GRAND CONSEIL PL 13347 de la République et canton de Genève Projet présenté par le Conseil d’Etat Date de dépôt : 5 juillet 2023 Projet de loi modifiant la loi sur l'information du public, l'accès aux documents et la protection des données personnelles (LIPAD) (A 2 08) Le GRAND CONSEIL de la République et canton de Genève décrète ce qui suit : Art. 1 Modifications La loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001 (LIPAD – A 2 08), est modifiée comme suit : Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les lettres d et e), lettre e (nouvelle teneur), al. 6 (nouveau) 1 La présente loi s’applique aux institutions publiques suivantes (ci-après : institutions publiques), sous réserve des alinéas 3 et 5 : c) la Cour des comptes; e) les groupements formés d'institutions visées aux lettres a, b et d. 6 Le traitement de données personnelles effectué par la Banque cantonale de Genève n’est pas soumis à la présente loi. Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i ancienne devenant la lettre n) Dans la présente loi et ses règlements d’application, on entend par : b) données personnelles sensibles, les données personnelles sur : 1° les opinions ou activités religieuses, philosophiques, politiques ou syndicales, ATAR ROTO PRESSE – 80 ex. – 08.23 PL 13347 2/189 2° la santé, la sphère intime ou l’origine raciale ou ethnique, 3° des mesures d'aide sociale, 4° des poursuites ou sanctions pénales ou administratives, 5° les données génétiques, 6° les données biométriques identifiant une personne physique de façon unique; c) profilage, toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects d'une personne, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements; d) traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, l’enregistrement, la conservation, l’utilisation, l’extraction, la consultation, la modification, la communication, le rapprochement ou l’interconnexion, la limitation, l’effacement, la destruction ou l’archivage; e) communication, le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant; f) personne concernée, la personne physique ou morale au sujet de laquelle des données personnelles sont traitées; g) responsable du traitement, institution au sens de l’article 3 qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles; h) sous-traitant, institution, organisme ou personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement; i) sécurité des données personnelles, ensemble des mesures organisationnelles et techniques permettant d’assurer la confidentialité, et l’intégrité des données personnelles; j) violation de la sécurité des données personnelles, toute atteinte à la sécurité des données personnelles entraînant de manière accidentelle ou illicite leur perte, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces dernières; k) anonymisation, traitement de données personnelles consistant à supprimer définitivement toutes les données identifiantes ou tout moyen de retrouver les données originales; 3/189 PL 13347 m) décision individuelle automatisée, toute décision prise exclusivement sur la base d’un traitement automatisé de données, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative. Section 4A du chapitre I du titre II Cour des comptes (nouvelle) Art. 13A Huis clos (nouveau) Les délibérations et autres séances de la Cour des comptes se tiennent à huis clos. Art. 20A Cour des comptes (nouveau) 1 La Cour des comptes informe sur ses activités, notamment par le biais de la publication de ses rapports et d’autres documents qu’elle considère d’intérêt public. Dans ce cadre, elle veille à la protection du secret professionnel, de fonction, fiscal, ou d’affaires des personnes entendues et de tout autre secret prévu par la loi. 2 Sans préjudice de l’application des lois régissant ses activités, la Cour des comptes ne peut donner d’informations susceptibles de permettre l’identification de l’auteure ou de l’auteur d’une communication ou d’une personne qu’elle a entendue. 3 Elle veille au respect des règles professionnelles prohibant la transmission d’informations ou la transmission de documents en matière d’audit, d’évaluation ou de révision. 4 Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la divulgation de certaines informations. Art. 26, al. 2, lettre d (nouvelle teneur) 2 Tel est le cas, notamment, lorsque l’accès aux documents est propre à : d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes ou d’investigations prévues par la loi; PL 13347 4/189 Art. 28, al. 3 (nouvelle teneur) 3 En cas de doute sur la réalisation d'une des exceptions prévues à l'article 26, la personne qui est saisie de la demande d'accès doit en référer à la conseillère ou au conseiller à la protection des données et à la transparence désigné conformément aux mesures d'organisation et de procédure prévues à l'article 50. Art. 30, al. 5 (nouvelle teneur) 5 A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse de la requérante ou du requérant ainsi que de l’institution ou des institutions concernées, une recommandation écrite sur la communication du document considéré. L’institution concernée rend alors dans les 10 jours une décision sur la communication du document considéré. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal. Art. 31, al. 2 (nouvelle teneur) 2 Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à l’article 50, alinéa 3, pour les affaires respectives des institutions visées par cette disposition. Art. 33, al. 2 et 3 (nouvelle teneur) 2 Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa 3. 3 La rectification consiste dans la publication gratuite dans le média considéré, à bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et clair soumis par l’institution compétente, dans des conditions d’insertion et de présentation comparables à celles ayant entouré la présentation des faits en question. La publication comporte la précision que le texte rectificatif émane de l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou non de sa présentation des faits et de l’indication de ses sources. Art. 35 Principes (nouvelle teneur avec modification de la note) Licéité 1 Tout traitement de données personnelles doit être licite. Bonne foi et proportionnalité 2 Il doit être conforme aux principes de la bonne foi et de la proportionnalité. 5/189 PL 13347 Finalité et reconnaissabilité Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités. Conservation, destruction, effacement et anonymisation 4 Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi. Sur décision de l’institution publique concernée, la destruction de données personnelles peut être différée durant 2 ans au maximum à des fins d’évaluation de politiques publiques. Exactitude 5 Quiconque traite des données personnelles doit s’assurer qu’elles sont exactes et prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données personnelles inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. 6 Lorsqu’une institution publique constate que des données personnelles qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1, ou d’une autre base légale, sont inexactes, incomplètes ou obsolètes, elle en informe l’institution concernée, à moins que cette information ne soit contraire à une loi ou un règlement. 3 Art. 36 Base légale (nouvelle teneur avec modification de la note) 1 Les institutions publiques ne peuvent traiter des données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. 