu possible
par la loi. La commune de Chêne-Bougeries émet des réserves liées aux difficultés
d'application, notamment pour s'opposer à des sous-traitances en cascade de stockage de
données. Les HUG se demandent si la réserve d'un secret légal ou contractuel prévu à l'art.
36C, al. 2, let. b vise aussi le secret de fonction. Ils estiment par ailleurs que le régime de
responsabilité objective du responsable de traitement pour les actes de son sous-traitant est
dur en comparaison de la règlementation de droit privé prévue à l'art. 55 CO. Pour la soustraitance à l'étranger, les HUG demandent si une exception aux conditions de la soustraitances ne devrait pas être prévue lorsque des prestations uniques ou exceptionnelles et
sans concurrence ne peuvent être obtenues qu'à des conditions ne permettant pas de
respecter les critères de la sous-traitance (p.ex. cas du partenariat à propos d'un traitement
médical de pointe aux USA avec cloud local).Concernant la sous-traitance à l'étranger, l'IMAD
estime que la disposition proposée peut constituer un frein à certains projets des directions de
systèmes d'information, en particulier s'agissant des technologies liées au cloud, lorsque le
service de support ne se trouve pas dans un pays disposant d'une législation assurant un
niveau de protection adéquate. Les Vert-e-s genevois-es proposent quant à eux d'ajouter un
nouvel alinéa qui prévoirait que "Lorsque la sous-traitance implique des données personnelles
sensibles, l'Etat effectue régulièrement des audits sur le site du sous-traitant". Le parti
Socialiste souhaite que cette disposition puisse favoriser les sous-traitants sur territoire
suisse, avant tout recours à un sous-traitant étranger et prévoir que la sous-traitance demeure
l'exception. Quant à la faculté de droit de l'UNIGE, elle relève que l'exigence que le contrat de
sous-traitance prévoie la possibilité de procéder à des audits sur le site du sous-traitant va
plus loin que la nLPD et qu'elle peut s'avérer difficile à mettre en œuvre en cas de recours à
un sous-traitant étranger. Elle recommande par ailleurs de dissocier les exigences de transfert
à l'étranger et celles relatives à la sous-traitance en deux articles séparés, à l'instar de la nLPD.
Elle recommande enfin d'assouplir les exigences afin de permettre la communication de
données à l'étranger même lorsque la législation ne peut assurer un niveau de protection
adéquat, lorsque des garanties suffisantes, notamment contractuelles, permettent d'assurer
un niveau de protection adéquat. Elle rappelle à cet égard que les nouvelles législations sur la
protection des données suivent une approche fondée sur les risques, qu'elle recommande de
suivre également afin de garder la flexibilité nécessaire.
6 entités ne sont pas d'accord avec la proposition. 39 Le Centre LAVI rappelle pour sa part que
le secret LAVI fera obstacle en pratique aux possibilités de recourir à la sous-traitance. Il
n'explicite pas plus son opposition. Les SIG relèvent pour leur part que la proposition de
36
Les communes d'Avusy, Collonge-Bellerive, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG,
les TPG, les EPI, la HES-SO Genève, le parti le CENTRE, le PJ (SG) et deux personnes privées.
37 A noter que cette remarque a été faite par la HES-SO dans le cadre de son retour sur l'art. 41 APL.
38 La CCPDTA, les communes d'Avully, Bernex, Carouge, Chêne-Bougeries, Chêne-Bourg, Laconnex, Meinier et
Soral, les HUG, l'IMAD, les Vert-e-s genevois-es, le parti Socialiste, l'UDC, la SFIDP, l'UAPG, l'UNIGE (faculté de
droit).
39 Le Centre LAVI, les communes de Gy et Veyrier, les SIG, le SécuSIGE et l'UNIGE (rectorat).

17

133/189

PL 13347

règlementation diffère de la LPD et du RGPD en ce qu'elle exige que les données soient
traitées dans des pays dont la législation est jugée adéquate. Dans le cadre de leurs activités
soumises à concurrence, ils estiment être désavantagés par rapport à leurs concurrents
soumis à une régime plus souple instauré par la LPD et la nLPD. Le SécuSIGE estime qu'il
est indispensable d'accorder le droit genevois avec le droit européen et le droit fédéral. Rien
ne justifie selon lui l'impossibilité d'utiliser des garanties contractuelles, le consentement ou
des clauses types pour transférer des données personnelles à l'étranger dans un pays dont la
législation n'assure pas un niveau de protection adéquat, en tous les cas lorsqu'il s'agit de
données personnelles ordinaires. Il explique que la mise en place de traitement peut s'avérer
compliquée en cas d'activités commerciales éventuellement avec une forte connotation
internationale. En revanche, dans le cadre du traitement de données personnelles sensibles
associé au domaine régalien, l'alinéa 5 lui semble cohérent. Enfin, le rectorat de l'Université
de Genève estime qu'il est excessif, voire irréaliste, d'exiger dans le contrat de sous-traitance
la possibilité d'effectuer des audits et propose de supprimer cette contrainte. Il souligne qu'un
sous-traitant certifié selon certaines normes et/ou soumis au contrôle d'autorités de
surveillance constituent des garanties plus convaincantes. S'agissant de la sous-traitance à
l'étranger, il estime qu'il est primordial de s'aligner sur la législation européenne et suisse
permettant à certaines conditions de communiquer des données personnelles à l'étranger
même si l'Etat concerné ne dispose pas d'une législation assurant un niveau de protection
adéquat. Il suggère pour finir de se calquer sur le droit fédéral et de traiter dans deux
dispositions séparées la sous-traitance et la communication à l'étranger. Enfin, les communes
de Gy et de Veyrier ne motivent pas leur opposition.
2 participantes, la CPEG et l'AIG, ne sont pas du tout d'accord avec la proposition. La CPEG
relève que le régime cantonal sur la sous-traitance et la communication à l'étranger est
significativement plus restrictif que le droit fédéral (forme écrite du contrat; exigence de pouvoir
effectuer des audits chez le sous-traitant; validation écrite d'une sous-traitance en cascade ;
pas d'exception pour la sous-traitance à l'étranger dans des pays dont la législation est jugée
non adéquate). Elle estime que ces exigences ne sont guère en ligne avec la réalité actuelle
de la sous-traitance et qu'elles placent les institutions dans l'impossibilité de recourir à certains
services informatiques et donc d'assurer leur développement numérique. Elle propose que ces
dispositions soient adaptées à la nLPD sous peine de défavoriser la CPEG par rapport aux
fondations de prévoyance de droit privé. L'AIG estime également qu'il est indispensable
d'accorder le droit genevois avec le droit européen et fédéral en matière de communication
transfrontière de données. Elle estime que rien ne justifie l'impossibilité d'utiliser des garanties
contractuelles, le consentement ou d'autres clauses types pour justifier le transfert de données
à l'étranger dans un pays ne disposant pas d'un niveau de protection adéquat. Le régime
genevois plus restrictif rend très compliqué pour l'AIG la mise en place de certains traitements
de données indispensables à son activité commerciale à forte connotation internationale.
5 participantes et participants n'ont pas pris position. 40
3.3.6. Proposition 6: Inclusion des notions de protection des données dès la
conception et par défaut, de règles concernant la sécurité des données et
la violation de cette même sécurité, ainsi que la notion d’analyse d’impact
3.3.6.A.

La protection des données dès la conception et par défaut

L’avant-projet intègre dans la loi les notions de protection des données dès la conception et
par défaut. La protection des données dès la conception se caractérise par des mesures
proactives visant à prévenir et minimiser les risques d’atteintes aux droits des personnes
concernées. L’obligation débute ainsi en amont des opérations de traitement, avant la collecte
des données. Cette notion ne doit pas être confondue avec celle de la protection des données
40

La BCGE, la commune de Cologny, 3 personnes privées, dont Mme M.-F. Lücker-Babel et M. Thomas Dagonnier.

18

PL 13347

134/189

par défaut, qui exige de traiter le moins de données possibles par des préréglages appropriés.
Ces deux notions dont toutefois étroitement liées.
La proposition 6.A figure à l’article 37 de l’avant-projet.
Globalement la proposition de disposition a été bien accueillie avec 83% des participantes et
participants tout à fait d’accord ou plutôt d’accord avec la proposition, sans compter les entités
ou personnes n’ayant pas pris position.
22 participantes et participants se sont déclarés tout à fait d'accord. 41
14 participantes et participants sont déclarés plutôt d'accord. 42 L'IMAD indique que le
processus de mise en conformité à la nLPD et à la LIPAD révisée nécessite la création de
plusieurs ETP dont le financement doit être garanti aux institutions concernées.
3 participantes, les communes de Carouge, Veyrier et Avully, ne sont pas d'accord. La
commune d'Avully estime que cette disposition est trop restrictive et trop compliquée dans
l'application. Les communes de Veyrier et Carouge ne commentent pas leur position. Une
seule participante, la commune de Collonge-Bellerive, n'est pas du tout d'accord, mais ne
motive pas non plus son opposition.
4 entités ne prennent pas position. 43
3.3.6.B.

La sécurité des données personnelles

L’avant-projet prévoit par ailleurs le devoir d’assurer la sécurité des données personnelles, par
des mesures organisationnelles et techniques appropriées par rapport au risque encouru. Ces
mesures doivent permettre d’éviter toute violation de la sécurité des données.
La proposition 6.B figure à l’article 37A de l’avant-projet.
Plus de 80% des participantes et participants se sont déclarées favorables ou plutôt favorables
à la proposition de disposition.
Toutefois, parmi les participantes et participants ayant motivé leur position, on constate, que
quelle que soit la catégorie de satisfaction mentionnées (plutôt d'accord ou pas d'accord), 7
d'entre elles, soit l'IMAD, les TPG, la HES-SO, le rectorat de l'Université de Genève, les Verte-s genevois-es, la Ville de Genève, les HUG et le parti le CENTRE, estiment que la
formulation de l'alinéa 2 ("Les mesures doivent permettre d'éviter toute violation de la sécurité
des données") est trop stricte, voire irréaliste, le risque zéro n'existant pas.
De manière plus détaillée :
19 participantes et participants se sont déclarés tout à fait d'accord. 44

41 La CCPDTA, les communes de Chêne-Bougeries, Gy, Plan-les-Ouates, Vandoeuvres et la Ville de Genève, l'HG,

les SIG, les TPG, la HES-SO Genève, le parti Socialiste, l'UDC, le parti le CENTRE, SécuSIGE, l'UAPG, l'UNIGE
(faculté de droit), l'UNGE (rectorat), le PJ (SG) et 4 personnes privées, dont Mme M.-F. Lücker-Babel et M. Thomas
Dagonnier.
42
Les communes d'Avusy, Bernex, Chêne-Bourg, Cologny, Laconnex, Meinier, Presinge et Soral, l'AIG, les HUG,
l'IMAD, les Vert-e-s genevois-es, la SFIDP et une personne privée anonyme.
43
La BCGE, le Centre LAVI, la CPEG et les EPI.
44 La CCPDTA, les communes de Chêne-Bougeries, Chêne-Bourg, Gv, Laconnex, Plan-les-Ouates, Vandoeuvres,
l'HG, les SIG, les EPI, le parti Socialiste, l'UDC, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et 4 personnes
privées, dont Mme M.-F. Lücker-Babel.

19

135/189

PL 13347

16 participantes et participants se sont déclarés plutôt d'accord. 45Le Centre LAVI relève que
ces exigences en matière de sécurité, dont notamment la tenue d'audits, génèrent des coûts
importants qui devront être pris en considération dans la charge financière globale des entités
subventionnées concernées. L'IMAD indique qu'il serait judicieux d'étendre ces exigences aux
sous-traitants. S'agissant du règlement d'application de la LIPAD, elle estime que le Conseil
d'Etat devra consulter les institutions concernées et s'inspirer de l'ordonnance fédérale sur la
protection des données. Quant à la formulation de l'alinéa 2 stipulant que « Les mesures
doivent permettre d'éviter toute violation de la sécurité des données personnelles », elle
suggère une formulation plus souple qui prenne en considération le risque encouru, les coûts
et les possibilités techniques des responsables de traitement. Les TPG demandent également
s'il ne conviendrait pas d'être un peu plus nuancé et de tolérer une pesée des intérêts au sein
des institutions, dès lors que le risque zéro n'existe pas. Dans le même sens, la HES-SO
propose de compléter l'alinéa 2 par la mention suivante « autant que les circonstances
permettent de l'exiger ». Dans ce sens également, le rectorat de l'Université de Genève
propose de dire que les « mesures visent à éviter toute violation de la sécurité des données
personnelles ». Concernant l'alinéa 3, le rectorat estime que les dispositions réglementaires
devront faire l'objet d'une consultation préalable, en particulier auprès des responsabilités
sécurités des systèmes d'informations du groupe cantonal SecuSIGE. Concernant cet alinéa
3, les Vert-e-s genevois-es proposent de préciser la délégation en faveur du Conseil d'Etat
en ajoutant dans la loi le respect du principe suivant : « dans la mesure du possible, les
données personnelles sur support physique sont sécurisées de manière adéquate et les
données personnelles électroniques sont stockées sur des serveurs en Suisse ».
4 participantes et participants ne sont pas d'accord avec la proposition. La commune de
Collonge-Bellerive se demande ce qui est entendu par « mesures organisationnelles et
techniques ». Elle estime que cela va générer une charge de travail excessive. Concernant
l'alinéa 2, la Ville de Genève estime que la proposition n'est pas acceptable, étant donné
qu'aucun système n'est en mesure à l'heure actuelle de garantir de manière absolue une
inviolabilité des données numériques. Dans le même sens, les HUG se demande s'il est
vraiment proportionné d'exiger une sécurité totale et estime que le respect de l'état de la
science au moment de l'utilisation devrait être suffisant. Dans le même sens également, le
parti le CENTRE estime qu'il est techniquement impossible d'éviter toute violation. Il propose
de remplacer « éviter toute violation » par « de prévenir par des mesures techniques et
organisationnelles les potentielles violation de la sécurité des données personnelles ».
2 entités, la commune d'Avully et le SécuSIGE, ne sont pas du tout d'accord. La commune
ne commente toutefois pas son opposition. Le SécuSIGE reproche à la formulation de l'alinéa
2 « …éviter toute violation de la sécurité … » trop absolue et impossible à mettre en œuvre. Il
critique également l'alinéa 3 relatif à la délégation des exigences minimales en matière de
sécurité en faveur du Conseil d'Etat, estimant que cette disposition représente une régression
en matière de sécurité de l'information, puisque chaque institution est seule juge pour
déterminer les meilleurs moyens de protection des données qu'elle traite. Il estime qu'il s'agit
de prescriptions éminemment techniques qui ne doivent pas relever du Conseil d'Etat. Il relève
également que ces dernières évoluent bien plus rapidement que le cadre juridique. Il estime
toutefois qu'un référentiel généraliste et applicable à toutes les institutions serait le bienvenu,
avec la collaboration et la validation de toutes les institutions concernées.
3 participants n'ont pas pris position.46

45
Le Centre LAVI, les communes d'Avusy, Bernex, Carouge, Cologny, Meinier, Presinge, Soral et Veyrier, l'AIG,
l'IMAD, les TPG, la HES-SO Genève, les Vert-e-s genevois-es, la SFIDP et l'UNIGE (rectorat).
46 La BCGE, la CPEG et M. Thomas Dagonnier.

20

PL 13347

136/189

3.3.6.C.

Analyse d’impact

Afin de protéger les données personnelles, l’avant-projet exige également qu’il soit procédé à
une analyse d’impact avant la mise en œuvre d’un traitement de données personnelles. Il s’agit
d’un instrument destiné à identifier et évaluer les risques que certains traitements de données
personnelles pourraient entraîner pour la personne concernée, ainsi que, le cas échéant, les
mesures permettant de faire face à ces risques.
La proposition 6.C figure à l’article 37B de l’avant-projet.
14 participantes et participants se sont déclarés tout à fait d'accord. 47
17 participantes et participants se sont déclarés sont plutôt d'accord. 48 La CCPDTA indique
que l'exigence d'analyse d'impact devrait également exister lors d'une modification législative
ou d'un nouveau projet de loi prévoyant le traitement de données personnelles. La commune
de Vandoeuvres et l'HG se demandent si les traitements existants doivent également faire
l'objet d'une analyse d'impact. Le Centre LAVI estime à première vue ne pas être concerné
par cette disposition. Le Centre LAVI et l'IMAD estiment notamment que certains termes
devraient être précisés car il ne sera pas toujours aisé, selon eux, de déterminer quand une
analyse d'impact sera obligatoire ou non. Ils mentionnent également la nécessité de prendre
en compte les coûts financiers et humains générés par cette nouvelle obligation. Les Vert-e-s
genevois-es proposent que pour les projets de grande envergure, les analyses d'impact soient
soumises au PPDT. Le parti le CENTRE et Madame Lücker-Babel s'interrogent sur les
conséquences en cas de résultats négatifs de l'analyse d'impact, notamment sur la décision
de poursuivre ou non le projet, et les possibilités de s'y opposer. Le SécuSIGE estime que la
formulation de l'alinéa 4 est peu claire et trop absolue. Il se demande en particulier si l'analyse
d'impact doit être soumise au PPDT pour chaque projet ou uniquement lorsqu'elle est liée à
un projet de loi. Quant à l'UAPG, il propose de supprimer l'art. 37B, al. 2, let. b, soit les
analyses d'impact en cas de profilage afin d'éviter une surcharge administrative.
3 participantes, les communes d'Avusy, Carouge et Veyrier, ne sont pas d'accord avec la
proposition, mais sans commenter leur position.
3 autres participantes, les communes d'Avully, Collonge-Bellerive et Cologny, ne sont pas
du tout d'accord. La commune d'Avully estime que l'analyse et la gestion des risques
deviendra la finalité de toute action au détriment de l'action ou de la prestation elle-même. La
commune de Collonge-Bellervie estime que ces exigences sont excessives et que le risque
zéro n'existe pas au niveau de la sécurité des données. La commune de Cologny ne
commente pas sa position.
7 participantes et participants n'ont pas pris position. 49 La commune de Laconnex demande
toutefois comment et par qui sera déterminé le niveau « élevé » de risque. Les HUG craignent
une très forte sollicitation des services des PPDT, notamment en lien avec la mise à jour de
traitement toujours en cours.
3.3.6.D.

Violation de la sécurité des données

Enfin, l’avant-projet instaure l’obligation d’annoncer toute violation de la sécurité des données
personnelles et les mesures à prendre dans un tel cas de figure.
47
Les communes de Chêne-Bougeries, Gy, Plan-les-Ouates et la Ville de Genève, les SIG, les TPG, la HES-SO
Genève, le parti Socialiste, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes privées.
48
La CCPDTA, le Centre LAVI, les communes de Bernex, Chêne-Bourg, Meinier, Presinge et Vandoeuvres, l'AIG,
l'HG, l'IMAD, les Vert-e-s genevois-es, l'UDC, le parti le CENTRE, SécuSIGE, la SFIDP, l'UAPG et Mme M.-F./
Lücker-Babel.
49 La BCGE, les communes de Laconnex et Soral, la CPEG, les HUG, les EPI et M. Thomas Dagonnier.

21

137/189

PL 13347

19 participantes et participants se sont déclarés tout à fait d'accord. 50
15 participantes et participants se sont déclarés plutôt d'accord. 51 La CCPDTA regrette
toutefois que l'obligation d'informer la personne concernée ne s'impose que lorsque l'annonce
est nécessaire à sa protection, laquelle nécessité étant de surcroît laissée à la libre
appréciation du responsable de traitement. Le Centre LAVI estime pour sa part qu'il ne sera
en mesure d'annoncer une éventuelle violation de la sécurité des données qu'avec l'accord
des personnes concernées en raison du secret LAVI et craint ainsi des problèmes d'application
en l'absence de consentement des personnes concernées. L'IMAD estime que la disposition
mériterait des précisions dans le cadre du règlement d'application, en s'inspirant notamment
de l'ordonnance fédérale, et que les institutions concernées devront être consultées. Elle
estime notamment que la marge d'appréciation laissée au responsable de traitement quant à
la nécessité de la protection est trop grande. Elle souhaiterait aussi que le délai d'annonce
auprès des personnes concernées soit précisé et que l'obligation d'annonce soit également
prévue pour le sous-traitant. Les Vert-e-s genevois-es estiment que la marge d'appréciation
pour restreindre ou différer l'annonce est trop grande et proposent que le responsable de
traitement ne puisse le faire qu'avec l'accord du PPDT.
2 participants, les TPG et le parti Socialiste, ne sont pas d'accord. Les TPG s'interrogent sur
la différence sémantique entre le « secret » en droit fédéral et le « secret spécial » mentionné
à l'alinéa 5. Ils estiment que le secret de fonction simple ne devrait pas pouvoir faire obstacle
à l'annonce d'une violation de la sécurité des données. S'estimant soumis au RGPD de par
leur activité transfrontalière, les TPG craignent que l'alinéa 5 les mette en porte à faux avec
les autorités françaises. Enfin, ils relèvent que l'obligation d'annonce du droit européen est
plus précise avec un délai de 72h maximum et que cela délai, bien que court, pourrait leur
convenir dans l'optique d'une harmonisation. Le parti Socialiste formule les mêmes
remarques que les TPG. Ils estiment en outre que les motifs d'exclusion, à savoir la possibilité
de restreindre ou de différer l'information, sont trop importants et qu'il conviendrait de s'en tenir
au droit européen.
La commune de Cologny n'est pas du tout d'accord, mais ne commente pas sa position.
7 participantes et participants n'ont pas pris position. 52 La commune de Laconnex demande
toutefois comment sera déterminé le niveau élevé de risque et par qui.
3.3.7. Proposition 7: Devoir d’informer la personne concernée et droits de la
personne concernée en cas de décision individuelle automatisée
3.3.7.A.

Devoir d’informer la personne concernée

L’avant-projet prévoit l’obligation du responsable du traitement d’informer la personne
concernée lors de la collecte de données et ses modalités, ainsi que les exceptions à cette
même obligation. Le devoir d’informer renforce la transparence des traitements et, par voie de
conséquence, les droits de la personne concernée.
La proposition 7.A figure aux articles 38 et 38A de l’avant-projet.
50 Les communes d'Avusy, Chêne-Bourg, Chêne-Bougeries, Plan-les-Ouates, Vandoeuvres et la Ville de Genève,
l'HG, les SIG, les EPI, la HES-SO Genève, l'UDC, le parti le CENTRE, SécuSIGE, l'UAPG, l'UNIGE (faculté de
droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées.
51 La CCPDTA, le Centre LAVI, les communes d'Avully, Bernex, Carouge, Collonge-Bellerive, Gy, Meinier et
Veyrier, l'AIG, les HUG, l'IMAD, les Vert-e-s genevois-es, la SFIDP et Mme M.-F. Lücker-Babel.
52 La BCGE, les communes de Laconnex, Presinge et Soral, la CPEG, deux personnes privées dont M. Thomas
Dagonnier.

22

PL 13347

138/189

80% des participantes et participants sont tout à fait d’accord ou plutôt d’accord avec les
propositions.
16 participantes et participants se sont déclarés tout à fait d'accord. 53
19 participantes et participants se sont déclarés plutôt d'accord. 54 La CCPDTA relève un
manque d'exigences relatives à l'accessibilité et à la qualité de l'information fournie aux
personnes concernées, ainsi qu'à son adaptation aux capacités cognitives et numériques des
destinataires. L'AIG indique qu'il ne lui apparaît pas opportun de devoir informer une deuxième
fois les personnes concernées lorsqu'une entité soumise à la loi reçoit des données
personnelles de la part d'un responsable de traitement qui a bien respecté son obligation
d'information. L'IMAD estime qu'il serait judicieux de préciser, à l'instar du droit fédéral,
l'objectif de ce devoir d'informer, soit que la personne concernée puisse faire valoir ses droits
en application de la LIPAD et que la transparence des traitements soient garanties. Pour les
données non collectées auprès de la personne concernée, l'IMAD s'interroge sur la
signification du terme « utilisation » et relève que le droit fédéral est plus précis cet aspect.
Les TPG et le parti Socialiste indiquent que le RIPAD devrait préciser les cas où l'information
n'est pas possible ou « exige un effet disproportionné ». Le parti le CENTRE et Madame
Lücker-Babel, rejoignant en ce sens la CCPDTA, estiment que l'information à fournir doit
revêtir certaines qualités, notamment être précise, complète, aisément accessible et
compréhensible, et adaptée aux capacités cognitives et numériques, mise à jour et réitéré. En
outre, pour les mineurs de plus de 16 ans, l'information doit leur être remise personnellement.
L'UAPG est d'avis qu'il faudrait réserver à l'art. 38A, al. 1 APL, à l'instar du droit fédéral (art.
20, al. 1, let. c nLPD), l'existence de secrets faisant obstacle à ce devoir d'information.
S'agissant de la communication de données à l'étranger (al. 3), le rectorat de l'Université de
Genève estime qu'il serait préférable de se calquer sur le régime fédéral (art. 19, al. 4 nLPD)
et d'utiliser la même terminologie, à savoir « le nom de l'Etat ou de l'organisme international »,
comme d'ailleurs également utilisée à l'art. 43, al. 3, let.c APL.
4 entités, les communes Laconnex, Collonge-Bellerive et Soral ainsi que le SécuSIGE, ne
sont pas d'accord avec la proposition. La commune de Laconnex estime que cette disposition
est disproportionnée par rapport à l'usage administratif « très banal » des données
personnelles, à caractère nullement sensible. Les deux autres communes ne commentent pas
leur position. Le SécuSIGE estime que les règles sur la communication ne sont pas adaptées
(à tout le moins aux institutions avec activités commerciales) et qu'une reprise du droit fédéral
serait préférable.
2 communes, Avully et Cologny, ne sont pas du tout d'accord, mais ne commentent pas leur
position.
3 participantes n'ont pas pris position. 55
3.3.7.B.

Droits de la personne concernée en cas de décision individuelle
automatisée

L’avant-projet règlemente également le devoir d’informer la personne concernée en cas de
décision individuelle automatisée, soit une décision entièrement prise par une machine et qui
Les communes de Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de
Genève, l'HG, les SIG, les EPI, la HES-SO Genève, l'UDC, l'UNIGE (faculté de droit), le PJ (SG) et 3 personnes
privées dont M. Thomas Dagonnier.
54
La CCPDTA, le Centre LAVI, les communes d'Avusy, Bernex, Carouge, Meinier et Veyrier, l'AIG, les HUG,
l'IMAD, les TPG, les Vert-e-s genevois-es, le parti Socialiste, le parti le CENTRE, la SFIDP, l'UAPG, l'UNIGE
(rectorat) et deux personnes privées, dont Mme M.-F. Lücker-Babel.
55 La BCGE, la CPEG et la commune de Gy.
53

23

139/189

PL 13347

suppose un pouvoir d’appréciation de cette dernière sur la base d’une évaluation des données
personnelles à sa disposition, que la machine les ait « apprises » ou qu’un être humain les ait
programmées.
La proposition 7.B figure à l’article 38B de l’avant-projet.
80% des participantes et participants sont tout à fait d’accord ou plutôt d’accord avec les
propositions.
19 participantes et participants se sont déclarés tout à fait d'accord avec la proposition. 56 Les
TPG relèvent que ce principe constitue un des socles de la protection des données dans
l'optique citoyenne, face au développement des technologies basées sur l'intelligence
artificielle et qu'à ce titre, il mérite d'être précisé. L'UAPG relève toutefois que contrairement
à l'art. 21 al. 3 nLPD, l'art. 38B AP– LIPAD ne contient pas d'exception, et estime que l'on
devrait reprendre les exceptions du droit fédéral. L'UNIGE (faculté de droit) relève que cet
ajout permet de se conformer aux nouvelles législations de protection des données. Une
personne privée anonyme indique qu'il ne devrait pas y avoir de décision individuelle
automatisée sans un regard final humain.
16 participantes et participants se sont déclarés plutôt d'accord. 57 La CCPDT souhaiterait que
la disposition cantonale précise, à l'instar de la Convention 108+ révisée : «A la demande de
la personne faisait l’objet d’une décision individuelle automatisée, le responsable de traitement
lui communique le raisonnement qui sous–tend le traitement des données, en particulier la
logique et les critères à la base de celle–ci. ». Dans le même sens, le parti le CENTRE et
Mme Lücker-Babel proposent d'ajouter que la personne concernée a le droit « d’obtenir, à sa
demande, connaissance du raisonnement qui sous-tend le traitement de données, lorsque les
résultats de ce traitement lui sont appliqués ». L'IMAD est d'accord sur le principe mais estime
qu'il serait judicieux de reprendre les exceptions au devoir d'information prévues à l'art. 21, al.
3 nLPD, tout en précisant que le responsable du traitement doit, dans ce cas, mettre en œuvre
des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de
la personne concernée. La HES-SO estime que les notions de « logique » et de « critères »
évoquées au nouvel art 38B, al. 2, 1ère phrase, sont trop sujettes à interprétation et qu'il
conviendrait de les définir davantage. Les Vert-e-s genevois-es proposent d'ajouter que le
responsable de traitement informe la personne concernée des voies et délais de recours
possibles.
1 entité, le Centre LAVI, n'est pas d'accord, mais ne commente pas sa position sur ce point.
Concernant l'article 39 LIPAD relatif à la communication des données, il estime que cet article
lui sera inapplicable en raison du secret LAVI.
1 entité, la commune d'Avully, n'est pas du tout d'accord, sans autre commentaire.
7 participantes et participants n'ont pas pris position. 58
3.3.8.Proposition 8: Modification de la norme relative aux traitements à des fins
générales ne se rapportant pas à des personnes
Il s’est avéré dans la pratique que le droit genevois pouvait être beaucoup plus strict que le
droit fédéral en la matière, et que la procédure prévue pour les traitements de données
Les communes de Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de
Genève, l'HG, les SIG, les TPG, le parti Socialiste, l'UDC, SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE
(rectorat), le PJ (SG) et 3 personnes privées.
57 La CCPDTA, les communes d'Avusy, Bernex, Carouge, Laconnex, Meinier et Veyrier, l'AIG, les HUG, l'IMAD,
les EPI, la HES-SO, les Vert-e-s genevois-es, le parti le CENTRE, la SFIDP et Mme M.-F. Lücker-Babel.
58 La BCGE, les communes de Collonge-Bellerive, Cologny, Gy et Soral, la CPEG et M. Thomas Dagonnier.
56

24

PL 13347

140/189

personnelles sensibles était beaucoup trop lourde dans un domaine où la réactivité doit être
de mise. Il faut souligner que les traitements de données personnelles visés par cette
proposition ne se rapportent pas à des personnes. Cette disposition a donc été entièrement
remaniée, tout en prévoyant les conditions auxquelles de tels traitements peuvent être admis.
La proposition 8 figure à l’article 41 de l’avant-projet.
80% des participantes et participants sont tout à fait d’accord ou plutôt d’accord avec les
propositions.
23 participantes et participants se sont déclarés tout à fait d'accord. 59 L'IMAD suggère, à
l'instar de ce que prévoit l'article 35 de l'ordonnance fédérale de la lois sur la protection des
données personnelles, de préciser dans le RIPAD, dont le contenu révisé devra être soumis
aux institutions concernées, que lorsque des données personnelles sont traitées à des fins ne
se rapportant pas à des personnes (recherche, planification ou statistique) et que le traitement
sert également une autre finalités, les dérogations prévues à l'article 41, alinéa 2 APL ne
s'appliquent qu'au seul traitement effectué à des fins ne se rapportant pas à des personnes.
12 participantes et participants se sont déclarés plutôt d'accord. 60 Les TPG estiment qu'il aurait
été souhaitable de faciliter les échanges d'informations pour les institutions soumises à la loi.
Le parti Socialiste estime que la condition « indépendamment des buts pour lesquels [les
données] ont été collectées » figurant à l’alinéa 1 devrait être complétée par une obligation
d’informer sur ces buts dans le cadre de la publication du traitement prévu à la lettre d). Le
parti le CENTRE souhaite remplacer la lettre b par « l'institution ne communique les données
sensibles que sous une forme ne permettant pas d'identifier les personnes concernées » - afin
que les personnes concernées ne soient jamais identifiables.
2 entités, les Vert-e-s genevois-es et le rectorat de l'Université de Genève, ne sont pas
d'accord. Les Vert-e-s genevois-es estiment que les modifications apportées à l'art. 41 LIPAD
sont trop larges. Ils proposent d'ajouter une lettre e) à l'alinéa 1 dont la teneur serait la
suivante : « e) Lorsqu'il s'agit de données personnelles sensibles, le préposé cantonal est
préalablement informé avec les précisions utiles sur le traitement qu'il est prévu de faire des
données et sa nécessité ». Le rectorat de l'Université de Genève indique essentiellement
que limiter la communication de données personnelles sensibles à des fins de recherche aux
seules entités bénéficiant d’un statut de droit public aurait pour conséquence d’exclure toute
collaboration nécessitant le partage de données sensibles ou des profils de la personnalité
avec des institutions ou entités relevant du droit privé. La recherche à l’Université de Genève
serait ainsi considérablement entravée. Il propose d’introduire une dérogation à l’art. 41 al. 1
let. b, qui pourrait prendre la forme d’un alinéa complémentaire formulé comme suit : «2 En
dérogation à l’alinéa 1 lettre b), les entités dont la recherche scientifique fondamentale ou
appliquée est une mission principale sont en droit de communiquer à des personnes privées
des données sensibles sous une forme permettant d’identifier les personnes concernées si
une telle communication est nécessaire à la réalisation du projet de recherche visé et
accompagnée de toutes les mesures organisationnelles et techniques appropriées pour en
assurer la sécurité. » Alternativement, il propose de compléter l’art. 7A LU (cf. proposition
12.B) afin d’exclure l’application de l’art. 41 al. 1 let. b.
7 participantes et participants ne se prononcent pas. 61
La CCDPA, les communes d'Avully, Avusy, Chêne-Bougeries, Chêne-Bourg, Collonge-Bellerive, Cologny, Planles-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'AIG, l'HG, l'IMAD, les SIG, la HES-SO, le SécuSIGE,
l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et 3 personnes privées, dont Mme M.-F. Lücker-Babel.
60 Les communes de Bernex, Carouge, Gy, Laconnex, Meinier, Soral et Veyrier, les HUG, les TPG, le parti
Socialiste, l'UDC et le parti le CENTRE.
59