2 Les traitements de données personnelles sensibles, les activités de profilage et les traitements de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée ne peuvent avoir lieu que si : a) une loi au sens formel le prévoit expressément; ou b) le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. 3 L’article 36A est réservé. 4 Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. L'usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946. PL 13347 6/189 Art. 36A Consentement (nouveau) 1 En dérogation à l’article 36, les institutions publiques peuvent traiter des données personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, si la personne concernée a consenti au traitement en l'espèce. Le responsable du traitement doit être en mesure de démontrer l’existence d’un tel consentement. 2 La personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. Le consentement doit être exprès en cas de traitement de données personnelles sensibles, de traitement de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, ou de profilage. 3 Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre effective du retrait du consentement peut toutefois requérir un délai raisonnable pour des raisons techniques. 4 Dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, les institutions publiques peuvent traiter des données personnelles si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. 5 Les institutions publiques peuvent également traiter des données personnelles, y compris sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, en dérogation à l’article 36, si la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement. Art. 36B Traitement conjoint (nouveau) Lorsque deux institutions publiques ou plus déterminent conjointement les finalités et les moyens du traitement de données personnelles, elles sont responsables conjointes du traitement et doivent définir de manière transparente leurs obligations respectives dans la déclaration au sens de l’article 43. 7/189 PL 13347 Art. 36C Sous-traitance (nouveau) 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu’un contrat ou la loi le prévoie et que les conditions suivantes soient réunies : a) seuls sont effectués les traitements que le responsable du traitement est en droit de réaliser; b) aucune obligation légale ou contractuelle de garder le secret ne l’interdit. 2 La sous-traitance de données personnelles fait l’objet d’un contrat de droit privé ou public en la forme écrite, prévoyant pour chaque étape du traitement le respect des prescriptions de la présente loi et du règlement d'application de la loi sur l'information du public, l'accès aux documents et la protection des données personnelle, du 21 décembre 2011, ainsi que la possibilité d’effectuer des audits sur le site du sous-traitant, ou, à défaut, d'obtenir les résultats d'audits de tiers indépendants, respectivement de participer sans frais à l'élaboration de ces audits. Les cas où la loi prévoit en détail les modalités de la sous-traitance sont réservés. 3 Le contrat prévoit spécifiquement que le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données. 4 Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en cascade) n’est possible qu’avec l’accord préalable écrit du responsable du traitement et moyennant le respect, à chaque niveau de substitution, de toutes les prescriptions du présent article. 5 Le responsable du traitement demeure responsable des données personnelles qu’il fait traiter au même titre que s’il les traitait lui-même. 6 S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est possible que si l’Etat concerné dispose d’une législation assurant un niveau de protection adéquat conformément à la liste établie par le Conseil fédéral. Art. 37 Protection des données personnelles dès la conception et par défaut (nouveau, l’art. 37 ancien devenant l’art. 37A) 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données personnelles, en particulier les principes fixés à l’article 35. Il le fait dès la conception du traitement. PL 13347 8/189 2 Les mesures organisationnelles et techniques doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées. 3 Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement. Art. 37A Sécurité des données personnelles (nouvelle teneur) 1 Les institutions publiques doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. 2 Les mesures doivent permettre d’éviter la violation de la sécurité des données personnelles. 3 Le Conseil d’Etat détermine, par voie réglementaire, les exigences minimales en matière de sécurité des données personnelles. 4 Les institutions publiques sont tenues de contrôler périodiquement le respect des mesures de sécurité mises en place au sens du présent article. Art. 37B Analyse d’impact (nouveau) 1 Lorsqu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune. 2 L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants : a) traitements de données personnelles sensibles à grande échelle; b) profilage; c) surveillance systématique de grandes parties du domaine public. 3 L’analyse d’impact contient notamment : a) une description du traitement envisagé; b) une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée; ainsi que c) les mesures prévues pour protéger la personnalité et les droits fondamentaux de la personne concernée. 9/189 PL 13347 4 Lorsque l'analyse d'impact est requise selon l'alinéa 1 du présent article, elle est jointe au projet d'acte législatif pour avis de la préposée cantonale ou du préposé cantonal au sens de l'article 56A, alinéa 2, lettre e, de la présente loi. 5 Lorsque l'analyse d'impact requise à l'alinéa 1 du présent article n’est pas liée à un projet d'acte législatif, elle est soumise à la préposée cantonale ou au préposé cantonal pour avis avant le début du traitement. Art. 37C Violation de la sécurité des données personnelles (nouveau) 1 Lorsqu’il constate une violation de la sécurité des données personnelles, le responsable du traitement prend immédiatement les mesures appropriées afin de mettre fin à la violation et d’en minimiser les effets, et en informe immédiatement sa conseillère ou son conseiller à la protection des données et à la transparence au sens de l’article 50. 2 Le responsable du traitement consigne dans un document interne la nature de la violation, le type de données personnelles concernées et les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier. 3 Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son conseiller à la protection des données et à la transparence, les cas de violation de la sécurité des données personnelles entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. 4 Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données personnelles. 5 Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé cantonal l’exige. 