61 La BCGE, le Centre LAVI, la CPEG, les EPI, la SFIDP et deux personnes privées, dont M. Thomas
Dagonnier.

25

141/189

PL 13347

3.3.9.Proposition 9: Registre des activités de traitement en remplacement du
catalogue des fichiers
L’avant-projet remanie la disposition existante relative au catalogue des fichiers, notamment
suite à la disparition de la notion de fichier et son remplacement par la notion de traitement. Il
précise les informations que les institutions doivent fournir à l’appui des déclarations de leurs
activités de traitement et celles qu’elles doivent pouvoir fournir à la préposée cantonale ou au
préposé cantonal (PPDT) sur requête de ces derniers. Comme à l’heure actuelle, des
exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins
administratives internes, qui ne présentent manifestement pas de risques pour les droits des
personnes concernées, doivent pouvoir être prévues.
La proposition 9 figure à l’article 43 de l’avant-projet.
63% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord
avec la proposition.
14 participantes et participants se sont déclarés tout à fait d'accord. 62 SécuSIGE estime que
l'évolution est bienvenue et demande s'il est prévu de procéder à une refonte totale de
CATFICH.
14 participantes et participants se sont déclarés plutôt d'accord. 63 Les HUG indiquent que la
formulation ne permet pas de comprendre avec certitude si le traitement de données sans
base légale ad hoc, mais dans le cadre de l'accomplissement de leurs tâches légales (art. 36,
al. 1 APL) doit faire l'objet d'une annonce. L'IMAD indique qu'il conviendrait de rajouter un
alinéa concernant le registre du sous-traitant comme prévu par la nLPD et le RGPD. Les Verte-s genevois considèrent que les institutions doivent fournir les informations demandées par
le ou la préposé–e sans exception possible sous réserve de l’alinéa 4. En outre, ils estiment
qu'il convient de supprimer les termes « dans la mesure du possible » figurant aux lettres a et
b de l'alinéa 3. Une personne anonyme estime que les informations fournies selon l'article
43, alinéa 3 devraient être fournies d'office et non pas sur requête. Concernant les points a et
b de cet alinéa, les informations devraient obligatoirement être fournies et non pas seulement
« dans la mesure du possible ». Enfin, le rectorat de l'Université de Genève propose
d’étendre les possibles exceptions de déclarer aux traitements visés par l’article 41, en
complétant l’article 43, alinéa 4 : « Le Conseil d’Etat peut prévoir des exceptions à l’obligation
de déclarer pour certaines catégories de traitement à des fins générales ne se rapportant pas
à des personnes ou à des fins administratives internes ».
5 participantes et participant, les communes de Carouge, Laconnex, Soral, le parti le
CENTRE et Mme Lücker-Babel, ne sont pas d'accord. La commune de Laconnex n'est pas
d'accord avec l'alinéa 4. Elle estime que les administrations publiques communales doivent
pouvoir déterminer de manière autonome, sans que cela soit tranché par l'Etat, quelles sont
les activités de traitement qui sont indispensables à remplir leurs tâches administratives
internes. Le parti le CENTRE et Mme Lücker-Babel estiment que les termes « dans la
mesure du possible » aux lettres a et b de l'alinéa 3 constituent un réel facteur de risque.
3 participantes, la CCPDTA, les communes d'Avully et Cologny, ne sont pas du tout
d'accord. La CCPDTA estime que les termes « dans la mesure du possible » ne se justifient
pas car les informations doivent être transmises dans tous les cas. En outre, elle estime que
62 Les communes de Chêne-Bougeries, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève,
l'HG, les SIG, les TPG, la HES-SO, le parti Socialiste, SécuSIGE, l'UNIGE (faculté de droit), le PJ (SG)
et une personne privée anonyme.

Les communes d'Avusy, Bernex, Collonge-Bellerive et Meinier, l'AIG, les HUG, l'IMAD, les EPI, les Vert-e-s
genevois-es, l'UDC, la SFIDP, l'UAPG, l'UNIGE (rectorat) et une personne privée anonyme.

63

26

PL 13347

142/189

les institutions doivent fournir la description « détaillée » des mesures visant à garantir la
sécurité des données (art. 43, al. 3 let. b). La commune d'Avully propose de supprimer
l'article 43, estimant que la tenue d'un tel registre est inutile. Ce type d'information n'est jamais
à jour. Selon elle, une disposition précisant que l'institution peut être tenue de transmettre un
catalogue ou un registre contenant les informations traitées suffirait.
8 participantes et participants ne se sont pas prononcés. 64
3.3.10. Proposition 10: Droit d’accès aux données personnelles, prétentions et
mise en œuvre
L’avant-projet reprend, en la remaniant, la notion du droit d’accès aux données personnelles
déjà connue dans la LIPAD actuelle et ses modalités. On rappellera que le droit d’accès
complète l’obligation d’informer du responsable du traitement ; il est la clé qui permet à la
personne concernée de faire valoir les droits que lui octroie la loi. Ce droit appartient à toute
personne physique ou morale de droit privé et ne dépend d’aucun intérêt particulier. Cela
signifie qu’il n’y a aucune restriction liée à la nationalité, au domicile ou à l’âge, voire à la
personnalité de la personne concernée ou à l’usage qu’elle compte faire de ses données. Elle
n’a en outre pas à motiver sa demande. L’avant-projet de loi qui vous est soumis remanie
également la disposition relative aux prétentions que peut faire valoir la personne concernée
en matière d’accès aux données personnelles ainsi que la disposition qui concerne la phase
non contentieuse des demandes d’accès. Désormais, les institutions statueront directement
sur les prétentions de la requérante ou du requérant ; il n’y aura donc plus la phase
intermédiaire de la recommandation des PPDT. Cette modification a été rendue nécessaire
suite aux nouvelles compétences des PPDT (voir infra proposition 11).
La proposition 10 figure aux articles 44, 45 et 49 de l’avant-projet.
77% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord
avec les propositions. Les critiques portent principalement sur la nécessité de prévoir une
communication compréhensible et adaptée aux capacités cognitives et numériques des
destinataires ainsi que de reprendre en droit cantonal les exceptions prévues par le droit
fédéral afin notamment d’éviter que le but du droit d’accès soit détourné.
18 participantes et participants se sont déclarés tout à fait d'accord. 65Concernant l'article 49
de l’avant-projet, l'IMAD estime que la suppression de la phase intermédiaire relative à la
recommandation du PPDT et la prolongation du délai imparti au responsable de traitement
pour se déterminer sont cohérents. La faculté de droit de l'UNIGE relève que les articles
proposés correspondent aux nouvelles législations de protection des données.
16 participantes et participants se sont déclarés plutôt d'accord. 66 La CCPDTA remarque qu’il
manque des exigences relatives à l’accessibilité et à la qualité de l’information fournie aux
personnes concernées, ainsi qu’à son adaptation aux capacités cognitives et numériques des
destinataires. L'AIG estime que les exceptions au droit d’accès prévues par le droit fédéral
devraient être reprises dans le droit cantonal, notamment pour éviter que le but du droit d’accès
soit détourné (exception prévue à l’art. 26 al. 1 lit. c nLPD). Les Vert-e-s genevois-es ont
l'impression que l'article 49 est incomplet car il ne prévoirait aucune possibilité de recours à
64 La BCGE, le Centre LAVI, les communes de Chêne-Bourg, Gy et Veyrier, la CPEG et 2 personnes privées dont
M. Thomas Dagonnier.
65
Les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Cologny, Plan-les-Ouates, Vandoeuvres et la Ville de
Genève, l'HG, l'IMAD, les SIG, les TPG, la HES-SO Genève, le parti Socialiste, l'UDC, l'UNIGE (faculté de droit),
le PJ (SG) et deux personnes privées anonymes.
66
La CCPDTA, les communes de Bernex, Carouge, Collonge-Bellerive, Gy, Meinier et Presinge, l'AIG, les HUG,
les Vert-e-s genevois-es, le parti le CENTRE, la SFIDP, l'UAPG, l'UNIGE (rectorat), deux personnes privées, dont
Mme M.-F. Lücker-Babel.

27

143/189

PL 13347

l'encontre de la décision en matière de protection des données, l'article 60 (objet du recours)
prévoyant seulement un droit de recours pour la procédure d'accès aux documents. Ils
estiment que la manière dont le PPDT peut intervenir est peu claire. Le parti le CENTRE et
Mme Lücker-Babel estiment que l'article 44, alinéa 2 devrait préciser que l'information sur
l'exercice de ses droits sera précise, complète, aisément accessible, compréhensible et
adaptée aux capacités cognitives et numériques des destinataires (cf. l'art. 12 RGPD). Mme
Lücker-Babel ajoute que les articles 44 et 47 LIPAD doivent garantir que les démarches et
procédures à observer pour accéder à ses données et pour exercer ses « prétentions » seront
elles aussi simples, aisément accessibles, non bureaucratiques, et adaptées aux capacités
des personnes concernées. Enfin, le rectorat de l'Université de Genève ne voit pas l'utilité
de notifier la décision prise au PPDT et suggère de supprimer cette notification.
3 entités, les communes de Laconnex, Soral et le SécuSIGE, ne sont pas d'accord. La
commune de Laconnex estime que la mesure est excessive et devrait être réduite à une
demande strictement portant les données sensibles. La commune de Soral n'est pas
d'accord, mais sans commentaire. Le SécuSIGE considère que les exceptions au droit d'accès
prévues par le droit fédéral devraient intégralement être reprises afin d'éviter notamment que
le but du droit d'accès soit détourné (exception prévue à l'art. 26, al. 1, let. c nLPD). Il estime
qu'il serait judicieux de prévoir que chaque institution institue un guichet uniquement pour les
demandes faites en application des articles 44 et suivants.
1 entité, la commune d'Avully, n'est pas du tout d'accord, mais sans commentaire.
6 participantes et participants ne se sont pas prononcés. 67
3.3.11. Proposition 11: Conseillères et conseillers LIPAD et PPDT
3.3.11.A. Les conseillères et conseillers LIPAD
L’avant-projet remanie les dispositions relatives aux actuels responsables LIPAD, désormais
appelés conseillères et conseillers à la protection des données et à la transparence
(conseillères et conseillers LIPAD). Il mentionne la fonction de conseil et de soutien de ces
derniers, et le fait qu’ils doivent être associés de manière appropriée aux activités de traitement
accomplies au sein de l’institution. Il adapte par ailleurs notamment les tâches que les
conseillères et conseillers LIPAD sont amenés à accomplir aux nouvelles exigences en
matière d’analyse d’impact et de violation de la sécurité des données.
La proposition 11.A figure aux articles 50 et 51 de l’avant-projet.
80% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord
avec les propositions concernant la fonction de conseiller et conseillère LIPAD. Les remarques
principales portent sur la nécessité de prévoir des formations continues afin d’assurer une
mise à jour de leurs connaissances. Parmi les opposants, les critiques portent sur des motifs
divers, à savoir les coûts engendrés pour les institutions, la lourdeur des tâches pour les petites
institutions ou encore le fait que cette fonction serait inappropriée pour les entités d’une
certaine importance, pour lesquelles un délégué général LIPAD serait préconisé.
17 participantes et participants se sont déclarés tout à fait d'accord. 68 L'IMAD indique que la
mise en conformité à la nLPD et à la LIPAD révisée nécessite la création de plusieurs ETP
dont le financement doit être garanti aux institutions concernées. Les TPG et le parti
Socialiste indiquent qu'il conviendrait de préciser dans le RIPAD s'il y a des formations
67 La BCGE, le Centre LAVI, la commune de Veyrier, la CPEG, les EPI et M. Thomas Dagonnier.

68 Les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge et Vandoeuvres, l'IMAD,
les SIG, les TPG, les Vert-e-s genevois-es, le parti Socialiste, le parti le CENTRE, l'UNIGE (faculté de droit),
l'UNIGE (rectorat) et 3 personnes privées, dont M. Thomas Dagonnier.

28

PL 13347

144/189

spécifiques ou appropriées, respectivement des expériences équivalentes que les conseillers
LIPAD doivent avoir pour être désignés par l'entreprise. Ils estiment qu'il faudrait également
préciser que l'entreprise doit s'assurer que les connaissances soient mises à jour. En outre,
les TPG relèvent que le RGPD prévoit la désignation d'un DPO (Data Protection Officer) et
indiquent qu'il serait intéressant de préciser si les deux fonctions peuvent être cumulées ou
non. En raison de la proximité avec la France, cette situation est plus marquée dans le canton
de Genève et mérite une attention particulière. La faculté de droit de l'UNIGE relève que
l'article 50 de l’avant-projet reprend un substance l'actuel 50 LIPAD, avec quelques
modifications terminologiques adaptées au droit fédéral. Les responsables LIPAD sont
désormais dénommés "conseillères et conseillers à la protection des données et à la
transparence".
18 participantes et participants se sont déclarés plutôt d'accord. 69 La CCPDTA estime
également qu'il conviendrait de préciser que les connaissances des conseillères et conseillers
doivent être mises à jour dans le cadre de formations continues. Elle propose une
reformulation de l'alinéa 1 en 3 alinéas: le premier alinéa concernerait le principe de la
désignation, l'alinéa 2 les missions des conseillères et conseillers et l'alinéa 3 leurs formations.
L'HG et le PJ relèvent une coquille à l'alinéa 3, l'instance visée à cet alinéa devant être celle
de l'alinéa 2. Sur le fond, l'HG estime que la mission de concourir à l'établissement des
analyses d'impact est excessive. Selon l'HG, les conseillères et conseillers LIPAD n’ont en
règle générale ni le temps (ayant la plupart du temps d’autres fonctions que celle de conseiller
LIPAD) ni les compétences (en informatique en particulier) pour concourir à l’établissement
d’une telle étude, de sorte que le texte devrait être modifié dans le sens qu'elles ou ils offrent
leur conseils et soutien dans le cadre des études d'impact. La HES-SO relève une possible
contradiction entre l'article 51, al. 1 et les articles 44 et 49 APL concernant l'interlocuteur des
personnes concernées et estime qu'il conviendrait de coordonner les entités compétentes. Le
SécuSIGE estime qu'il faudra intégrer dans le RIPAD que l'Etat doit assurer la formation et les
moyens d'informer les personnes désignées. L'UAPG est favorable aux modifications
proposées pour autant que cela ne génère pas une augmentation des coûts pour l'Etat.
3 entités, le Centre LAVI, la commune de Collonge-Bellerive et la Ville de Genève, ne sont
pas d'accord. Principalement, le Centre LAVI relève que les coûts engendrés devront être
évalués et pris en compte dans le projet de loi, le Centre LAVI ne disposant à l’heure d’aucun
budget lui permettant de répondre à ces obligations. La commune de Collonge-Bellerive
considère qu'il s'agit de lourdes tâches pour les petites institutions nécessitant une formation
très pointue. Quant à la Ville de Genève, elle estime que la notion de conseillère et conseiller
LIPAD est inappropriée pour les entités d'une certaine importance. Pour sa part, elle souhaite
continuer à disposer d'une ou d'un délégué général LIPAD. Il s'agit pour elle d'une
problématique liée à l'efficacité de la mise en œuvre de ladite loi au sein de l'entité.
1 entité, la commune de Carouge, n'est pas du tout d'accord, mais sans commentaire.
5 participantes et participants ne se sont pas prononcé. 70
3.3.11.B. Les PPDT
Le rôle et les pouvoirs de ces derniers sont renforcés, notamment les pouvoirs de contrôle,
afin qu’ils soient comparables à ceux des autorités de contrôle des autres pays européens.
Les PPDT peuvent désormais prendre des décisions contraignantes à l’égard des
responsables du traitement, à l’exclusion, toutefois de sanctions administratives.

69 La CCPDTA, les communes de Bernex, Cologny, Gy, Laconnex, Meinier et Soral, l'AIG, l'HG, les HUG, les EPI,
la HES-SO Genève, l'UDC, le SécuSIGE, la SFIDP, l'UAPG, le PJ (SG) et Mme M.-F. Lücker-Babel.
70
La BCGE, les communes d'Avully et Veyrier, la CPEG et une personne privée anonyme.

29

145/189

PL 13347

La proposition 11.B figure aux articles 55A, 56, 56A 56B, 56C et 56E de l’avant-projet.
Bien que 68% des participantes et participants se soient déclarés tout à fait d’accord ou plutôt
d’accord avec la proposition, les dispositions sur les pouvoirs des PPDT sont finalement les
plus critiquées de l’avant-projet.
De manière plus détaillée :
16 participantes et participants se sont déclarés tout à fait d'accord. 71
14 participantes et participants se sont déclarés plutôt d'accord. 72
6 participantes et participants ne sont pas d'accord avec la proposition. 73 Le Centre LAVI
relève que pour les organisations nouvellement concernées par le volet « protection des
données », les articles 50, 56A à C APL impliqueront la mise en place de compétences et
procédures représentant un travail ainsi que des frais importants. Elle estime en outre qu'en
raison du secret spécial LAVI un certain nombre de dispositions de la LIPAD ne lui seront pas
applicables. La commune de Laconnex indique que l'avis du PPDT sur les projets d'actes
législatifs doit être donné dans les meilleurs délais afin d'éviter des retards excessifs dans
l'entrée en vigueur des décisions législatives communales. S'agissant de l'article 56C de
l’avant-projet (mesures administratives du PPDT), elle estime que le PPDT ne peut disposer
que de compétences d'émettre un avis et non pas ordonner quelque mesure que ce soit.
L'IMAD relève que le renforcement des pouvoirs de contrôle du PPDT rendra complexe son
rapport avec les responsables de traitement et les conseillers et conseillères LIPAD.
S'agissant de l'art. 56B de l’avant-projet (Pouvoirs de contrôle du PPDT), l'IMAD indique qu'il
serait judicieux de préciser que le PPDT pourra renoncer à ouvrir une enquête lorsque la
violation des prescriptions de protection des données est de peu d'importance.
3 entités, la commune d'Avully, la CPEG et SécuSIGE, ne sont pas du tout d'accord. La
commune d'Avully ne commente pas sa position. La CPEG suggère d'aligner les pouvoirs
du PPDT, non sur ceux des autorités de contrôles des autres pays européens, mai sur ceux
du PFPDT. Quant au SécuSIGE, il est interpellé par le nouveau rôle du PPDT qui devient un
« super contrôleur » avec des prérogatives beaucoup plus larges qu'actuellement. Il rejette
absolument l'article 55A concernant l'autocontrôle du PPDT. Il souhaiterait ajouter un alinéa
précisant quelles sont les institutions autorisées à contrôler le PPDT. Il estime par ailleurs
indispensable que l'Etat garantisse les ressources et moyens nécessaires au PPDT et propose
d'ajouter un article qui imposerait à l'Etat de mettre à la disposition du PPDT les moyens
techniques, financiers et humains nécessaires à sa charge et proportionnés. Il s'interroge
également sur la responsabilité du PPDT en cas de violation de la sécurité des données suite
à l'application de mesures imposées par ce dernier au responsable de traitement. S'agissant
de l'article 56B de l’avant-projet (pouvoirs de contrôle du PPDT en matière de protection des
données personnelles), il estime que l'article n'est pas clair sur le type de contrôle que le PPDT
peut exercer. Il estime que les institutions devraient pouvoir lui demander par exemple
d'exécuter un contrôle sur un sous-traitant spécifique. S'agissant de l'article 56C (mesures
administratives du PPDT), il propose d'instituer une borne sur la cessation des activités de
traitement ordonnées par le PPDT, par exemple de trois ou six mois, afin d'éviter qu'une
mesure de cessation se mue en une interdiction dans les faits. Il convient également selon lui
de prévoir que le PPDT confirme explicitement la prolongation de la cessation de traitement,
pour éviter des blocages intempestifs.
71 La CCPDTA, les communes de Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge, Vandoeuvres et la
Ville de Genève, l'HG, les SIG, la HES-SO Genève, les Vert-e-s genevois-es, l'UNIGE (faculté de droit), l'UNIGE
(rectorat), le PJ (SG) et deux personnes privées.
72 Les communes de Bernex, Carouge, Collonge-Bellerive, Cologny et Meinier, l'AIG, les HUG, les TPG, le parti
Socialiste, l'UDC, la SFIDP, l'UAPG et deux personnes privées, dont Mme M.-F. Lücker-Babel.
73
Le Centre LAVI, les communes d'Avusy, Laconnex, Soral et Veyrier, ainsi que l'IMAD.

30

PL 13347

146/189

5 participantes et participants n'ont pas pris position. 74
3.3.12. Proposition 12: Modifications à d’autres lois
3.3.12.A. Modification à la loi sur la Haute école spécialisée de Suisse
occidentale – Genève
L’avant-projet propose de compléter la loi sur la Haute école spécialisée de Suisse occidentale
– Genève en introduisant une base légale spécifique relative au traitement de données
personnelles, y compris sensible, et au profilage, par cette dernière, dans la mesure
nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée,
en réservant les dispositions de la loi fédérale relative à la recherche sur l’être humain et celles
de la LIPAD, ainsi que celles de leurs règlementations d’application respectives. L'ajout d'une
base légale spécifique a été recommandé par le préposé cantonal à la protection des données
et à la transparence.
La proposition 12.A figure à l’article 2, alinéa 1 souligné de l’avant-projet.
13 participantes et participants se déclarent tout à fait d'accord. 75
8 participantes et participants se déclarent plutôt d'accord, mais sans commentaire. 76
2 entités ne sont pas d'accord. La commune de Carouge ne commente pas sa position. Les
TPG estiment que l'article doit laisser aussi la place à des collaborations possibles entre les
écoles et les institutions. Les institutions soumises à la LIPAD devraient avoir la possibilité
d'avoir accès à ces données lorsqu'il s'agit de recherche et développement ou de collaboration
entre elles. Ils mentionnent leurs collaborations avec les HES et indiquent qu'il est nécessaire
de laisser possible ces collaborations.
La commune de Cologny n'est pas du tout d'accord avec la proposition, mais ne commente
pas sa position.
20 participantes et participants n'ont pas pris position. 77
3.3.12.B. Modification à la loi sur l’Université
L’avant-projet propose de compléter la loi sur l’Université en introduisant une base légale
spécifique relative au traitement de données personnelles, y compris sensible, et au profilage,
par cette dernière, dans la mesure nécessaire à la réalisation de sa mission de recherche
scientifique fondamentale et appliquée, en réservant les dispositions de la loi fédérale relative
à la recherche sur l’être humain et celles de la LIPAD, ainsi que celles de leurs règlementations
d’application respectives. L'ajout d'une base légale spécifique a été recommandé par le
préposé cantonal à la protection des données et à la transparence.
La proposition 12.B figure à l’article 2, alinéa 2 souligné de l’avant-projet.
74 La BCGE, les EPI, la commune de Gy, le parti le CENTRE et M. Thomas Dagonnier.

75 La CCPDTA, les communes d'Avusy, Plan-les-Ouates, Presinge et la Ville de Genève, les SIG, la HES-SO
Genève, les Vert-e-s genevois-es, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et une personne
privée.
76
Les communes d'Avully et Chêne-Bourg, les HUG, le parti Socialiste, l'UDC, la SFIDP, l'UNIGE (rectorat) et une
personne privée.
77 La BCGE, le Centre LAVI, les communes de Bernex, Chêne-Bougeries, Collonge-Bellerive, Gy, Laconnex,
Meinier, Soral, Vandoeuvres et Veyrier, la CPEG, l'AIG, l'HG, l'IMAD, les EPI, le parti le CENTRE et 3 personnes
privées dont M. Thomas Dagonnier et Mme Lücker-Babel.

31

147/189

PL 13347

13 participantes et participants se sont déclarés tout à fait d'accord. 78
8 participantes et participants se sont déclarés plutôt d'accord. 79 Le rectorat de l'Université
de Genève émet toutefois une réserve importante. Il estime indispensable de préciser que
l'article 41, alinéa 1, lettre b de l’avant-projet ne s'applique à l'UNIGE. En effet, le rectorat
indique que ses partenaires académiques, de même que les hôpitaux ou les laboratoires
spécialisés avec lesquels l'UNIGE collabore n'ont pas nécessairement un statut de droit public
mais relève parfois du droit privé. Il estime que limiter la communication de données
personnelles sensibles à des fins de recherche (cf. art. 41 APL) aux seules entités bénéficiant
d'un statut de droit public aurait pour conséquence d'exclure toute collaboration avec des
institutions ou entités de droit privé. Il estime que la recherche à l'UNIGE serait ainsi
considérablement entravée. Alternativement à la modification de la loi sur l’université pour y
ajouter la non application de l'article 41, alinéa 1, lettre b aux activités de recherches de
l'UNIGE, le rectorat propose de modifier l'article 41 de l’avant-projet. Enfin, il indique qu'il est
nécessaire de bénéficier du même cadre légal pour l'enseignement et propose aussi de
modifier l'alinéa 1 en ce sens par une nouvelle proposition entièrement rédigée.
2 entités ne sont pas d'accord avec la proposition. La commune de Carouge ne commente
toutefois pas sa position. Quant aux TPG, ils réaffirment que l'article doit laisser aussi la place
à des collaborations possibles entre les écoles et les institutions. Les institutions soumises à
la LIPAD devraient avoir la possibilité d'avoir accès à ces données lorsqu'il s'agit de recherche
et développement ou de collaboration entre elles. Ils mentionnent leurs collaborations avec
l'UNIGE et indiquent qu'il est nécessaire de laisser possible ces collaborations.
Une seule entité, la commune de Cologny, n'est pas du tout d'accord mais ne commente pas
sa position.
20 participantes et participants n'ont pas pris position. 80
3.3.12.C. Modification à la loi sur les établissements publics médicaux
L’avant-projet propose de compléter la loi sur les établissements publics médicaux (LEPM) en
introduisant une base légale spécifique relative au traitement de données personnelles, y
compris sensible, et au profilage, par les HUG, dans la mesure nécessaire à la réalisation de
leur mission de recherche scientifique fondamentale et clinique, en réservant les dispositions
de la loi fédérale relative à la recherche sur l’être humain, celles de la LIPAD et celles de leurs
règlementations d’application respectives. Cet ajout se justifie par le fait que le PPDT a
recommandé l’introduction d’une telle base légale pour la HES-SO et l’Université et que la
LEPM ne contient pas, à ce jour, de disposition spécifique dans ce cadre.
La proposition 12.C figure à l’article 2, alinéa 4 souligné de l’avant-projet.
14 participantes et participants se sont déclarés tout à fait d'accord. 81

78 La CCPDTA, les communes d'Avusy, Plan-les-Ouates, Presinge et la Ville de Genève, les SIG, la HES-SO
Genève, les Vert-e-s genevois-es, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et une personne
privée.
79 Les communes d'Avully et Chêne-Bourg, les HUG, le parti Socialiste, l'UDC, la SFIDP, l'UNIGE (rectorat) et une
personne privée.
80 La BCGE, le Centre LAVI, les communes de Bernex, Chêne-Bougeries, Collonge-Bellerive, Gy, Laconnex,
Meinier, Soral, Vandoeuvres et Veyrier, la CPEG, l'AIG, l'HG, l'IMAD, les EPI, le parti le CENTRE, 3 personnes
privées, dont Mme M.-F. Lücker-Babel et M. Thomas Dagonnier.
81
La CCPDTA, les communes d'Avusy, Plan-les-Ouates, Presinge, Vandoeuvres et la commune de Genève, les
SIG, la HES-SO Genève, les Vert-e-s genevois-es, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et
une personne privée.

32

PL 13347

148/189

9 participantes et participants se sont déclarés plutôt d'accord. 82 Les HUG se posent la
question de savoir s'il ne conviendrait pas de prévoir le pendant de cette base légale pour les
missions de soins et d'enseignement des HUG. L'IMAD estime que l'article 41 de l’avant-projet
s'appliquerait à ses activités de recherches, notamment par son unité de recherche et
développement.
3 entités ne sont pas d'accord avec la proposition. Les communes de Carouge et Cologny
ne sont pas d'accord, mais ne commentent pas leur position. Les TPG émettent la même
réserve que celle qu'ils ont faite pour la modification de la LHES-SO Genève et celle de la LU
ci-dessus, soit que l'article laisse la possibilité pour les institutions soumises à la LIPAD de se
communiquer des données dans le cadre de collaboration entre elles. Ils mentionnent en
particulier leur collaboration avec les HUG concernant la réalité virtuelle.
Aucune entité ou personne privée ne s'est déclarée pas du tout d'accord avec la proposition.
Et 18 participantes et participants n'ont pas pris position. 83
3.3.13. Remarques générales de certaines participantes et certains participants
Une remarque finale et générale de l'archiviste de l'IMAD porte les exceptions aux articles 8
et 9 de la convention 208+ révisée réservées par l'article 11 §2 de ladite convention et la loi
sur les archives cantonales (LArch). Elle suggère d'ajouter un article dans la LIPAD pour
clarifier cet aspect.
Une personne privée, Thomas Dagonnier estime que l'accès aux documents et données
électroniques pourrait être amélioré, notamment en précisant l'article 24, alinéa 2 LIPAD pour
que l'accès comprenne « la consultation sur place des documents et l'obtention de copies »,
mais tout en laissant le choix du format de la copie (papier ou électronique). Il suggère
également de modifier l'article 25, alinéa 3 LIPAD qu'il estime trop restrictif car ne permettrait
pas selon lui de demander accès à une vidéo conservée uniquement électroniquement. Enfin
sa dernière remarque concerne les notions de brouillions et de documents inachevés qui
devraient à son sens être adaptées pour n'exclure que les documents sur lesquels une
personne travaille.
4. Consultation des documents
Conformément au principe de transparence, le dossier soumis à consultation (soit l'avantprojet de loi; le tableau comparatif; la liste des entités consultées) et, après expiration du délai
de consultation, les avis exprimés par les participantes et participants à la consultation, ainsi
que le présent rapport rendant compte des résultats de la consultation sont rendus publics.
Ces documents sont publiés sous forme électronique sur le site Internet de l'Etat de Genève.
5. Annexes
Sont annexés au présent rapport, le tableau Excel des prises de positions intégrales des
différentes entités et personnes ayant répondu à la consultation, ainsi que la détermination de
l’ACG du 4 mai 2023 accompagnée de son tableau comparatif.
***

82 Les communes d'Avully et Chêne-Bourg, les HUG, l'IMAD, le parti Socialiste, l'UDC, la SFIDP, l'UNIGE (rectorat)
et une personne privée.
83
La BCGE, le Centre LAVI, les communes de Bernex, Chêne-Bougeries, Collonge-Bellerive, Gy, Laconnex,
Meinier, Soral et Veyrier, la CPEG, l'AIG, l'HG, les EPI, le parti le CENTRE et 3 personnes privées, dont Mme M.F. Lücker-Babel et M. Thomas Dagonnier.

33

149/189

PL 13347

ANNEXE 5

PL 13347

150/189

151/189

PL 13347

PL 13347

152/189

153/189

PL 13347

PL 13347

154/189

155/189

PL 13347

PL 13347

156/189

2

1

Champ d’application

Elle s’applique également, sous réserve des alinéas 4 et 5 :
a) aux personnes morales et autres organismes de droit privé sur lesquels une
ou plusieurs des institutions visées à l’alinéa 1 exercent une maîtrise
effective par le biais, alternativement :
1° d’une participation majoritaire à leur capital social,
2° d’un subventionnement à hauteur d’un montant égal ou supérieur à 50%
de leur budget de fonctionnement, mais au minimum de 50 000 francs,

La présente loi s’applique aux institutions publiques suivantes (ci-après :
institutions publiques), sous réserve des alinéas 3 et 5 :
a) les pouvoirs exécutif, législatif et judiciaire cantonaux, ainsi que leurs
administrations et les commissions qui en dépendent;
b) les communes, ainsi que leurs administrations et les commissions qui en
dépendent;
c) les institutions, établissements et corporations de droit public cantonaux et
communaux, ainsi que leurs administrations et les commissions qui en
dépendent;
d) les groupements formés d’institutions visées aux lettres a à c.

Art. 3

Teneur actuelle

e) les groupements formés d'institutions visées aux lettres a, b et d.

c) la Cour des comptes;

La présente loi s’applique aux institutions publiques suivantes (ci-après :
institutions publiques), sous réserve des alinéas 3 et 5 :

1

Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les lettres
d et e), lettre e (nouvelle teneur), al. 6 (nouveau)

Art. 1 Modifications
La loi sur l’information du public, l’accès aux documents et la protection des
données personnelles, du 5 octobre 2001 (LIPAD – A 2 08), est modifiée comme
suit :

Projet de modification

Projet de loi modifiant la loi sur l’information du public, l’accès aux documents et la protection des données personnelles
(LIPAD – A 2 08)

Tableau comparatif

157/189
PL 13347

ANNEXE 6

Définitions

Dans la présente loi et ses règlements d’application, on entend par :
a) données personnelles (ou données), toutes les informations se rapportant à
une personne physique ou morale de droit privé, identifiée ou identifiable;
b) données personnelles sensibles, les données personnelles sur :
1° les opinions ou activités religieuses, philosophiques, politiques,
syndicales ou culturelles,
2° la santé, la sphère intime ou l'appartenance ethnique,
3° des mesures d'aide sociale,
4° des poursuites ou sanctions pénales ou administratives;

Art. 4

3° de la délégation en leur sein de représentants en position d’exercer un
rôle décisif sur la formation de leur volonté ou la marche de leurs
affaires;
b) aux personnes physiques ou morales et organismes chargés de remplir des
tâches de droit public cantonal ou communal, dans les limites de
l’accomplissement desdites tâches.
3
Le traitement de données personnelles par les institutions publiques n'est pas
soumis à la présente loi lorsqu'il :
a) se limite à la prise de notes à usage personnel;
b) est effectué par le Conseil supérieur de la magistrature, les juridictions et
les autres autorités judiciaires en application des lois de procédure pénale,
civile, administrative ou d'entraide judiciaire ou d'autres lois régissant leurs
activités, aux fins de trancher les causes dont ils sont ou ont été saisis ou de
remplir les tâches de surveillance dont ils sont ou ont été investis, sous
réserve de l’article 39, alinéa 3;
c) intervient dans le cadre des débats du Conseil d'Etat, du Grand Conseil, des
commissions parlementaires, des exécutifs communaux, des conseils
municipaux et des commissions des conseils municipaux.
4
Le traitement de données personnelles par une personne physique et morale de
droit privé n’est pas non plus soumis à la présente loi.
5
Le droit fédéral est réservé.

b) données personnelles sensibles, les données personnelles sur :
1° les opinions ou activités religieuses, philosophiques, politiques ou
syndicales,
2° la santé, la sphère intime ou l’origine raciale ou ethnique,
3° des mesures d'aide sociale,
4° des poursuites ou sanctions pénales ou administratives.
5° les données génétiques,

Dans la présente loi et ses règlements d’application, on entend par :

Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i
ancienne devenant la lettre n)

Le traitement de données personnelles effectué par la Banque cantonale de
Genève n’est pas soumis à la présente loi.