6 Il peut restreindre l’information de la personne concernée, la différer ou y renoncer, dans les cas suivants : a) les intérêts prépondérants d’un tiers l’exigent; b) un intérêt public prépondérant l’exige, en particulier la sécurité intérieure ou l’ordre public; c) un devoir légal de garder un secret l’interdit; d) la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative; e) l’information est impossible à fournir ou exige des efforts disproportionnés; PL 13347 10/189 f) l’information de la personne concernée peut être garantie de manière équivalente par une communication publique. Art. 38 Devoir d’informer lors de la collecte de données personnelles (nouvelle teneur avec modification de la note) 1 Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles la concernant, que cette collecte soit effectuée auprès d’elle ou non. 2 Lors de la collecte, le responsable du traitement communique à la personne concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie; il lui communique au moins les éléments suivants : a) le responsable du traitement; b) la finalité du traitement; c) le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données personnelles sont transmises; d) les catégories de données personnelles traitées. 3 Lorsque des données personnelles sont communiquées à l’étranger, le responsable du traitement communique également à la personne concernée le nom de la corporation ou de l’établissement de droit public auquel elles sont communiquées et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7. 4 Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui communique les informations mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication. Art. 38A Exceptions au devoir d’informer lors de la collecte de données personnelles (nouveau) 1 Le responsable du traitement est délié du devoir d’information au sens de l’article 38 si l’une des conditions suivantes est remplie : a) la personne concernée dispose déjà des informations au sens de l’article 38; b) le traitement des données personnelles est prévu par la loi; c) l’information n’est pas possible ou exige un effort disproportionné. 2 Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si un intérêt public ou privé prépondérant le justifie, en particulier dans les cas prévus à l’article 46. 11/189 PL 13347 Art. 38B Droits de la personne concernée en cas de décision individuelle automatisée (nouveau) 1 Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative. 2 A la demande de la personne faisant l’objet d’une décision individuelle automatisée, le responsable du traitement lui communique la logique et les critères à la base de celle-ci. Cette demande ne suspend pas le délai visé à l’alinéa 3. 3 Toute personne faisant l’objet d’une décision individuelle automatisée peut former une réclamation, dans les 30 jours à compter de sa notification, auprès de son auteure ou auteur. 4 La décision sur réclamation ne peut pas être rendue de manière automatisée. 5 Les dispositions de la législation spéciale qui prévoient déjà une procédure de réclamation sont réservées. Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur) A une autre institution publique soumise à la loi 1 Sans préjudice, le cas échéant, de son devoir de renseigner les instances hiérarchiques supérieures dont elle dépend, une institution publique ne peut communiquer des données personnelles en son sein ou à une autre institution publique que si, cumulativement : a) l’institution requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait aux exigences prévues aux articles 35 à 38B; 2 L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. 5 L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. S’il y a lieu, elle assortit la communication de charges et conditions. PL 13347 12/189 7 En l’absence du niveau de protection des données requis par l’alinéa 6, la communication n'est possible que si elle n’est pas contraire à une loi ou un règlement et si, alternativement : a) elle intervient avec le consentement exprès, libre et éclairé de la personne concernée ou dans son intérêt manifeste; b) elle est dictée par un intérêt public important manifestement prépondérant reconnu par l’institution publique requise et que l’entité requérante fournit des garanties fiables suffisantes quant au respect des droits fondamentaux de la personne concernée; 8 L’institution publique requise est tenue de consulter la préposée cantonale ou le préposé cantonal avant toute communication. S’il y a lieu, elle assortit la communication de charges ou conditions. 10 Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est tenue de consulter les personnes concernées avant toute communication, à moins que cela n’implique un travail disproportionné. A défaut d’avoir pu recueillir cette détermination, ou en cas d’opposition d’une personne consultée, l’institution publique requise sollicite le préavis de la préposée cantonale ou du préposé cantonal. La communication peut être assortie de charges et conditions, notamment pour garantir un niveau de protection adéquat des données. 11 Outre aux parties, l'institution publique requise communique sa décision aux personnes consultées ainsi qu’à la préposée cantonale ou au préposé cantonal. Art. 40 (abrogé) Art. 41 Traitement à des fins générales ne se rapportant pas à des personnes (nouvelle teneur avec modification de la note) 1 Les institutions publiques soumises à la présente loi sont en droit de traiter des données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d’évaluation de politiques publiques, indépendamment des buts pour lesquels elles ont été collectées, si les conditions suivantes sont réunies : a) les données personnelles sont rendues anonymes dès que la finalité du traitement le permet; b) l'institution publique ne communique les données personnelles sensibles à des personnes privées que sous une forme ne permettant pas d'identifier les personnes concernées; c) le destinataire ne communique les données personnelles à des tiers qu'avec le consentement de l'institution qui les lui a transmises; 13/189 PL 13347 d) les résultats du traitement sont publiés sous une forme ne permettant pas d'identifier les personnes concernées. 2 Les articles 35, alinéa 3, 36, alinéa 2, et 39 ne sont pas applicables. Art. 42, al. 1, phrase introductive (nouvelle teneur) 1 Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches au sens de l’article 36, la création et l’exploitation d’un système de vidéosurveillance ne sont licites que si, cumulativement : Art. 43 Registre des activités de traitement (nouvelle teneur avec modification de la note) 1 La préposée cantonale ou le préposé cantonal dresse et tient à jour un registre public des activités de traitement des institutions publiques. Elle ou il le rend facilement accessible. 2 Les institutions publiques déclarent leurs activités de traitement à la préposée cantonale ou au préposé cantonal, en fournissant au moins les indications suivantes : a) le responsable du traitement; b) la dénomination, la base légale et la finalité du traitement; c) une description des catégories des personnes concernées et des catégories des données personnelles traitées; d) les catégories des destinataires; e) le cas échéant, l’identité et les coordonnées des autres responsables du traitement et la répartition des responsabilités. 3 Les institutions publiques fournissent également les indications suivantes à la préposée cantonale ou au préposé cantonal, sur requête de ces derniers : a) dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation; b) dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données personnelles selon l’article 37A; c) en cas de communication de données personnelles à l’étranger, le nom de la corporation ou de l’établissement de droit public étranger destinataire et, le cas échéant, l'application d'une des exceptions prévues à l’article 39, alinéa 7; d) le cas échéant, l’identité et les coordonnées des sous-traitants. 