6

PL 13347
158/189

h) organe, tout membre ou tout mandataire d'une institution visée à l’article 3
et assumant, pour le compte de celle-ci, la diffusion active des informations
prévue à l’article 18, le traitement des demandes d’accès aux documents
régies par la présente loi, ou celui de données personnelles;
i) numéro d’identification personnel commun, le numéro commun à deux ou
plusieurs institutions constitué d’une suite de chiffres, comprenant cas
échéant des lettres et signes, qui est destiné à identifier des personnes
physiques ou morales recensées auprès de ces institutions.

e) traitement, toute opération relative à des données personnelles – quels que
soient les moyens et procédés utilisés – notamment la collecte, la
conservation, l'exploitation, la modification, la communication, l'archivage
ou la destruction de données;
f) communication, le fait de rendre accessibles des données personnelles ou
un document, par exemple en autorisant leur consultation, en les
transmettant ou en les diffusant;
g) personne concernée, la personne physique ou morale au sujet de laquelle
des données sont traitées;

d) fichier, tout système destiné à réunir, sur quelque support que ce soit, des
données personnelles d’un segment de population déterminé, et structuré de
manière à permettre de relier les informations recensées aux personnes
qu’elles concernent;

c) profil de la personnalité, un assemblage de données qui permet d’apprécier
les caractéristiques essentielles de la personnalité d’une personne physique;

j) violation de la sécurité des données personnelles, toute atteinte à la sécurité
des données personnelles entraînant de manière accidentelle ou illicite leur
perte, leur modification, leur effacement ou leur destruction, leur
divulgation ou un accès non autorisé à ces dernières;
k) anonymisation, traitement de données personnelles consistant à supprimer
définitivement toutes les données identifiantes ou tout moyen de retrouver
les données originales;

i) sécurité des données personnelles, ensemble des mesures organisationnelles
et techniques permettant d’assurer la confidentialité, et l’intégrité des
données personnelles;

g) responsable du traitement, institution publique au sens de l’article 3 qui,
seule ou conjointement avec d’autres, détermine les finalités et les moyens
du traitement de données personnelles;
h) sous-traitant, institution publique, organisme ou personne physique ou
morale qui traite des données personnelles pour le compte du responsable
du traitement;

f) personne concernée, la personne physique ou morale au sujet de laquelle des
données personnelles sont traitées;

6° les données biométriques identifiant une personne physique de façon
unique;
c) profilage, toute forme de traitement automatisé de données personnelles
consistant à utiliser ces données pour évaluer certains aspects d'une
personne, notamment pour analyser ou prédire des éléments concernant son
rendement au travail, sa situation économique, sa santé, ses préférences
personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou
ses déplacements;
d) traitement, toute opération relative à des données personnelles – quels que
soient les moyens et procédés utilisés – notamment la collecte,
l’enregistrement, la conservation, l’utilisation, l’extraction, la consultation,
la modification, la communication, le rapprochement ou l’interconnexion,
la limitation, l’effacement, la destruction ou l’archivage;
e) communication, le fait de rendre accessibles des données personnelles ou
un document, par exemple en autorisant leur consultation, en les
transmettant ou en les diffusant;

159/189
PL 13347

Art. 26
Exceptions
1
Les documents à la communication desquels un intérêt public ou privé
prépondérant s’oppose sont soustraits au droit d’accès institué par la présente loi.
2
Tel est le cas, notamment, lorsque l’accès aux documents est propre à :
a) mettre en péril la sécurité de l’Etat, la sécurité publique, les relations
internationales de la Suisse ou les relations confédérales;
b) mettre en péril les intérêts patrimoniaux légitimes ou les droits immatériels
d’une institution;
2

Tel est le cas, notamment, lorsque l’accès aux documents est propre à :

Art. 26, al. 2 lettre d (nouvelle teneur)

Art. 20A Cour des comptes (nouveau)
1
La Cour des comptes informe sur ses activités, notamment par le biais de la
publication de ses rapports et d’autres documents qu’elle considère d’intérêt public.
Dans ce cadre, elle veille à la protection du secret professionnel, de fonction, fiscal,
ou d’affaires des personnes entendues et de tout autre secret prévu par la loi.
2
Sans préjudice de l’application des lois régissant ses activités, la Cour des
comptes ne peut donner d’informations susceptibles de permettre l’identification
de l’auteure ou de l’auteur d’une communication ou d’une personne qu’elle a
entendue.
3
Elle veille au respect des règles professionnelles prohibant la transmission
d’informations ou la transmission de documents en matière d’audit, d’évaluation
ou de révision.
4
Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la
divulgation de certaines informations.

Art. 13A Huis clos (nouveau)
Les délibérations et autres séances de la Cour des comptes se tiennent à huis clos.

Section 4A Cour des comptes (nouvelle)
du chapitre I
du titre II

m) décision individuelle automatisée, toute décision prise exclusivement sur la
base d’un traitement automatisé de données, y compris le profilage, et qui
a des effets juridiques sur la personne concernée ou qui l’affecte de manière
significative.

PL 13347
160/189

4

Les institutions et les tiers dont l’article 26 vise à protéger les intérêts doivent être
consultés avant qu’une suite favorable ne soit donnée à une demande d’accès
susceptible de compromettre ces intérêts, et un bref délai leur être imparti pour faire
part de leur éventuelle opposition à la communication du document.

Art. 28
Procédure d’accès aux documents
1
La demande d’accès n’est en principe soumise à aucune exigence de forme. Elle
n’a pas à être motivée, mais elle doit contenir des indications suffisantes pour
permettre l’identification du document recherché. En cas de besoin, l’institution
peut demander qu’elle soit formulée par écrit.
2
L’institution traite rapidement les demandes d’accès.
3
En cas de doute sur la réalisation d'une des exceptions prévues à l'article 26, la
personne qui est saisie de la demande d'accès doit en référer au responsable désigné
conformément aux mesures d'organisation et de procédure prévues à l'article 50.

c) entraver notablement le processus décisionnel ou la position de négociation
d’une institution;
d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes
prévues par la loi;
e) rendre inopérantes les restrictions au droit d’accès à des dossiers
qu’apportent les lois régissant les procédures judiciaires et administratives;
f) rendre inopérantes les restrictions légales à la communication de données
personnelles à des tiers;
g) porter atteinte à la sphère privée ou familiale;
h) révéler des informations sur l’état de santé d’une personne;
i) révéler des informations couvertes par des secrets professionnels, de
fabrication ou d’affaires, le secret fiscal, le secret bancaire ou le secret
statistique;
j) révéler d’autres faits dont la communication donnerait à des tiers un
avantage indu, notamment en mettant un concurrent en possession
d’informations auxquelles il n’aurait pas accès dans le cours ordinaire des
choses;
k) révéler l’objet ou le résultat de recherches scientifiques en cours ou en voie
de publication;
l) révéler des délibérations et votes intervenus à huis clos ou compromettre
les intérêts ayant justifié le huis clos d’une séance.

3

En cas de doute sur la réalisation d'une des exceptions prévues à l'article 26, la
personne qui est saisie de la demande d'accès doit en référer à la conseillère ou au
conseiller à la protection des données et à la transparence désigné conformément
aux mesures d'organisation et de procédure prévues à l'article 50.

Art. 28, al. 3 (nouvelle teneur)

d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes ou
d’investigations prévues par la loi;

161/189
PL 13347

3

Le préposé cantonal recueille de manière informelle l’avis des institutions et
personnes concernées. La consultation sur place des documents faisant l’objet
d’une requête de médiation ne peut lui être refusée, à charge pour lui de veiller à
leur absolue confidentialité et de prendre, à l’égard tant des parties à la procédure
de médiation que des tiers et du public, toutes mesures nécessaires au maintien de
cette confidentialité aussi longtemps que l’accès à ces documents n’a pas été
accordé par une décision ou un jugement définitifs et exécutoires.
4
Les institutions et les tiers dont l’article 26 vise à protéger les intérêts doivent être
consultés avant qu’une suite favorable ne soit donnée à une demande d’accès
susceptible de compromettre ces intérêts, et un bref délai leur être imparti pour faire
part de leur éventuelle opposition à la communication du document.
5
A défaut, le préposé cantonal formule, à l’adresse du requérant ainsi que de
l’institution ou des institutions concernées, une recommandation écrite sur la

Art. 30
Procédure de médiation ou de préavis
1
Le préposé cantonal est saisi par une requête écrite de médiation sommairement
motivée, à l’initiative :
a) d’un requérant dont la demande d’accès à un document n’est pas satisfaite;
b) d’une institution ou d’un tiers opposé à une communication de documents
susceptible de compromettre des intérêts protégés.
2
Le délai pour saisir le préposé cantonal est de 10 jours à compter de la
confirmation écrite de l’intention de l’institution prévue à l’article 28, alinéas 5 et
6. Si une institution tarde à se déterminer sur une demande d’accès à un document,
le requérant ou l’opposant à la demande d’accès peuvent saisir le préposé cantonal.

6

Lorsqu’une institution entend rejeter une demande d’accès, elle en informe le
requérant en lui indiquant qu’il peut saisir le préposé cantonal. Elle lui confirme
son intention par écrit en indiquant le délai figurant à l’article 30, alinéa 2.
7
La consultation sur place d’un document est gratuite. La remise d’une copie
intervient contre paiement d’un émolument. Dans les limites fixées par le Conseil
d’Etat, la remise d’une copie d’un document se prêtant à une commercialisation
peut intervenir au prix du marché.

5
Lorsqu’une institution entend donner accès à un document nonobstant
l’opposition d’une autre institution ou d’un tiers, elle leur indique qu’ils peuvent
saisir le préposé cantonal préalablement à toute communication. Elle confirme son
intention par écrit en indiquant le délai figurant à l’article 30, alinéa 2, et en informe
le préposé cantonal.

A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse de la
requérante ou du requérant ainsi que de l’institution ou des institutions concernées,
une recommandation écrite sur la communication du document considéré.
5

Art. 30, al. 5 (nouvelle teneur)

PL 13347
162/189

La procédure de médiation est gratuite.

Art. 33
Principe
1
Les institutions ont le droit d’obtenir des éditeurs de produits de presse
périodiques édités ou diffusés dans le canton la rectification de toute présentation
de faits ayant trait à l’accomplissement de leurs tâches publiques lorsque
l’inexactitude ou l’omission qui l’affecte est propre à induire en erreur les
destinataires de la publication.
2
Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa
2.
3
La rectification consiste dans la publication gratuite dans le média considéré, à
bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et
clair soumis par l’organe compétent, dans des conditions d’insertion et de

Art. 31 Droit à l’information
1
Les médias et les journalistes indépendants appelés à suivre régulièrement les
affaires genevoises peuvent demander à recevoir à titre régulier et gratuit les
documents faisant l’objet de délibérations publiques devant le Grand Conseil et les
conseils municipaux ainsi que les informations mentionnées au chapitre II du titre
II, dans la mesure où ces documents et informations ne sont pas rendus accessibles
à un large public par le recours aux technologies modernes de diffusion de
l’information.
2
Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à
l’article 50, alinéa 2, pour les affaires respectives des institutions visées par cette
disposition.
3
Les institutions, compte tenu de leurs ressources, offrent aux médias et aux
journalistes les facilités nécessaires à l’accomplissement de leur travail
d’information, dans le respect du principe de l’égalité de traitement et dans les
limites imposées par des contraintes objectives.
4
La publicité d’une séance n’implique le droit pour les journalistes d’y effectuer
des prises de vues et de sons et de la retransmettre que dans la mesure où le
déroulement des débats ne s’en trouve pas perturbé et sous réserve des directives
décrétées par l’institution considérée pour sauvegarder des intérêts légitimes
prépondérants.

6

communication du document considéré. L’institution concernée rend alors dans les
10 jours une décision sur la communication du document considéré.

2
Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa
3.
3
La rectification consiste dans la publication gratuite dans le média considéré, à
bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et

Art. 33, al. 2 et 3 (nouvelle teneur)

2

Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à
l’article 50, alinéa 3, pour les affaires respectives des institutions visées par cette
disposition.

Art. 31, al. 2 (nouvelle teneur)

L’institution concernée rend alors dans les 10 jours une décision sur la
communication du document considéré. Elle notifie aussi sa décision à la préposée
cantonale ou au préposé cantonal.

163/189
PL 13347

Art. 36

4

Qualités des données personnelles

Un numéro d’identification personnel commun ne peut être utilisé que s’il est
institué par une loi cantonale. Demeure réservée l’utilisation du numéro AVS pour
l’accomplissement de tâches prévues par des législations ayant entre elles un lien
matériel étroit impliquant une application coordonnée.

3

L’article 41 est réservé.

Les institutions publiques ne peuvent traiter des données personnelles que si, et
dans la mesure où, l'accomplissement de leurs tâches légales le rend nécessaire.
2
Des données personnelles sensibles ou des profils de la personnalité ne peuvent
être traités que si une loi définit clairement la tâche considérée et si le traitement en
question est absolument indispensable à l'accomplissement de cette tâche ou s’il est
nécessaire et intervient avec le consentement explicite, libre et éclairé de la
personne concernée.

1

Art. 36 Base légale (nouvelle teneur avec modification de la note)

3

Finalité et reconnaissabilité
Les données personnelles ne peuvent être collectées que pour des finalités
déterminées et reconnaissables pour la personne concernée et doivent être traitées
ultérieurement de manière compatible avec ces finalités.
Conservation, destruction, effacement et anonymisation
4
Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus nécessaires
au regard des finalités du traitement, dans la mesure où ces données ne doivent pas
être conservées en vertu d’une autre loi. Sur décision de l’institution publique
concernée, la destruction de données personnelles peut être différée durant 2 ans au
maximum à des fins d’évaluation de politiques publiques.
Exactitude
5
Quiconque traite des données personnelles doit s’assurer qu’elles sont exactes et
prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les
données personnelles inexactes ou incomplètes au regard des finalités pour
lesquelles elles sont collectées ou traitées.
6
Lorsqu’une institution publique constate que des données personnelles qu’une
autre institution lui a communiquées en vertu de l’article 39, alinéa 1, ou d’une
autre base légale, sont inexactes, incomplètes ou obsolètes, elle en informe
l’institution concernée, à moins que cette information ne soit contraire à une loi ou
un règlement.

Art. 35 Principes (nouvelle teneur avec modification de la note)
Licéité
1
Tout traitement de données personnelles doit être licite.
Bonne foi et proportionnalité
2
Il doit être conforme aux principes de la bonne foi et de la proportionnalité.

Art. 35

Base légale

clair soumis par l’institution compétente, dans des conditions d’insertion et de
présentation comparables à celles ayant entouré la présentation des faits en
question. La publication comporte la précision que le texte rectificatif émane de
l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une
déclaration quant au maintien ou non de sa présentation des faits et de l’indication
de ses sources.

présentation comparables à celles ayant entouré la présentation des faits en
question. La publication comporte la précision que le texte rectificatif émane de
l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une
déclaration quant au maintien ou non de sa présentation des faits et de l’indication
de ses sources.

PL 13347
164/189

Les institutions publiques veillent, lors de tout traitement de données
personnelles, à ce que ces dernières soient :
a) pertinentes et nécessaires à l'accomplissement de leurs tâches légales;
b) exactes et si nécessaire mises à jour et complétées, autant que les
circonstances permettent de l’exiger.
2
Lorsqu’une institution publique constate que des données personnelles qu’une
autre institution lui a communiquées en vertu de l’article 39, alinéa 1, sont
inexactes, incomplètes ou obsolètes, elle en informe cette dernière, à moins que
cette information ne soit contraire à une loi ou à un règlement.

1

Art. 36A Consentement (nouveau)
1
En dérogation à l’article 36, les institutions publiques peuvent traiter des données
personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des
données personnelles sensibles ou dont les finalités ou les modalités de traitement
sont susceptibles de porter gravement atteinte aux droits fondamentaux de la
personne concernée, et procéder à du profilage, si la personne concernée a consenti
au traitement en l'espèce. Le responsable du traitement doit être en mesure de
démontrer l’existence d’un tel consentement.
2
La personne concernée ne consent valablement que si elle exprime librement sa
volonté concernant un ou plusieurs traitements déterminés et après avoir été
dûment informée. Le consentement doit être exprès en cas de traitement de données
personnelles sensibles, de traitement de données personnelles dont les finalités ou
les modalités de traitement sont susceptibles de porter gravement atteinte aux droits
fondamentaux de la personne concernée, ou de profilage.
3
Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre
effective du retrait du consentement peut toutefois requérir un délai raisonnable
pour des raisons techniques.
4
Dans le cas où la personne concernée se trouve dans l’incapacité physique ou
juridique de donner son consentement, les institutions publiques peuvent traiter des

2
Les traitements de données personnelles sensibles, les activités de profilage et les
traitements de données personnelles dont les finalités ou les modalités de traitement
sont susceptibles de porter gravement atteinte aux droits fondamentaux de la
personne concernée ne peuvent avoir lieu que si :
a) une loi au sens formel le prévoit expressément; ou
b) le traitement est indispensable à l’accomplissement d’une tâche définie
dans une loi au sens formel.
3
L’article 36A est réservé.
4
Un numéro d’identification personnel commun ne peut être utilisé que s’il est
institué par une loi cantonale. L'usage et la communication du numéro AVS sont
régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre
1946.

Les institutions publiques ne peuvent traiter des données personnelles que si une
base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend
nécessaire.

1

165/189
PL 13347

Art. 36C Sous-traitance (nouveau)
1
Le traitement de données personnelles peut être confié à un sous-traitant pour
autant qu’un contrat ou la loi le prévoie et que les conditions suivantes soient
réunies :
a) seuls sont effectués les traitements que le responsable du traitement est en
droit de réaliser ;
b) aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
2
La sous-traitance de données personnelles fait l’objet d’un contrat de droit privé
ou public en la forme écrite, prévoyant pour chaque étape du traitement le respect
des prescriptions de la présente loi et du règlement d'application de la loi sur
l'information du public, l'accès aux documents et la protection des données
personnelle, du 21 décembre 2011, ainsi que la possibilité d’effectuer des audits
sur le site du sous-traitant, ou, à défaut, d'obtenir les résultats d'audits de tiers
indépendants, respectivement de participer sans frais à l'élaboration de ces audits.
Les cas où la loi prévoit en détail les modalités de la sous-traitance sont réservés.
3
Le contrat prévoit spécifiquement que le sous-traitant annonce dans les meilleurs
délais au responsable du traitement tout cas de violation de la sécurité des données.
4
Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en cascade)
n’est possible qu’avec l’accord préalable écrit du responsable du traitement et
moyennant le respect, à chaque niveau de substitution, de toutes les prescriptions
du présent article.