4 Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins administratives internes qui ne présentent manifestement pas de risques pour les droits des personnes concernées. PL 13347 14/189 Art. 44 (nouvelle teneur) 1 Toute personne physique ou morale de droit privé peut demander par écrit au responsable du traitement, en s’adressant à sa conseillère ou à son conseiller à la protection des données et à la transparence au sens de l’article 50, si des données personnelles la concernant sont traitées. 2 La personne concernée reçoit les informations nécessaires à la mise en œuvre de ses droits en matière de protection des données personnelles. A sa demande, elle reçoit notamment les informations suivantes : a) le responsable du traitement; b) les données personnelles traitées; c) la finalité du traitement; d) la durée de conservation des données personnelles, ou, si cela n’est pas possible, les critères pour fixer cette dernière; e) les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée; f) le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que l'application d'une des exceptions prévues à l’article 39, alinéa 7. 3 L’institution publique qui fait traiter des données personnelles par un soustraitant demeure tenue de communiquer les données et de fournir les informations demandées. 4 Nul ne peut renoncer par avance à son droit d’accès. Art. 45 (nouvelle teneur) 1 La personne qui fait valoir son droit d’accès doit justifier de son identité. 2 Les renseignements sont, en règle générale, fournis par écrit sur un support physique ou électronique. En accord avec le responsable du traitement, la personne concernée peut également consulter ses données personnelles sur place. 3 Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil d’Etat peut prévoir des exceptions, notamment si la communication de l’information implique un travail disproportionné. 4 A moins que des circonstances exceptionnelles le justifient, les renseignements sont fournis dans un délai de 30 jours. Art. 47, al. 2, lettres a, d et e (nouvelle teneur) 2 Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles : 15/189 PL 13347 a) effacent ou détruisent celles qui ne sont pas nécessaires; d) s’abstiennent de communiquer celles qui ne répondent pas aux exigences de qualité visées à l’article 35; e) publient leur décision prise suite à sa requête ou la communiquent aux institutions ou tiers ayant reçu de leur part des données ne répondant pas aux exigences de qualité visées à l'article 35. Art. 49 (nouvelle teneur) 1 Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au responsable du traitement dont relève le traitement considéré. 2 Le responsable du traitement saisi traite la requête avec célérité. S’il y a lieu, il la transmet à la conseillère ou au conseiller à la protection des données et à la transparence compétent au regard des procédures adoptées au sein de son institution en application de l’article 50. 3 L’institution concernée statue par voie de décision dans les 30 jours sur les prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal. Art. 50 Conseillères et conseillers à la protection des données et à la transparence et procédures (nouvelle teneur de la note), al. 1 (nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens devenant les al. 3 à 6), al. 3, phrase introductive (nouvelle teneur), lettre e (nouvelle, les lettres e à i anciennes devenant les lettres f à j), al. 4 et 6 (nouvelle teneur) 1 Des conseillères et conseillers à la protection des données et à la transparence (ci-après : conseillères et conseillers LIPAD) ayant une formation appropriée et les compétences utiles sont désignés et des procédures sont mises en place au sein des institutions publiques, pour y garantir une correcte application de la présente loi. 2 Plusieurs institutions publiques peuvent désigner ensemble une conseillère ou un conseiller LIPAD. 3 Les mesures d'organisation générales et les procédures visées à l'alinéa 1 sont adoptées, après consultation de la préposée cantonale ou du préposé cantonal, par les instances suivantes : e) la Cour des comptes pour elle-même; 4 Le Conseil d’Etat prescrit par substitution les mesures et les procédures nécessaires à une correcte application du titre III de la présente loi, si une instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après avoir été mise en demeure de le faire. PL 13347 16/189 6 La liste des conseillères et conseillers LIPAD désignés en application du présent article est publique. Art. 51 (nouvelle teneur) 1 Les conseillères et conseillers LIPAD sont les interlocutrices et interlocuteurs privilégiés des personnes concernées et de la préposée cantonale ou du préposé cantonal pour tout ce qui a trait au traitement des données personnelles et à la transparence de l'institution qui les a désignés. 2 Elles et ils ont une fonction de conseil et de soutien et sont associés de manière appropriée aux activités de traitement accomplies au sein de l’institution publique. 3 Elles et ils accomplissent en particulier les tâches suivantes : a) donner aux membres de l’institution publique les instructions utiles sur le traitement des données personnelles nécessaires à l’accomplissement de leurs tâches légales ou des demandes d’accès aux documents; b) concourir à l’établissement de l’analyse d’impact relative à la protection des données; c) communiquer à la préposée cantonale ou au préposé cantonal les activités de traitement des institutions publiques au sens de l’article 43, ainsi que leurs mises à jour régulières; d) annoncer à la préposée cantonale ou au préposé cantonal les violations de la sécurité des données personnelles qui leur ont été communiquées par le responsable du traitement. 4 Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de l’institution à laquelle elles ou ils appartiennent, la compétence : a) d’exiger d’eux tous renseignements utiles sur le traitement des données personnelles ou celui des demandes d’accès aux documents régies par la présente loi, qu’ils effectuent ou sont appelés à effectuer; b) de prendre par voie d’évocation les décisions d’application de la présente loi entrant ordinairement dans leur sphère de compétence. 5 Les membres des institutions publiques informent leur conseillère ou conseiller LIPAD, notamment : a) de tout nouveau traitement de données personnelles; b) de toute requête de communication et de toute intention de destruction de données personnelles, à moins que ces opérations ne soient prévues explicitement par une loi, un règlement ou une décision du Conseil d'Etat; c) de toute information ou consultation qu’ils adressent directement à la préposée cantonale ou au préposé cantonal. 17/189 PL 13347 Art. 52, al. 2 et 3 (nouveaux) 2 La préposée cantonale ou le préposé cantonal se concerte avec l'archiviste d’Etat lorsque l’application de la présente loi implique celle de la loi sur les archives publiques, du 1er décembre 2000. 