Art. 36B Traitement conjoint (nouveau)
Lorsque deux institutions publiques ou plus déterminent conjointement les finalités
et les moyens du traitement de données personnelles, elles sont responsables
conjointes du traitement et doivent définir de manière transparente leurs obligations
respectives dans la déclaration au sens de l’article 43.

données personnelles si le traitement est nécessaire à la sauvegarde des intérêts
vitaux de la personne concernée ou d’une autre personne physique.
5
Les institutions publiques peuvent également traiter des données personnelles, y
compris sensibles ou dont les finalités ou les modalités de traitement sont
susceptibles de porter gravement atteinte aux droits fondamentaux de la personne
concernée, et procéder à du profilage, en dérogation à l’article 36, si la personne
concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est
pas opposée expressément au traitement.

PL 13347
166/189

Les mesures organisationnelles et techniques doivent être appropriées au regard
notamment de l’état de la technique, du type de traitement et de son étendue, ainsi
que du risque que le traitement des données présente pour la personnalité ou les
droits fondamentaux des personnes concernées.
3
Le responsable du traitement est tenu de garantir, par le biais de préréglages
appropriés, que le traitement soit limité au minimum requis par la finalité
poursuivie, pour autant que la personne concernée n’en dispose pas autrement.

Art. 37B Analyse d’impact (nouveau)

Art. 37A Sécurité des données personnelles (nouvelle teneur)
1
Les institutions publiques doivent assurer, par des mesures organisationnelles et
techniques appropriées, une sécurité adéquate des données personnelles par rapport
au risque encouru.
2
Les mesures doivent permettre d’éviter la violation de la sécurité des données
personnelles.
3
Le Conseil d’Etat détermine, par voie réglementaire, les exigences minimales en
matière de sécurité des données personnelles.
4
Les institutions publiques sont tenues de contrôler périodiquement le respect des
mesures de sécurité mises en place au sens du présent article.

2

Les institutions publiques prennent, par le biais de directives ainsi que de clauses
statutaires ou contractuelles appropriées, les mesures nécessaires pour assurer la
disponibilité, l’intégrité et la confidentialité des données personnelles qu’elles
traitent ou font traiter.
3
Les institutions publiques sont tenues de contrôler le respect des directives et
clauses visées à l’alinéa 2. S’il implique l’exploitation de ressources informatiques
et le traitement de données personnelles, ce contrôle doit s’exercer conformément
à des procédures spécifiques que les instances mentionnées à l’article 50, alinéa 2,
doivent adopter à cette fin, après consultation du préposé cantonal.

2

1

Le responsable du traitement est tenu de mettre en place des mesures techniques
et organisationnelles afin que le traitement respecte les prescriptions de protection
des données personnelles, en particulier les principes fixés à l’article 35. Il le fait
dès la conception du traitement.

Art. 37 Protection des données personnelles dès la conception et par défaut
(nouveau, l’art. 37 ancien devenant l’art. 37A)
1

Sécurité des données personnelles

Les données personnelles doivent être protégées contre tout traitement illicite par
des mesures organisationnelles et techniques appropriées.

Art. 37

Le responsable du traitement demeure responsable des données personnelles qu’il
fait traiter au même titre que s’il les traitait lui-même.
6
S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est
possible que si l’Etat concerné dispose d’une législation assurant un niveau de
protection adéquat conformément à la liste établie par le Conseil fédéral.
5

167/189
PL 13347

Lorsqu’un traitement de données personnelles est susceptible d’entraîner un
risque élevé pour la personnalité ou les droits fondamentaux de la personne
concernée, le responsable du traitement procède au préalable à une analyse
d’impact relative à la protection des données personnelles. S’il envisage d’effectuer
plusieurs opérations de traitement semblables, il peut établir une analyse d’impact
commune.
2
L’existence d’un risque élevé, en particulier lors du recours à de nouvelles
technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité
du traitement. Un tel risque existe notamment dans les cas suivants :
a) traitements de données personnelles sensibles à grande échelle ;
b) profilage;
c) surveillance systématique de grandes parties du domaine public.
3
L’analyse d’impact contient notamment :
a) une description du traitement envisagé ;
b) une évaluation des risques pour la personnalité ou les droits fondamentaux
de la personne concernée ; ainsi que
c) les mesures prévues pour protéger la personnalité et les droits
fondamentaux de la personne concernée.
4
Lorsque l'analyse d'impact est requise selon l'alinéa 1 du présent article, elle est
jointe au projet d'acte législatif pour avis de la préposée cantonale ou du préposé
cantonal au sens de l'article 56A, alinéa 2, lettre e, de la présente loi.
5
Lorsque l'analyse d'impact requise à l'alinéa 1 du présent article n’est pas liée à
un projet d'acte législatif, elle est soumise à la préposée cantonale ou au préposé
cantonal pour avis avant le début du traitement.
Art. 37C Violation de la sécurité des données personnelles (nouveau)
1
Lorsqu’il constate une violation de la sécurité des données personnelles, le
responsable du traitement prend immédiatement les mesures appropriées afin de
mettre fin à la violation et d’en minimiser les effets, et en informe immédiatement
sa conseillère ou son conseiller à la protection des données et à la transparence au
sens de l’article 50.
2
Le responsable du traitement consigne dans un document interne la nature de la
violation, le type de données personnelles concernées et les catégories de personnes
touchées, les conséquences probables pour ces dernières et les mesures prises pour
y remédier.
3
Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé
cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son conseiller à

1

PL 13347
168/189

Lors de la collecte, le responsable du traitement communique à la personne
concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits
selon la présente loi et pour que la transparence des traitements soit garantie; il lui
communique au moins les éléments suivants :
a) le responsable du traitement;
b) la finalité du traitement;
c) le cas échéant, les destinataires ou les catégories de destinataires auxquelles
des données personnelles sont transmises;
d) les catégories de données personnelles traitées.
3
Lorsque des données personnelles sont communiquées à l’étranger, le responsable
du traitement communique également à la personne concernée le nom de la
corporation ou de l’établissement de droit public auquel elles sont communiquées

Les institutions publiques doivent pouvoir indiquer la source des données qu’elles
détiennent.

3

2

2
Sont réservés les cas dans lesquels le caractère reconnaissable de la collecte
compromettrait l'engagement, le déroulement ou l'aboutissement d'enquêtes
menées légalement sur le respect de conditions ou d'obligations légales.

1

Le responsable du traitement informe la personne concernée de manière adéquate
de la collecte de données personnelles la concernant, que cette collecte soit
effectuée auprès d’elle ou non.

Art. 38 Devoir d’informer lors de la collecte de données personnelles
(nouvelle teneur avec modification de la note)
1

Collecte

La collecte de données personnelles doit être faite de manière reconnaissable pour
la personne concernée.

Art. 38

la protection des données et à la transparence, les cas de violation de la sécurité des
données personnelles entraînant vraisemblablement un risque élevé pour la
personnalité ou les droits fondamentaux de la personne concernée.
4
Le sous-traitant annonce dans les meilleurs délais au responsable du traitement
tout cas de violation de la sécurité des données personnelles.
5
Le responsable du traitement informe la personne concernée lorsque cela est
nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé cantonal
l’exige.
6
Il peut restreindre l’information de la personne concernée, la différer ou y
renoncer, dans les cas suivants :
a) les intérêts prépondérants d’un tiers l’exigent;
b) un intérêt public prépondérant l’exige, en particulier la sécurité intérieure
ou l’ordre public;
c) un devoir légal de garder un secret l’interdit;
d) la communication des informations est susceptible de compromettre une
enquête, une instruction ou une procédure judiciaire ou administrative;
e) l’information est impossible à fournir ou exige des efforts disproportionnés;
f) l’information de la personne concernée peut être garantie de manière
équivalente par une communication publique.

169/189
PL 13347

Art. 39

Communication

Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur)

Art. 38B Droits de la personne concernée en cas de décision individuelle
automatisée (nouveau)
1
Le responsable du traitement informe la personne concernée de toute décision qui
est prise exclusivement sur la base d’un traitement de données personnelles
automatisé et qui a des effets juridiques pour elle ou l’affecte de manière
significative.
2
A la demande de la personne faisant l’objet d’une décision individuelle
automatisée, le responsable du traitement lui communique la logique et les critères
à la base de celle-ci. Cette demande ne suspend pas le délai visé à l’alinéa 3.
3
Toute personne faisant l’objet d’une décision individuelle automatisée peut
former une réclamation, dans les 30 jours à compter de sa notification, auprès de
son auteure ou auteur.
4
La décision sur réclamation ne peut pas être rendue de manière automatisée.
5
Les dispositions de la législation spéciale qui prévoient déjà une procédure de
réclamation sont réservées.

Art. 38A Exceptions au devoir d’informer lors de la collecte de données
personnelles (nouveau)
1
Le responsable du traitement est délié du devoir d’information au sens de l’article
38 si l’une des conditions suivantes est remplie :
a) la personne concernée dispose déjà des informations au sens de l’article 38;
b) le traitement des données personnelles est prévu par la loi;
c) l’information n’est pas possible ou exige un effort disproportionné.
2
Le responsable du traitement peut restreindre ou différer la communication des
informations, ou y renoncer, si un intérêt public ou privé prépondérant le justifie,
en particulier dans les cas prévus à l’article 46.

et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa
7.
4
Si les données personnelles ne sont pas collectées auprès de la personne
concernée, le responsable du traitement lui communique les informations
mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les données
personnelles. S’il communique les données personnelles avant l’échéance de ce
délai, il en informe la personne concernée au plus tard lors de la communication.

PL 13347
170/189

A une autre institution publique soumise à la loi
Sans préjudice, le cas échéant, de son devoir de renseigner les instances
hiérarchiques supérieures dont elle dépend, une institution publique ne peut
communiquer des données personnelles en son sein ou à une autre institution
publique que si, cumulativement :
a) l’institution requérante démontre que le traitement qu’elle entend faire des
données sollicitées satisfait aux exigences prévues aux articles 35 à 38B;

L’institution publique requise est tenue de s’assurer du respect des conditions
posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer sa
conseillère ou son conseiller à la protection des données et à la transparence, à
moins que le droit de procéder à cette communication ne résulte déjà explicitement
d’une loi ou d’un règlement.

L'organe requis est tenu de s’assurer du respect des conditions posées à l’alinéa 1
et, une fois la communication effectuée, d’en informer le responsable sous la
surveillance duquel il est placé, à moins que le droit de procéder à cette
communication ne résulte déjà explicitement d’une loi ou d’un règlement.

4

A une corporation ou un établissement de droit public suisse non
soumis à la loi
La communication de données personnelles à une corporation ou un établissement
de droit public suisse non soumis à la présente loi n'est possible que si,
cumulativement :
a) l’entité requérante démontre que le traitement qu’elle entend faire des
données sollicitées satisfait à des exigences légales assurant un niveau de
protection adéquat de ces données;
b) la communication des données considérées n’est pas contraire à une loi ou
un règlement.
5
L’organe requis est tenu de s’assurer du respect des conditions posées à l’alinéa 4
et, avant de procéder à la communication requise, d’en informer le responsable sous
la surveillance duquel il est placé, à moins que le droit de procéder à cette
communication ne résulte déjà explicitement d’une loi ou d’un règlement. S’il y a
lieu, il assortit la communication de charges et conditions.

3

Les institutions publiques communiquent aux autorités judiciaires les données
personnelles que celles-ci sollicitent aux fins de trancher les causes dont elles sont
saisies ou de remplir les tâches de surveillance dont elles sont investies, sauf si le
secret de fonction ou un autre secret protégé par la loi s’y oppose.

2

L’institution publique requise est tenue de s’assurer du respect des conditions
posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en informer
sa conseillère ou son conseiller à la protection des données et à la transparence, à
moins que le droit de procéder à cette communication ne résulte déjà explicitement
d’une loi ou d’un règlement. S’il y a lieu, elle assortit la communication de charges
et conditions.
5

2

1

A une autre institution publique soumise à la loi
Sans préjudice, le cas échéant, de son devoir de renseigner les instances
hiérarchiques supérieures dont elle dépend, une institution publique ne peut
communiquer des données personnelles en son sein ou à une autre institution
publique que si, cumulativement :
a) l’institution requérante démontre que le traitement qu’elle entend faire des
données sollicitées satisfait aux exigences prévues aux articles 35 à 38;
b) la communication des données considérées n’est pas contraire à une loi ou
un règlement.

1

171/189
PL 13347

A une corporation ou un établissement de droit public étranger
La communication de données personnelles à une corporation ou un établissement
de droit public étranger n’est possible que si, cumulativement :
a) l’entité requérante démontre que le traitement qu’elle entend faire des
données sollicitées satisfait à des exigences légales assurant un niveau de
protection de ces données équivalant aux garanties offertes par la présente
loi;
b) la communication des données considérées n’est pas contraire à une loi ou
un règlement.
7
En l’absence du niveau de protection des données requis par l’alinéa précédent,
la communication n'est possible que si elle n’est pas contraire à une loi ou un
règlement et si, alternativement :
a) elle intervient avec le consentement explicite, libre et éclairé de la personne
concernée ou dans son intérêt manifeste;
b) elle est dictée par un intérêt public important manifestement prépondérant
reconnu par l’organe requis et que l’entité requérante fournit des garanties
fiables suffisantes quant au respect des droits fondamentaux de la personne
concernée;
c) le droit fédéral ou un traité international le prévoit.

9

A une tierce personne de droit privé
La communication de données personnelles à une tierce personne de droit privé
n’est possible, alternativement, que si :
a) une loi ou un règlement le prévoit explicitement;
b) un intérêt privé digne de protection du requérant le justifie sans qu’un
intérêt prépondérant des personnes concernées ne s’y oppose.
10
Dans les cas visés à l’alinéa 9, lettre b, l’organe requis est tenu de consulter les
personnes concernées avant toute communication, à moins que cela n’implique un
travail disproportionné. A défaut d’avoir pu recueillir cette détermination, ou en
cas d’opposition d’une personne consultée, l’organe requis sollicite le préavis du
préposé cantonal. La communication peut être assortie de charges et conditions,
notamment pour garantir un niveau de protection adéquat des données.

8

L’organe requis est tenu de consulter le préposé cantonal avant toute
communication. S’il y a lieu, il assortit la communication de charges ou conditions.

6

10
Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est tenue de
consulter les personnes concernées avant toute communication, à moins que cela
n’implique un travail disproportionné. A défaut d’avoir pu recueillir cette
détermination, ou en cas d’opposition d’une personne consultée, l’institution
publique requise sollicite le préavis de la préposée cantonale ou du préposé
cantonal. La communication peut être assortie de charges et conditions, notamment
pour garantir un niveau de protection adéquat des données.

8
L’institution publique requise est tenue de consulter la préposée cantonale ou le
préposé cantonal avant toute communication. S’il y a lieu, elle assortit la
communication de charges ou conditions.

En l’absence du niveau de protection des données requis par l’alinéa 6, la
communication n'est possible que si elle n’est pas contraire à une loi ou un
règlement et si, alternativement :
a) elle intervient avec le consentement exprès, libre et éclairé de la personne
concernée ou dans son intérêt manifeste;
b) elle est dictée par un intérêt public important manifestement prépondérant
reconnu par l’institution publique requise et que l’entité requérante fournit
des garanties fiables suffisantes quant au respect des droits fondamentaux
de la personne concernée;

7

PL 13347
172/189

c) les données collectées à ces seules fins ne soient communiquées à aucune
autre institution, entité ou personne;
d) les résultats de ce traitement ne soient le cas échéant publiés que sous une
forme excluant la possibilité d'identifier les personnes concernées;
e) le préposé cantonal en soit préalablement informé avec les précisions utiles
sur le traitement qu’il est prévu de faire des données personnelles et sa
nécessité;
f) le traitement portant sur des données personnelles sensibles ou impliquant
l’établissement de profils de la personnalité fasse préalablement l’objet

b) ces données soient détruites ou rendues anonymes dès que le but du
traitement spécifique visé le permet;

Dans le cadre de l'accomplissement de leurs tâches légales, les institutions
publiques sont en droit de traiter des données personnelles à des fins générales de
statistique, de recherche scientifique, de planification ou d'évaluation de politiques
publiques, pour leur propre compte ou celui d’une autre institution publique en
ayant la mission légale, aux conditions cumulatives que :
a) le traitement de données personnelles soit nécessaire à ces fins;

1

a) les données personnelles sont rendues anonymes dès que la finalité du
traitement le permet;
b) l'institution publique ne communique les données personnelles sensibles à
des personnes privées que sous une forme ne permettant pas d'identifier les
personnes concernées;
c) le destinataire ne communique les données personnelles à des tiers qu'avec
le consentement de l'institution qui les lui a transmises;
d) les résultats du traitement sont publiés sous une forme ne permettant pas
d'identifier les personnes concernées.

Les institutions publiques soumises à la présente loi sont en droit de traiter des
données personnelles à des fins générales de statistique, de recherche scientifique,
de planification ou d’évaluation de politiques publiques, indépendamment des buts
pour lesquels elles ont été collectées, si les conditions suivantes sont réunies:

Art. 41 Traitement à des fins générales ne se rapportant pas à des personnes
(nouvelle teneur avec modification de la note)

Art. 41
1

Art. 40 (abrogé)

Art. 40 Destruction
1
Les institutions publiques détruisent ou rendent anonymes les données
personnelles dont elles n'ont plus besoin pour accomplir leurs tâches légales, dans
la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi.
2
Sur décision de l'instance dirigeante de l'institution publique concernée, la
destruction de données personnelles peut être différée durant deux ans au
maximum à des fins d'évaluation de politiques publiques. Ces données sont dès
lors soustraites à communication, sauf si elles sont accessibles au regard de la loi
sur les archives publiques, du 1er décembre 2000, ou du titre II de la présente loi.
Traitement à des fins générales

11
Outre aux parties, l'institution publique requise communique sa décision aux
personnes consultées ainsi qu’à la préposée cantonale ou au préposé cantonal.

11
Outre aux parties, l'organe requis communique sa décision aux personnes
consultées.
12
L’accès de proches aux données de personnes décédées est régi par l’article 48.

173/189
PL 13347

Art. 42 Vidéosurveillance
1
Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches
au sens de l’article 35, la création et l’exploitation d’un système de
vidéosurveillance ne sont licites que si, cumulativement :
a) la vidéosurveillance est propre et nécessaire à garantir la sécurité des
personnes et des biens se trouvant dans ou à proximité immédiate de lieux
publics ou affectés à l’activité d’institutions publiques, en prévenant la
commission d’agressions ou de déprédations et en contribuant à
l’établissement des infractions commises le cas échéant;
b) l’existence d’un système de vidéosurveillance est signalée de manière
adéquate au public et au personnel des institutions;
c) le champ de la surveillance est limité au périmètre nécessaire à
l’accomplissement de celle-ci;
d) dans l’accomplissement de leurs activités à leur poste de travail, les
membres du personnel des institutions publiques n’entrent pas dans le
champ de vision des caméras ou, à défaut, sont rendus d’emblée non
identifiables par un procédé technique approprié.
2
L’éventuel enregistrement de données résultant de la surveillance doit être détruit
en principe dans un délai de 7 jours. Ce délai peut être porté à 3 mois en cas
d’atteinte avérée aux personnes ou aux biens et, en cas d’ouverture d’une
information pénale, jusqu’à l’issue de la procédure.
3
Les responsables des institutions prennent les mesures organisationnelles et
techniques appropriées afin de :
a) limiter le visionnement des données, enregistrées ou non, à un cercle restreint
de personnes dûment autorisées, dont la liste doit être régulièrement tenue à
jour et communiquée au préposé cantonal;
b) garantir la sécurité des installations de surveillance et des données
éventuellement enregistrées.
4
En dérogation à l’article 39, la communication à des tiers de données obtenues au
moyen d’un système de vidéosurveillance ne peut avoir lieu que s’il s’agit de
renseigner :

d’une autorisation du Conseil d’Etat, qui doit requérir le préavis du préposé
cantonal et assortir au besoin sa décision de charges ou conditions.
2
Les compétences et les règles de fonctionnement de la Cour des comptes sont
réservées, de même que celles de l’office cantonal de la statistique.
Les articles 35, alinéa 3, 36, alinéa 2, et 39 ne sont pas applicables.

Art. 42, al. 1, phrase introductive (nouvelle teneur)
Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches
au sens de l’article 36, la création et l’exploitation d’un système de
vidéosurveillance ne sont licites que si, cumulativement :

1

2

PL 13347
174/189

Catalogue des fichiers

Principes

Le catalogue des fichiers est public et rendu facilement accessible.

Art. 44

3

2

Les fichiers éphémères ne recensant ni données personnelles sensibles ni profils
de la personnalité sont exemptés de l’enregistrement au catalogue des fichiers.

1

Le préposé cantonal dresse et tient à jour un catalogue des fichiers des institutions
publiques, comportant les précisions utiles sur les informations traitées, la base
légale de leur traitement, leur état de validité ou la fréquence de leur mise à jour et
de leur épuration, et leur accessibilité.

Art. 43

a) les instances hiérarchiques supérieures dont l’institution dépend;
b) les autorités judiciaires, soit aux conditions de l’article 39, alinéa 3, soit aux
fins de dénoncer une infraction pénale dont la vidéosurveillance aurait révélé
la commission.

Art. 44 (nouvelle teneur)

2

Les institutions publiques déclarent leurs activités de traitement à la préposée
cantonale ou au préposé cantonal, en fournissant au moins les indications
suivantes :
a) le responsable du traitement;
b) la dénomination, la base légale et la finalité du traitement;
c) une description des catégories des personnes concernées et des catégories
des données personnelles traitées;
d) les catégories des destinataires;
e) le cas échéant, l’identité et les coordonnées des autres responsables du
traitement et la répartition des responsabilités.
3
Les institutions publiques fournissent également les indications suivantes à la
préposée cantonale ou au préposé cantonal, sur requête de ces derniers :
a) dans la mesure du possible, le délai de conservation des données
personnelles ou les critères pour déterminer la durée de conservation;
b) dans la mesure du possible, une description générale des mesures visant à
garantir la sécurité des données personnelles selon l’article 37A;
c) en cas de communication de données personnelles à l’étranger, le nom de
la corporation ou de l’établissement de droit public étranger destinataire et,
le cas échéant, l'application d'une des exceptions prévues à l’article 39,
alinéa 7 ;
d) le cas échéant, l’identité et les coordonnées des sous-traitants.
4
Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour
certaines catégories de traitement à des fins administratives internes qui ne
présentent manifestement pas de risques pour les droits des personnes concernées.

Art. 43 Registre des activités de traitement (nouvelle teneur avec
modification de la note)
1
La préposée cantonale ou le préposé cantonal dresse et tient à jour un registre
public des activités de traitement des institutions publiques. Elle ou il le rend
facilement accessible.

175/189
PL 13347

Toute personne physique ou morale de droit privé justifiant de son identité peut
demander par écrit aux responsables désignés en vertu de l’article 50, alinéa 1, si
des données la concernant sont traitées par des organes placés sous leur
responsabilité.
2
Sous réserve de l'article 46, le responsable doit lui communiquer :
a) toutes les données la concernant contenues dans un fichier, y compris les
informations disponibles sur l’origine des données;
b) sur demande, les informations relatives au fichier considéré contenues dans
le catalogue des fichiers.

Art. 47, al. 2, lettres a , d et e (nouvelle teneur)

Art. 47

Prétentions

Art. 45 (nouvelle teneur)
1
La personne qui fait valoir son droit d’accès doit justifier de son identité.
2
Les renseignements sont, en règle générale, fournis par écrit sur un support
physique ou électronique. En accord avec le responsable du traitement, la personne
concernée peut également consulter ses données personnelles sur place.
3
Le responsable du traitement fournit gratuitement les renseignements demandés.
Le Conseil d’Etat peut prévoir des exceptions, notamment si la communication de
l’information implique un travail disproportionné.
4
A moins que des circonstances exceptionnelles le justifient, les renseignements
sont fournis dans un délai de 30 jours.

Toute personne physique ou morale de droit privé peut demander par écrit au
responsable du traitement, en s’adressant à sa conseillère ou à son conseiller à la
protection des données et à la transparence au sens de l’article 50, si des données
personnelles la concernant sont traitées.
2
La personne concernée reçoit les informations nécessaires à la mise en œuvre de
ses droits en matière de protection des données personnelles. A sa demande, elle
reçoit notamment les informations suivantes :
a) le responsable du traitement;
b) les données personnelles traitées;
c) la finalité du traitement;
d) la durée de conservation des données personnelles, ou, si cela n’est pas
possible, les critères pour fixer cette dernière;
e) les informations disponibles sur l’origine des données personnelles, dans la
mesure où ces données n’ont pas été collectées auprès de la personne
concernée;
f) le cas échéant, les destinataires ou les catégories de destinataires auxquels
des données personnelles sont communiquées, ainsi que l'application d'une
des exceptions prévues à l’article 39, alinéa 7.
3
L’institution publique qui fait traiter des données personnelles par un sous-traitant
demeure tenue de communiquer les données personnelles et de fournir les
informations demandées.
4
Nul ne peut renoncer par avance à son droit d’accès.
1

Art. 45
Modalités
La communication de ces données et informations doit être faite sous une forme
intelligible et, en règle générale, par écrit et gratuitement.

3

La satisfaction d’une demande impliquant un travail disproportionné peut être
subordonnée au paiement préalable d’un émolument.

1

PL 13347
176/189

3

S’il fait intégralement droit aux prétentions du requérant, il l’en informe.

1
Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au
responsable chargé de la surveillance de l’organe dont relève le traitement
considéré.
2
Le responsable saisi traite la requête avec célérité. S’il y a lieu, il la transmet au
responsable compétent au regard des procédures adoptées au sein de son institution
en application de l’article 50.

Art. 49

Phases non contentieuses

Toute personne physique ou morale de droit privé peut, à propos des données la
concernant, exiger des institutions publiques qu’elles :
a) s’abstiennent de procéder à un traitement illicite;
b) mettent fin à un traitement illicite et en suppriment les effets;
c) constatent le caractère illicite du traitement;
d) s’abstiennent de les communiquer à des personnes de droit privé à des fins
d’exploitation commerciale.
2
Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des
institutions publiques, à propos des données la concernant, qu’elles :
a) détruisent celles qui ne sont pas pertinentes ou nécessaires;
b) rectifient, complètent ou mettent à jour celles qui sont respectivement
inexactes, incomplètes ou dépassées;
c) fassent figurer, en regard de celles dont ni l’exactitude ni l’inexactitude ne
peuvent être prouvées, une mention appropriée, à transmettre également
lors de leur communication éventuelle;
d) s'abstiennent de communiquer celles qui ne répondent pas aux exigences de
qualité visées à l'article 36;
e) publient leur décision prise suite à sa requête ou la communiquent aux
institutions publiques ou tiers ayant reçu de leur part des données ne
répondant pas aux exigences de qualité visées à l'article 36.
3
Les prétentions en dommages-intérêts et en indemnité pour tort moral fondées sur
la loi sur la responsabilité de l’Etat et des communes, du 24 février 1989, sont
réservées.

1

3

L’institution concernée statue par voie de décision dans les 30 jours sur les
prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la
préposée cantonale ou au préposé cantonal.

2

Le responsable du traitement saisi traite la requête avec célérité. S’il y a lieu, il la
transmet à la conseillère ou au conseiller à la protection des données et à la
transparence compétent au regard des procédures adoptées au sein de son institution
en application de l’article 50.

1
Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au
responsable du traitement dont relève le traitement considéré.

Art. 49 (nouvelle teneur)

Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des
institutions publiques, à propos des données la concernant, qu’elles :
a) effacent ou détruisent celles qui ne sont pas nécessaires ;
d) s’abstiennent de communiquer celles qui ne répondent pas aux exigences de
qualité visées à l’article 35 ;
e) publient leur décision prise suite à sa requête ou la communiquent aux
institutions ou tiers ayant reçu de leur part des données ne répondant pas
aux exigences de qualité visées à l'article 35;

2

177/189
PL 13347

2

Les mesures d'organisation générales et les procédures visées à l'alinéa 1 sont
adoptées, après consultation du préposé cantonal, par les instances suivantes :
a) le bureau du Grand Conseil pour le pouvoir législatif cantonal, les
commissions parlementaires, les services administratifs et les commissions
qui dépendent du pouvoir législatif;
b) le Conseil d’Etat pour le pouvoir exécutif cantonal, l’administration
cantonale et les commissions qui en dépendent, ainsi que pour les
groupements d’institutions visés à l’article 3, alinéa 1, lettre d;
c) la présidence du conseil supérieur de la magistrature pour ce conseil;
d) la commission de gestion du pouvoir judiciaire pour elle-même, les
juridictions et autres autorités judiciaires, ainsi que pour les services
administratifs et les commissions non juridictionnelles qui dépendent du
pouvoir judiciaire;
e) les bureaux ou, à défaut, les présidents des conseils municipaux pour les
conseils municipaux et les commissions des conseils municipaux, sauf
délégation à l’exécutif communal;
f) les exécutifs communaux pour les autres institutions communales, leurs
administrations et les commissions qui en dépendent;

1

Des responsables ayant une formation appropriée et les compétences utiles
doivent être désignés et des procédures adéquates être mises en place au sein des
institutions publiques, pour y garantir une correcte application de la présente loi.

Art. 50

Responsables et procédures

S’il n’entend pas faire droit intégralement aux prétentions du requérant ou en cas
de doute sur le bien-fondé de celles-ci, il transmet la requête au préposé cantonal
avec ses observations et les pièces utiles.
5
Le préposé cantonal instruit la requête de manière informelle, puis il formule, à
l’adresse de l’institution concernée et du requérant, une recommandation écrite sur
la suite à donner à la requête.
6
L’institution concernée statue alors par voie de décision dans les 10 jours sur les
prétentions du requérant. Elle notifie aussi sa décision au préposé cantonal.

4

2

Plusieurs institutions publiques peuvent désigner ensemble une conseillère ou un
conseiller LIPAD.

Art. 50 Conseillères et conseillers à la protection des données et à la
transparence et procédures (nouvelle teneur de la note), al. 1
(nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens devenant les
al. 3 à 6), al. 3, phrase introductive (nouvelle teneur), lettre e
(nouvelle, les lettres e à i anciennes devenant les lettres f à j), al. 4
et 6 (nouvelle teneur)
1
Des conseillères et conseillers à la protection des données et à la transparence (ciaprès : conseillères et conseillers LIPAD) ayant une formation appropriée et les
compétences utiles sont désignés et des procédures sont mises en place au sein des
institutions publiques, pour y garantir une correcte application de la présente loi.

PL 13347
178/189

La liste des responsables désignés en application de l’alinéa 1 est publique.

a) de toute création de fichier;
b) de toute requête de communication et de toute intention de destruction de
données personnelles, à moins que ces opérations ne soient prévues
explicitement par une loi, un règlement ou une décision du Conseil d'Etat;
c) de toute information ou consultation qu’ils adressent directement au
préposé cantonal.
2
Les responsables désignés détiennent, à l'égard des organes placés sous leur
surveillance, la compétence :

Art. 51
Compétences
1
Les organes informent le responsable sous la surveillance duquel ils sont placés
notamment :

5

g) les instances directrices supérieures des établissements et corporations de
droit public cantonaux et communaux, pour ces institutions, leurs
administrations et les commissions qui en dépendent;
h) les instances directrices supérieures des personnes morales et autres
organismes de droit privé visés à l’article 3, alinéa 2, lettre a, pour ces
institutions;
i) les institutions visées à l’article 3, alinéa 2, lettre b, pour les activités
relevant de l’accomplissement des tâches de droit public cantonal ou
communal qui leur sont confiées.
3
Sur préavis du préposé cantonal, le Conseil d'Etat prescrit par substitution les
mesures d'organisation générales et les procédures nécessaires à une correcte
application du titre III de la présente loi, si une instance visée à l'alinéa 2, lettres e
à i, n'en adopte pas en temps utile après avoir été mise en demeure de le faire.
4
Les institutions adoptent des systèmes adéquats de classement des informations
qu’elles diffusent ainsi que des documents qu’elles détiennent, afin d’en faciliter la
recherche et l’accès.

Elles et ils ont une fonction de conseil et de soutien et sont associés de manière
appropriée aux activités de traitement accomplies au sein de l’institution publique.
2

Art. 51 (nouvelle teneur)
1
Les conseillères et conseillers LIPAD sont les interlocutrices et interlocuteurs
privilégiés des personnes concernées et de la préposée cantonale ou du préposé
cantonal pour tout ce qui a trait au traitement des données personnelles et à la
transparence de l'institution qui les a désignés.

La liste des conseillères et conseillers LIPAD désignés en application du présent
article est publique.

6

Les mesures d'organisation générales et les procédures visées à l'alinéa 1 sont
adoptées, après consultation de la préposée cantonale ou du préposé cantonal, par
les instances suivantes :
e) la Cour des comptes pour elle-même;
4
Le Conseil d’Etat prescrit par substitution les mesures et les procédures
nécessaires à une correcte application du titre III de la présente loi, si une instance
visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après avoir été mise
en demeure de le faire.
3

179/189
PL 13347

Art. 52
Coordination
Afin de garantir une application coordonnée des principes applicables en matière
d’information relative aux activités des institutions et de ceux régissant la

a) d'exiger d'eux tous renseignements utiles sur le traitement des données
personnelles ou celui des demandes d’accès aux documents régies par la
présente loi, qu'ils effectuent ou sont appelés à effectuer;
b) de leur donner les instructions utiles sur le traitement des données
personnelles nécessaires à l'accomplissement de leurs tâches légales ou des
demandes d’accès aux documents;
c) de prendre par voie d'évocation les décisions d'application de la présente loi
entrant ordinairement dans leur sphère de compétence.
3
Les responsables désignés répertorient les fichiers existants au sein des
institutions dont les organes sont placés sous leur responsabilité, avec les précisions
utiles mentionnées à l’article 43, alinéa 1. Ils en communiquent la liste ainsi
détaillée au préposé cantonal ainsi que ses mises à jour régulières, aux fins
d'enregistrement dans le catalogue des fichiers. Ils consignent dans un procèsverbal les interventions qu'ils sont amenés à effectuer en vertu de l'alinéa 2.