3 Elle ou il entretient des contacts réguliers avec la commission consultative. Art. 55A Autocontrôle (nouveau) La préposée cantonale ou le préposé cantonal s'assure, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application en son sein des dispositions de la présente loi. Art. 56 Compétences de la préposée cantonale ou du préposé cantonal en matière d’information du public et d’accès aux documents (nouvelle teneur avec modification de la note) 1 La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière d’information du public et d’accès aux documents. 2 Elle ou il est chargé, en application du titre II de la présente loi : a) de traiter les requêtes de médiation relatives à l’accès aux documents; b) d’informer d’office ou sur demande sur les modalités d’accès aux documents; c) de centraliser les normes et directives que les institutions édictent pour assurer l’application de l’article 50; d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la mise en œuvre de la présente loi; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de transparence. Art. 56A Compétences de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau) 1 La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière de protection des données personnelles, notamment en procédant à des contrôles auprès des institutions publiques. 2 Elle ou il a la charge, en vertu du titre III de la présente loi : a) d’émettre les préavis requis en vertu de la présente loi; b) de collecter et de centraliser les avis et informations que les institutions publiques, ou leurs conseillères et conseillers LIPAD, doivent lui fournir, et, s'il y a lieu, de prendre position dans l'exercice de ses compétences; PL 13347 18/189 c) de conseiller les instances compétentes des institutions publiques sur les mesures d'organisation et les procédures à prescrire en leur sein; d) d’assister les conseillères et conseillers LIPAD dans l'accomplissement de leurs tâches; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles; f) de dresser, de mettre à jour et de rendre accessible au public le registre des activités de traitement des institutions publiques; g) de dresser, de mettre à jour et de rendre accessible au public la liste des conseillères et conseillers LIPAD désignés au sein des institutions publiques; h) de renseigner d'office ou sur demande les personnes concernées sur leurs droits; i) d’exercer le droit de recours prévu à l'article 62, ainsi que dans les autres cas prévus dans la loi. Art. 56B Pouvoirs de contrôle de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau) 1 La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur dénonciation, un contrôle auprès d’une institution publique ou d’un soustraitant, afin de vérifier qu’ils respectent les dispositions de protection des données personnelles. Elle ou il décide librement des contrôles qu’elle ou il opère et de la suite à donner à une dénonciation. 2 La préposée cantonale ou le préposé cantonal peut notamment demander des renseignements, exiger la production de documents, procéder à des inspections et se faire présenter des traitements de données. Elle ou il peut recourir, au besoin, à des expertes et experts dans les domaines techniques. 3 Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au préposé cantonal. Les autres secrets institués par la loi sont réservés. 4 Si la personne concernée est à l’origine de la dénonciation, la préposée cantonale ou le préposé cantonal l’informe des suites données à celle-ci. Art. 56C Mesures administratives de la préposée cantonale ou du préposé cantonal (nouveau) 1 Si des dispositions de protection des données ne sont pas respectées, la préposée cantonale ou le préposé cantonal peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction de tout ou partie des données personnelles. 19/189 PL 13347 2 Elle ou il peut suspendre ou interdire la communication de données personnelles à l’étranger si elle est contraire aux conditions de l’article 39 ou à des dispositions d’autres lois cantonales concernant la communication de données personnelles à l’étranger. 3 Elle ou il peut notamment ordonner à l’institution publique : a) de se conformer à son devoir d'informer lors de la collecte des données personnelles (art. 38); b) de répondre de manière appropriée à la demande de la personne concernée qui exerce ses droits en vertu de la présente loi, notamment son droit d'accès, son droit de rectification ou son droit d'opposition; c) de lui fournir les informations prévues en matière de communications transfrontières de données personnelles (art. 38, al. 3); d) de déclarer un traitement de données personnelles au registre des activités de traitement (art. 43); e) de prendre des mesures organisationnelles et techniques en matière de protection des données personnelles (art. 37A); f) de prendre des mesures de protection des données personnelles dès la conception et par défaut (art. 37); g) de procéder à une analyse d'impact relative à la protection des données personnelles ou de la compléter (art. 37B); h) de lui transmettre les informations pertinentes en lien avec une violation de la sécurité des données personnelles (art. 37C); i) d’informer les personnes concernées à la suite d'une violation de la sécurité des données personnelles (art. 37C); j) de désigner une conseillère ou un conseiller LIPAD (art. 50). 4 Si une institution publique ne donne pas suite à l’ordre de la préposée cantonale ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale ou le préposé cantonal peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures nécessaires. Art. 56D Procédure (nouveau) 1 La procédure est régie par la loi sur la procédure administrative, du 12 septembre 1985. 2 L’institution publique visée par une décision de la préposée cantonale ou du préposé cantonal a qualité pour recourir contre celle-ci. PL 13347 20/189 Art. 56E Collaboration entre les autorités cantonales, fédérales et étrangères chargées de la protection des données (nouveau) 1 Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé cantonal doit collaborer avec les autorités cantonales, fédérales et étrangères chargées de la protection des données personnelles. 2 La communication de données personnelles dans le cadre de l’entraide administrative est accordée lorsque les conditions fixées par l’article 39 sont remplies. Art. 59, lettre a (nouvelle teneur) La commission consultative a pour attributions : a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de donner son avis sur tout objet touchant aux domaines de la protection des données, de la transparence et de l’archivage; Art. 68, al. 8 (nouveau) Modifications du … (à compléter) 8 Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté avant l’entrée en vigueur de la loi … (à compléter), du … (à compléter), pour autant que les finalités du traitement restent inchangées et que de nouvelles données personnelles ne soient pas collectées. Art. 2 Modifications à d’autres lois 1 La loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit : Art. 1 (nouvelle teneur) La présente loi a pour but d’instituer les numéros d’identification personnels communs au sens de l’article 4, lettre n, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, utilisés par les institutions publiques au sens de l’article 3 de ladite loi. *** 21/189 PL 13347 2 La loi générale relative au personnel de l'administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, du 4 décembre 1997 (LPAC – B 5 05), est modifiée comme suit : Art. 2D Traitement de données personnelles (nouveau) 1 L'employeur traite les données