Art. 52, al. 2 et 3 (nouveaux)

Elles et ils accomplissent en particulier les tâches suivantes :
a) donner aux membres de l’institution publique les instructions utiles sur le
traitement des données personnelles nécessaires à l’accomplissement de
leurs tâches légales ou des demandes d’accès aux documents;
b) concourir à l’établissement de l’analyse d’impact relative à la protection des
données;
c) communiquer à la préposée cantonale ou au préposé cantonal les activités
de traitement des institutions publiques au sens de l’article 43, ainsi que
leurs mises à jour régulières;
d) annoncer à la préposée cantonale ou au préposé cantonal les violations de
la sécurité des données personnelles qui leur ont été communiquées par le
responsable du traitement.
4
Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de
l’institution à laquelle elles ou ils appartiennent, la compétence :
a) d’exiger d’eux tous renseignements utiles sur le traitement des données
personnelles ou celui des demandes d’accès aux documents régies par la
présente loi, qu’ils effectuent ou sont appelés à effectuer;
b) de prendre par voie d’évocation les décisions d’application de la présente
loi entrant ordinairement dans leur sphère de compétence.
5
Les membres des institutions publiques informent leur conseillère ou conseiller
LIPAD, notamment :
a) de tout nouveau traitement de données personnelles;
b) de toute requête de communication et de toute intention de destruction de
données personnelles, à moins que ces opérations ne soient prévues
explicitement par une loi, un règlement ou une décision du Conseil d'Etat;
c) de toute information ou consultation qu’ils adressent directement à la
préposée cantonale ou au préposé cantonal.
3

PL 13347
180/189

Le préposé cantonal surveille l’application de la présente loi.

Compétences

2

En matière d’information du public et d’accès aux documents
Il est chargé, en application du titre II de la présente loi :
a) de traiter les requêtes de médiation relatives à l’accès aux documents;
b) d’informer d’office ou sur demande sur les modalités d’accès aux
documents;
c) de centraliser les normes et directives que les institutions édictent pour
assurer l’application de l’article 50;
d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la
mise en œuvre de la présente loi;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de transparence.
En matière de protection des données personnelles
3
Il est chargé, en vertu du titre III de la présente loi :
a) d’émettre les préavis et formuler les recommandations requis en vertu de la
présente loi;
b) de collecter et centraliser les avis et informations que les organes des
institutions publiques ou les responsables désignés au sein de ces dernières
doivent lui fournir, et, s'il y a lieu, de prendre position dans l'exercice de ses
compétences;

1

Art. 56

protection des données personnelles, il est institué la fonction de préposé cantonal
à la protection des données et à la transparence.

2

Elle ou il est chargé, en application du titre II de la présente loi :
a) de traiter les requêtes de médiation relatives à l’accès aux documents;
b) d’informer d’office ou sur demande sur les modalités d’accès aux
documents;
c) de centraliser les normes et directives que les institutions édictent pour
assurer l’application de l’article 50;
d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la
mise en œuvre de la présente loi;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de transparence.

Art. 56 Compétences de la préposée cantonale ou du préposé cantonal en
matière d’information du public et d’accès aux documents
(nouvelle teneur avec modification de la note)
1
La préposée cantonale ou le préposé cantonal surveille l’application de la présente
loi en matière d’information du public et d’accès aux documents.

Art. 55A Autocontrôle (nouveau)
La préposée cantonale ou le préposé cantonal s'assure, par des mesures de contrôle
appropriées portant notamment sur la sécurité des données personnelles, du respect
et de la bonne application en son sein des dispositions de la présente loi.

La préposée cantonale ou le préposé cantonal se concerte avec l'archiviste d’Etat
lorsque l’application de la présente loi implique celle de la loi sur les archives
publiques, du 1er décembre 2000.
3
Elle ou il entretient des contacts réguliers avec la commission consultative.
2

181/189
PL 13347

c) de conseiller les instances compétentes des institutions publiques sur les
mesures d'organisation et les procédures à prescrire en leur sein;
d) d’assister les responsables désignés au sein des institutions publiques dans
l'accomplissement de leurs tâches;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de protection des données personnelles;
f) de dresser, mettre à jour et rendre accessible au public le catalogue des
fichiers des institutions publiques;
g) de dresser, mettre à jour et rendre accessible au public la liste des
responsables désignés au sein des institutions publiques;
h) de renseigner d'office ou sur demande les personnes concernées sur leurs
droits;
i) d’exercer le droit de recours et de participation aux procédures prévu à
l’alinéa 5 et à l'article 62, ainsi que dans les autres cas prévus dans la loi.
4
Le préposé cantonal peut exiger des responsables désignés au sein des institutions
publiques tous renseignements utiles sur le traitement des données qui y est
effectué. Il a le droit d’accéder aux fichiers qu’elles tiennent et aux données
personnelles qu’elles traitent, sauf disposition légale contraire.
5
S’il constate la violation de prescriptions sur la protection des données, il
recommande au responsable compétent d’y remédier à bref délai. Si la
recommandation est rejetée ou n’est pas suivie, il peut porter l’affaire, pour prise
de position, auprès des instances mentionnées à l’article 50, alinéa 2, puis recourir
contre la prise de position de ladite instance, laquelle est assimilée à une décision
au sens de l’article 4 de la loi sur la procédure administrative, du 12 septembre
1985.
Coordination
6
Le préposé cantonal se concerte avec l'archiviste d’Etat lorsque l’application de
la présente loi implique celle de la loi sur les archives publiques, du 1er décembre
2000.
7
Il entretient des contacts réguliers avec la commission consultative.
Art. 56A Compétences de la préposée cantonale ou du préposé cantonal en
matière de protection des données personnelles (nouveau)
1
La préposée cantonale ou le préposé cantonal surveille l’application de la présente
loi en matière de protection des données personnelles, notamment en procédant à
des contrôles auprès des institutions publiques.
2
Elle ou il a la charge, en vertu du titre III de la présente loi :

PL 13347
182/189

Art. 56B Pouvoirs de contrôle de la préposée cantonale ou du préposé
cantonal en matière de protection des données personnelles
(nouveau)
1
La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur
dénonciation, un contrôle auprès d’une institution publique ou d’un sous-traitant,
afin de vérifier qu’ils respectent les dispositions de protection des données
personnelles. Elle ou il décide librement des contrôles qu’elle ou il opère et de la
suite à donner à une dénonciation.
2
La préposée cantonale ou le préposé cantonal peut notamment demander des
renseignements, exiger la production de documents, procéder à des inspections et
se faire présenter des traitements de données. Elle ou il peut recourir, au besoin, à
des expertes et experts dans les domaines techniques.
3
Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au
préposé cantonal. Les autres secrets institués par la loi sont réservés.
4
Si la personne concernée est à l’origine de la dénonciation, la préposée cantonale
ou le préposé cantonal l’informe des suites données à celle-ci.

a) d’émettre les préavis requis en vertu de la présente loi;
b) de collecter et de centraliser les avis et informations que les institutions
publiques, ou leurs conseillères et conseillers LIPAD, doivent lui fournir,
et, s'il y a lieu, de prendre position dans l'exercice de ses compétences;
c) de conseiller les instances compétentes des institutions publiques sur les
mesures d'organisation et les procédures à prescrire en leur sein;
d) d’assister les conseillères et conseillers LIPAD dans l'accomplissement de
leurs tâches;
e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en
matière de protection des données personnelles;
f) de dresser, de mettre à jour et de rendre accessible au public le registre des
activités de traitement des institutions publiques;
g) de dresser, de mettre à jour et de rendre accessible au public la liste des
conseillères et conseillers LIPAD désignés au sein des institutions
publiques;
h) de renseigner d'office ou sur demande les personnes concernées sur leurs
droits;
i) d’exercer le droit de recours prévu à l'article 62, ainsi que dans les autres
cas prévus dans la loi.

183/189
PL 13347

Art. 56D Procédure (nouveau)

Art. 56C Mesures administratives de la préposée cantonale ou du préposé
cantonal (nouveau)
1
Si des dispositions de protection des données ne sont pas respectées, la préposée
cantonale ou le préposé cantonal peut ordonner la modification, la suspension ou
la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction
de tout ou partie des données personnelles.
2
Elle ou il peut suspendre ou interdire la communication de données personnelles
à l’étranger si elle est contraire aux conditions de l’article 39 ou à des dispositions
d’autres lois cantonales concernant la communication de données personnelles à
l’étranger.
3
Elle ou il peut notamment ordonner à l’institution publique :
a) de se conformer à son devoir d'informer lors de la collecte des données
personnelles (art. 38);
b) de répondre de manière appropriée à la demande de la personne concernée
qui exerce ses droits en vertu de la présente loi, notamment son droit
d'accès, son droit de rectification ou son droit d'opposition;
c) de lui fournir les informations prévues en matière de communications
transfrontières de données personnelles (art. 38, al. 3);
d) de déclarer un traitement de données personnelles au registre des activités
de traitement (art. 43);
e) de prendre des mesures organisationnelles et techniques en matière de
protection des données personnelles (art. 37A);
f) de prendre des mesures de protection des données personnelles dès la
conception et par défaut (art. 37);
g) de procéder à une analyse d'impact relative à la protection des données
personnelles ou de la compléter (art. 37B);
h) de lui transmettre les informations pertinentes en lien avec une violation de
la sécurité des données personnelles (art. 37C);
i) d’informer les personnes concernées à la suite d'une violation de la sécurité
des données personnelles (art. 37C);
j) de désigner une conseillère ou un conseiller LIPAD (art. 50).
4
Si une institution publique ne donne pas suite à l’ordre de la préposée cantonale
ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale ou le préposé
cantonal peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et
4, qui prescrivent par substitution les mesures nécessaires.

PL 13347
184/189

La procédure est régie par la loi sur la procédure administrative, du 12 septembre
1985.
2
L’institution publique visée par une décision de la préposée cantonale ou du
préposé cantonal a qualité pour recourir contre celle-ci.

Art. 59, lettre a (nouvelle teneur)
La commission consultative a pour attributions :
a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de
donner son avis sur tout objet touchant aux domaines de la protection des
données, de la transparence et de l’archivage;

Art. 68, al. 8 (nouveau)

Art. 59 Attributions
La commission consultative a pour attributions :
a) sur requête des instances visées à l’article 50, alinéa 2, d’étudier et donner
son avis sur tout objet touchant aux domaines de la protection des données,
de la transparence et de l’archivage;
b) d’encourager une politique dynamique et coordonnée en matière de
protection des données, de transparence et d’archives;
c) de donner son préavis avant toute destruction d’archives historiques;
d) de prendre position sur le rapport annuel du Conseil d’Etat sur l’application
de la législation relative aux archives publiques;
e) de prendre position sur le rapport annuel du préposé cantonal.

Art. 68 Dispositions transitoires
1
Les institutions disposent d’un délai de 2 ans à compter de l’entrée en vigueur de
la présente loi pour adopter et mettre en œuvre des systèmes de classement de
l’information et des documents qu’elles détiennent qui soient adaptés aux
exigences de la présente loi.
2
Sous réserve d’exceptions définies par les organes désignés à l’article 50, alinéa
2, il n’est pas obligatoire que ces systèmes de classement concernent aussi les
informations et documents antérieurs à leur mise en œuvre.

Art. 56E Collaboration entre les autorités cantonales, fédérales et étrangères
chargées de la protection des données (nouveau)
1
Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé cantonal
doit collaborer avec les autorités cantonales, fédérales et étrangères chargées de la
protection des données personnelles.
2
La communication de données personnelles dans le cadre de l’entraide
administrative est accordée lorsque les conditions fixées par l’article 39 sont
remplies.

1

185/189
PL 13347

Sans préjudice de l’application de l’article 26, alinéa 5, un émolument peut être
perçu pour la recherche d’informations ou de documents ne devant pas être
répertoriés obligatoirement dans les systèmes de classement prévus par la présente
loi.
4
Le pouvoir judiciaire dispose d’un délai de 2 ans à compter de l’entrée en vigueur
de la présente loi pour adopter et mettre en œuvre les mesures de publication des
arrêts et décisions des juridictions, du conseil supérieur de la magistrature et des
autres autorités judiciaires prévues à l’article 20, alinéas 4 et 5. Il n’est pas
obligatoire que ces mesures s’appliquent aussi aux arrêts et décisions antérieurs à
leur mise en œuvre.
Modifications du 9 octobre 2008
5
Les institutions publiques disposent d’un délai de 2 ans à compter de l’entrée en
vigueur de la loi 9870, du 9 octobre 2008, pour répertorier leurs fichiers et en
communiquer la liste au préposé cantonal avec les mentions requises par l’article
43, alinéa 1.
Modifications du 20 septembre 2013
6
En dérogation à l’article 53, alinéa 1, la première période de fonction du préposé
cantonal et du préposé adjoint après l’entrée en vigueur de la loi 11036, du 20
septembre 2013, s’étendra du 1er janvier 2014 au 30 juin 2018.
Modification du 27 avril 2018
7
En dérogation à l’article 53, alinéa 1, la deuxième période de fonction du préposé
cantonal et du préposé adjoint après l’entrée en vigueur de la loi 11036, du 20
septembre 2013, est prolongée jusqu'au 30 novembre 2023.

3

Modifications à d’autres lois

Art. 1
(nouvelle teneur)
La présente loi a pour but d’instituer les numéros d’identification personnels
communs au sens de l’article 4, lettre n, de la loi sur l’information du public, l’accès

1

La loi instituant les numéros d’identification personnels communs, du
20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit :

Art. 2

Modifications du … (à compléter)
Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté avant
l’entrée en vigueur de la loi … (à compléter), du … (à compléter), pour autant que
les finalités du traitement restent inchangées et que de nouvelles données
personnelles ne soient pas collectées.
8

PL 13347
186/189

Art. 2D Traitement de données personnelles (nouveau)
1
L'employeur traite les données personnelles au sens de la loi sur l’information du
public, l’accès aux documents et la protection des données personnelles, du 5
octobre 2001, dans la mesure nécessaire à la réalisation des tâches qui lui sont
assignées par la présente loi.
2
L’employeur peut traiter des données personnelles sensibles au sens de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, notamment pour :
a) déterminer les effectifs nécessaires ;
b) recruter du personnel afin de garantir les effectifs nécessaires ;
c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi que,
pendant les rapports de travail, pour déterminer la capacité de travail ;
d) gérer le traitement et les diverses prestations alloués aux membres du
personnel, établir les dossiers du personnel et gérer les communications
adressées aux assurances sociales ;
e) promouvoir le développement professionnel des membres du personnel;
f) mettre en place et optimiser les conditions de travail pour prévenir les
maladies et accidents professionnels du personnel et veiller à préserver sa
santé ;
g) assurer une planification, un pilotage et un contrôle au moyen d'analyses de
données, de comparaisons, de rapports et de plans de mesures ;
h) gérer des actes de procédure ou des décisions d’autorités concernant les
rapports de travail.
3
Lors de recrutements, l’employeur peut, avec l’accord de la personne candidate,
lui faire passer des tests de personnalité ou utiliser le profilage. Les résultats de ces
tests ou du profilage doivent être détruits dans un délai de 12 mois.
4
L’employeur peut traiter les données visées à l’alinéa 1 dans un système
d’information.
5
Les modalités relatives au traitement des données sont fixées par règlement.

2

La loi générale relative au personnel de l'administration cantonale, du pouvoir
judiciaire et des établissements publics médicaux, du 4 décembre 1997 (LPAC - B
5 05), est modifiée comme suit :

aux documents et la protection des données personnelles, du 5 octobre 2001,
utilisés par les institutions publiques au sens de l’article 3 de ladite loi.

187/189
PL 13347

La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du 29 août
2013 (LHES-SO-GE – C 1 26), est modifiée comme suit :

La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme suit :

6

La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est modifiée
comme suit :

Art. 11A, phrase introductive (nouvelle teneur)
Dans le cadre des activités du service visant à traiter les demandes de chèque annuel
de formation et conformément à l’article 36, alinéa 1, de la loi sur l’information du
public, l’accès aux documents et la protection des données personnelles, du 5
octobre 2001, le service est autorisé à :

5

La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA – C 2 08),
est modifiée comme suit :

Art. 7A Traitement de données personnelles (nouveau)
1
L’université est en droit de traiter, à des fins de recherche, des données
personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure
nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et
appliquée.
2
Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30
septembre 2011, et de la loi sur l’information du public, l’accès aux documents et
la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs
réglementations d’application respectives, demeurent réservées.

4

Art. 6A Traitement de données personnelles (nouveau)
1
La HES-SO Genève est en droit de traiter, à des fins de recherche, des données
personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure
nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et
appliquée.
2
Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30
septembre 2011 et de la loi sur l'information du public, l'accès aux documents et la
protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs
réglementations d'application respectives, demeurent réservées.

3

PL 13347
188/189

La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit :

Art. 3
Entrée en vigueur
Le Conseil d'Etat fixe la date d'entrée en vigueur de la présente loi.

1

Art. 4A Traitement de données personnelles (nouveau)
Les établissements sont en droit de traiter, à des fins de recherche, des données
personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure
nécessaire à la réalisation de leur mission de recherche médicale fondamentale et
clinique.
2
Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30
septembre 2011 et de la loi sur l'information du public, l'accès aux documents et la
protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs
réglementations d'application respectives, demeurent réservées.

8

La loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM –
K 2 05), est modifiée comme suit :

Art. 122B, al. 2 (nouvelle teneur)
2
Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la loi sur
l’information du public, l’accès aux documents et la protection des données
personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées à celles
permettant de connaître le statut vaccinal d’une personne relatif à la maladie
concernée.

7

Art. 34 (nouvelle teneur)
Le rapport de révision des états financiers individuels et consolidés de l’Etat de
Genève contient l’opinion du réviseur au sens de l’article 31 et recommande
l’approbation des états financiers avec ou sans réserves, ou leur renvoi au Conseil
d’Etat. Il est joint aux états financiers publiés et approuvés par le Conseil d’Etat.
Les communications écrites complémentaires ne peuvent pas faire l’objet d’une
demande d’accès aux documents au sens de la loi sur l’information du public,
l’accès aux documents et la protection des données personnelles, du 5 octobre 2001.
Il en va de même s'agissant des documents relatifs à d'autres entités reçus par la
Cour des comptes dans le cadre de la révision des états financiers individuels et
consolidés de l'Etat de Genève.

189/189
PL 13347