personnelles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, dans la mesure nécessaire à la réalisation des tâches qui lui sont assignées par la présente loi. 2 L’employeur peut traiter des données personnelles sensibles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, notamment pour : a) déterminer les effectifs nécessaires; b) recruter du personnel afin de garantir les effectifs nécessaires; c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi que, pendant les rapports de travail, pour déterminer la capacité de travail; d) gérer le traitement et les diverses prestations alloués aux membres du personnel, établir les dossiers du personnel et gérer les communications adressées aux assurances sociales; e) promouvoir le développement professionnel des membres du personnel; f) mettre en place et optimiser les conditions de travail pour prévenir les maladies et accidents professionnels du personnel et veiller à préserver sa santé; g) assurer une planification, un pilotage et un contrôle au moyen d'analyses de données, de comparaisons, de rapports et de plans de mesures; h) gérer des actes de procédure ou des décisions d’autorités concernant les rapports de travail. 3 Lors de recrutements, l’employeur peut, avec l’accord de la personne candidate, lui faire passer des tests de personnalité ou utiliser le profilage. Les résultats de ces tests ou du profilage doivent être détruits dans un délai de 12 mois. 4 L’employeur peut traiter les données visées à l’alinéa 1 dans un système d’information. 5 Les modalités relatives au traitement des données sont fixées par règlement. *** PL 13347 22/189 3 La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du 29 août 2013 (LHES-SO-GE – C 1 26), est modifiée comme suit : Art. 6A Traitement de données personnelles (nouveau) 1 La HES-SO Genève est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. 2 Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30 septembre 2011, et de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d'application respectives, demeurent réservées. *** 4 La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme suit : Art. 7A Traitement de données personnelles (nouveau) 1 L’université est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. 2 Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d’application respectives, demeurent réservées. *** 23/189 PL 13347 5 La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA – C 2 08), est modifiée comme suit : Art. 11A, phrase introductive (nouvelle teneur) Dans le cadre des activités du service visant à traiter les demandes de chèque annuel de formation et conformément à l’article 36, alinéa 1, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, le service est autorisé à : *** 6 La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est modifiée comme suit : Art. 34 (nouvelle teneur) Le rapport de révision des états financiers individuels et consolidés de l’Etat de Genève contient l’opinion du réviseur au sens de l’article 31 et recommande l’approbation des états financiers avec ou sans réserves, ou leur renvoi au Conseil d’Etat. Il est joint aux états financiers publiés et approuvés par le Conseil d’Etat. Les communications écrites complémentaires ne peuvent pas faire l’objet d’une demande d’accès aux documents au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001. Il en va de même s'agissant des documents relatifs à d'autres entités reçus par la Cour des comptes dans le cadre de la révision des états financiers individuels et consolidés de l'Etat de Genève. *** 7 La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit : Art. 122B, al. 2 (nouvelle teneur) 2 Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées à celles permettant de connaître le statut vaccinal d’une personne relatif à la maladie concernée. *** PL 13347 24/189 8 La loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM – K 2 05), est modifiée comme suit : Art. 4A Traitement de données personnelles (nouveau) 1 Les établissements sont en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de leur mission de recherche médicale fondamentale et clinique. 2 Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30 septembre 2011, et de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d'application respectives, demeurent réservées. Art. 3 Entrée en vigueur Le Conseil d'Etat fixe la date d'entrée en vigueur de la présente loi. Certifié conforme La chancelière d'Etat : Michèle RIGHETTI-EL ZAYADI 25/189 PL 13347 EXPOSÉ DES MOTIFS I. Introduction Faisant œuvre de pionnier, le législateur genevois s’est préoccupé d’assurer la protection de certaines données personnelles dès l’émergence des nouvelles technologies de l’information, en adoptant, le 24 juin 1976 déjà, une loi sur la protection des informations traitées automatiquement par ordinateur, puis, le 17 décembre 1981, une nouvelle loi sur les informations traitées automatiquement par ordinateur (LITAO)1. La loi sur l'information du public et l'accès aux documents a été adoptée le 5 octobre 2001 et est entrée en vigueur le 1er mars 20022. Suite à une révision importante, adoptée le 9 octobre 2008 et entrée en vigueur le 1er janvier 2010, le domaine de la protection des données personnelles s’est ajouté au volet de la transparence. La loi sur l'information du public et l'accès aux documents est ainsi devenue la loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001 (LIPAD; rs/GE A 2 08). Depuis lors, de nombreuses évolutions ont eu lieu, d’un point de vue tant technologique, sociétal, que juridique. Le présent projet de loi vise à adapter la LIPAD à ces développements, et notamment aux réformes du Conseil de l’Europe et de l’Union européenne en matière de protection des données personnelles, et à la révision du droit fédéral qui en découle. II. Contexte juridique international CEDH La convention de sauvegarde des droits de l'homme et des libertés fondamentales, du 4 novembre 1950 (CEDH; RS 0.101), conclue à Rome le 4 novembre 1950 et entrée en vigueur pour la Suisse le 28 novembre 1974, prévoit à son article 8 que toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Conseil de l’Europe Le Conseil de l’Europe a adopté, le 28 janvier 1981, le premier traité international en matière de protection des données personnelles, à savoir la convention pour la protection des personnes à l’égard du traitement 1 2 PL 9870, p. 30. rs/GE A 2 08. PL 13347 26/189 automatisé des données à caractère personnel, du 28 janvier 1981 (convention STE 108)3, qui a été ratifiée par la Suisse le 2 octobre 1997. Cette convention a été complétée par le protocole additionnel à la convention STE 108 concernant les autorités de contrôle et les flux transfrontières de données, du 8 novembre 2001 (STE 181; protocole additionnel)4 que la Suisse a également ratifié le 20 décembre 2007. En 2011, le Conseil de l’Europe a entamé une procédure de modernisation de la convention STE 108 et de son protocole additionnel dans l’objectif de mieux répondre aux défis que représentent la globalisation, les évolutions technologiques et l’augmentation des flux transfrontières des données pour la protection de la sphère privée et des droits fondamentaux des personnes concernées. Les travaux ont été menés en parallèle avec la réforme du cadre législatif en matière de protection des données personnelles de l’Union européenne (UE) et la plus grande attention a été portée au maintien de la cohérence entre les deux cadres législatifs. Le cadre de l’UE en matière de protection des données personnelles précise et amplifie les principes de la convention STE 108 et prend en considération l’adhésion à la convention STE 108, notamment au regard des transferts internationaux. La 128e session ministérielle du Comité des ministres du Conseil de l'Europe a adopté le protocole d’amendement (STCE 223; ci-après : protocole d’amendement) à la convention STE 108 le 18 mai 2018 et a entériné son rapport explicatif. Cette modernisation vise à harmoniser et renforcer le niveau de protection des données personnelles au plan international, avec pour effet de renforcer aussi la protection dont bénéficient les citoyennes et les citoyens suisses lorsque leurs données personnelles font l’objet de traitements transfrontières. Cette modernisation a également pour but de faciliter les flux transfrontières de données personnelles entre les Etats parties, permettant ainsi un accès facilité au marché de ces pays pour les entreprises suisses5. Le protocole d’amendement a été ouvert à la signature le 10 octobre 2018. Dans un communiqué daté du 30 octobre 2019, le Conseil fédéral a annoncé l'avoir signé. Lors de sa séance du 6 décembre 2019, il a adopté le message relatif à l’approbation du protocole d’amendement6. L'arrêté fédéral portant 3 4 5 6 RS 0.235.1. RS 0.235.11. Message concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, du 15 septembre 2017 (ci-après : Message), FF 2017 6565, p. 6617. FF 2020 545-574. 27/189 PL 13347 approbation du protocole d’amendement a été approuvé le 19 juin 2020 par l'Assemblée fédérale7. Il n’y a pas eu de référendum. L’approbation du protocole d’amendement par la Suisse lie également les cantons. Les dispositions de cet acte (ci-après : la Convention 108+) doivent être transposées, si besoin est, conformément à la répartition constitutionnelle des compétences prévues en droit interne8. Union européenne L’UE a adopté, ces dernières décennies, plusieurs textes législatifs en vue de protéger les données à caractère personnel. Le texte principal est la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, du 24 octobre 1995 (ciaprès : la directive 95/46/CE)9. Celle-ci a été complétée par la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale , du 27 novembre 200810. Le 27 avril 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté une réforme de la législation sur la protection des données personnelles qui comprend deux actes législatif, soit : – le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ciaprès : RGPD)11; et – la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou 7 8 9 10 11 FF 2020 5559 s. Message, p. 237. JO L 281 du 23.11.1995, p. 31. JO L 350 du 30.12.2008, p. 60. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119 du 4.5.2016, p. 1. PL 13347 28/189 d’exécution de sanctions pénales, et à la libre circulation de ces données (ci-après : la directive (UE) 2016/680)12. Le RGPD est le texte fondamental en matière de protection des données au niveau de l’Union européenne. Il a remplacé la directive 95/46/CE au sein de l’UE. La directive (UE) 2016/680 s’en inspire largement, au point que les deux textes contiennent un régime très analogue. Le règlement est cependant plus détaillé, et la directive contient des particularités propres au domaine pénal13. La directive (UE) 2016/680 vise à protéger les données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cet acte a pour objectif de garantir un niveau élevé de protection des données des personnes physiques tout en facilitant l’échange de ces données entre les autorités compétentes des différents Etats Schengen14. La directive (UE) 2016/680 constitue pour la Suisse un développement de l’acquis de Schengen; celle-ci doit donc la reprendre en vertu de l’accord d’association à Schengen. Cela vaut également pour les cantons15. En revanche, la Suisse n’est pas tenue de reprendre le RGPD car, selon l’Union européenne, il ne constitue pas un développement de l’acquis de Schengen16. Décision d’adéquation Dans les domaines qui ne relèvent pas de la coopération instaurée par Schengen et Dublin, la Suisse est considérée comme un Etat tiers. Or, l’échange de données entre un Etat tiers et les Etats membres de l’Union européenne ne peut se faire que si le pays tiers assure un niveau de protection adéquat au sens de la directive 95/46/CE. Ce niveau de protection fait régulièrement l’objet d’une évaluation de la Commission européenne, qui 12 13 14 15 16 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016 p. 89. Message, FF 2017 6565, p. 6618. Message, FF 2017 6565, p. 6611. Message, FF 2017 6565, p. 6628. Message, FF 2017 6565, p. 6587. 29/189 PL 13347 rend, le cas échéant, une décision d’adéquation. Cette dernière peut être révoquée en tout temps17. Par décision du 26 juillet 2000, la Commission européenne a constaté que la Suisse dispose d’un niveau de protection adéquat des données18. Cette décision se fonde toutefois sur le niveau de protection défini par la directive 95/46/CE. L’Union européenne procédera prochainement à une nouvelle évaluation du droit suisse afin de vérifier sa compatibilité avec le RGPD. Dans le cadre de cette évaluation, elle examinera le droit fédéral, mais aussi le droit de certains cantons choisis de manière aléatoire. Recommandations suite à l’évaluation Schengen En s’associant à Schengen-Dublin, la Suisse s’est engagée à ce que les traitements de données personnelles effectués dans le cadre de la coopération Schengen soient conformes à la réglementation de l’UE applicable en matière de protection des données. La dernière évaluation a eu lieu en 2018. Une des recommandations faites à la Suisse à cette occasion a été de renforcer les pouvoirs d'exécution des autorités cantonales chargées de la protection des données en les habilitant à prendre directement des décisions juridiquement contraignantes19. La prochaine évaluation aura lieu en 202320. III. Contexte juridique national Lors de sa séance du 21 décembre 2016, le Conseil fédéral a mis en consultation un avant-projet de révision totale de la loi fédérale sur la protection des données, du 19 juin 1992 (LPD; RS 235.1). Le projet visait à réaliser 2 objectifs principaux : d’une part, renforcer les dispositions légales de protection des données pour faire face au développement fulgurant des 17 18 19 20 Message, FF 2017 6565, p. 6588. Décision de la Commission du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse, JO L 215 du 25.8.2000, p. 1. Décision d'exécution du Conseil de l’Union européenne arrêtant une recommandation pour remédier aux manquements constatés lors de l'évaluation de 2018 de l’application, par la Suisse, de l’acquis de Schengen dans le domaine de la protection des données, du 8 mars 2019. https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id75749.html PL 13347 30/189 nouvelles technologies et, d’autre part, tenir compte des réformes du Conseil de l’Europe et de l’UE en la matière, afin de rendre la législation fédérale compatible avec la Convention 108+ et à mettre en œuvre les exigences de la directive (UE) 2016/680, conformément aux engagements pris par la Suisse dans le cadre de l’Accord d’association à Schengen. En outre, le projet doit permettre de rapprocher le droit fédéral des exigences du RGPD. Ce rapprochement, ainsi que l’approbation de la Convention modernisée, constituent des conditions déterminantes pour que la Commission européenne maintienne la décision d’adéquation accordée à la Suisse21. Le 11 janvier 2018, la Commission des institutions politiques du Conseil national (CIP-N) est entrée en matière sans opposition sur le projet du Conseil fédéral concernant ce projet de révision totale. Parallèlement, elle a adopté une motion d’ordre demandant la scission du projet. Elle a souhaité de la sorte échelonner la révision prévue : dans un premier temps, la Commission a examiné la mise en œuvre du droit européen (directive (UE) 2016/680) qui, en vertu des Accords de Schengen, devait avoir lieu dans un délai donné, avant de s’atteler ensuite à l’examen de la révision totale de la LPD sans être contrainte par le temps. Suite à cette décision, le Parlement a adopté, le 28 septembre 2018, la loi fédérale sur la protection des données personnelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal (LPDS; RS 235.3). Le 25 septembre 2020, la nouvelle LPD (ci-après : nLPD) a été acceptée par les 2 Chambres22. Lors de l'entrée en vigueur de ce texte, la LPDS sera abrogée, au motif que les dispositions de cette loi feront double emploi avec celles de la nLPD. La nLPD entrera en vigueur le 1er septembre 2023. IV. Grands traits du présent projet de loi Le présent projet de loi s’inspire en grande partie de la nLPD, dans la mesure où cette dernière s’inspire elle-même des nouveaux textes de la troisième génération de législation en matière de protection des données que sont la Convention 108+, la directive (UE) 680/2016 et le RGPD. A l’instar de ces réglementations, le présent projet de loi : – reprend l’approche fondée sur les risques qui caractérise les nouvelles législations sur la protection des données – selon cette approche, les obligations en matière de protection des données sont plus strictes pour 21 22 Message, FF 2017 6565, p. 6567. FF 2020 7397 ss. 31/189 PL 13347 les responsables du traitement dont les activités présentent un risque accru d’atteinte que pour ceux dont les activités sont moins risquées23; – à l’instar de la nLPD, le présent projet de loi traite dans la mesure du possible de manière égale les différentes technologies – la loi peut ainsi s’adapter aux évolutions technologiques sans freiner l’innovation; – à l’instar de la nLPD, la terminologie utilisée dans la LIPAD actuellement en vigueur a été modernisée – cela a notamment pour objectif d’améliorer la compatibilité du droit suisse avec le droit de l’UE; la notion de « maître du fichier » est ainsi remplacée par celle de « responsable du traitement » (voir supra commentaire ad art. 4). La notion de « profil de la personnalité » qui constitue une particularité suisse, disparaît au profit de la notion de « profilage » (voir infra commentaire ad art. 4). La notion de « données sensibles » est étendue aux « données génétiques » et aux « données biométriques » (voir infra commentaire ad art. 4). A. La consultation publique et les évolutions principales du présent projet de loi par rapport à l’avant-projet de loi Le présent projet de loi est issu de l’avant-projet de loi que le Conseil d’Etat a mis en consultation publique du 6 juillet au 17 octobre 202224. Soixante-neuf entités ont été invitées par la chancellerie d’Etat à prendre part à la consultation. Parmi celles-ci, le pouvoir judiciaire, la Cour des comptes, la commission consultative en matière de protection des données, de transparence et d’archives publiques, les établissements de droit public principaux, l’Université de Genève, la HES-SO Genève, l’Association des communes genevoises (ACG), les communes, ainsi que les principaux partis politiques. La consultation était par ailleurs ouverte à toute personne et institution intéressée. Afin de faciliter la consolidation des résultats, les entités et personnes intéressées ont été invitées à répondre à la consultation par le biais d’un questionnaire en ligne. A l’issue du délai pour le retour de consultation, 44 entités et personnes ont répondu à la consultation, soit : – 17 communes25; 23 24 FF 2017 6565, p. 6593. https://www.ge.ch/actualite/donnees-personnelles-acces-aux-documentsmodification-lipad-mise-consultation-publique-6-07-2022 PL 13347 32/189 les 6 établissements publics principaux26; 7 autres établissements publics27; 4 partis politiques28; le secrétariat général du pouvoir judiciaire; le comité de sécurité des systèmes d’information du canton de Genève29; 1 association de droit privée subventionnée et délégataire de tâches de droit public30; – la commission consultative en matière de protection des données, de transparence et d’archives publiques (CCPDTA); – l'Union des associations patronales genevoises (UAPG); – 5 personnes physiques, dont 3 anonymes. Par ailleurs, l'ACG a pour sa part informé le Conseil d'Etat qu'elle renonçait à formuler un préavis dans le cadre de cette consultation publique. Elle se demandait notamment comment la chancellerie d’Etat arbitrerait les différentes prises de position des communes. L'ACG a ainsi sollicité du Conseil d'Etat qu'une présentation lui soit faite une fois le projet finalisé. Le Conseil d'Etat a accepté que la chancellerie d’Etat présente l'avant-projet de loi à l'ACG après le retour de consultation et qu'elle puisse faire part de ses observations éventuelles. L’ACG a fait part de ses observations par courrier du 4 mai 2023 à l’attention du Conseil d’Etat (annexe 6). Le Conseil d’Etat a synthétisé les retours de consultations dans le rapport annexé au présent projet de loi (annexe 4). Il apparaît que globalement, l’avant-projet de loi a été bien accueilli. – – – – – – 25 26 27 28 29 30 Avully, Avusy, Bernex, Carouge, Chêne-Bougeries, Chêne-Bourg, CollongeBellerive, Cologny, Gy, Laconnex, Meinier, Plan-les-Ouates, Presinge, Soral, Vandœuvres, Veyrier, Ville de Genève. Les Transports publics genevois (TPG), l’Aéroport international de Genève (AIG), l’Hospice général (HG), les Hôpitaux universitaires de Genève (HUG), les Services industriels de Genève (SIG), et l'Institution genevoise de maintien à domicile (IMAD). La Caisse de prévoyance de l’Etat de Genève (CPEG), la Banque cantonale de Genève (BCGe), les Etablissements publics pour l’intégration (EPI), la Haute école spécialisée HES-SO Genève, l’Université de Genève (UNIGE) (réponse de la faculté de droit et du rectorat) et le Secrétariat des fondations immobilières de droit public (SFIDP). les Vert-e-s genevois-es, le parti socialiste, l'UDC et le Centre. SécuSIGE. Le Centre LAVI. 33/189 PL 13347 Par rapport à l’avant-projet de loi mis en consultation (ci-après : APL), et compte tenu des délais liés à l’entrée en vigueur de la nLPD, le présent projet de loi diverge principalement sur les 3 points suivants, qui ne découlent pas d’une adaptation au droit supérieur. Le Conseil d’Etat a ainsi tout d’abord renoncé en l’état à la proposition d'inclure, dans le champ d'application du volet « protection des données », les personnes physiques ou morales et organismes de droit privé délégataires d'une tâche publique cantonale ou communale (art. 3, al. 1, lettre f APL). Il a par ailleurs renoncé à réglementer dans la loi la coordination des demandes d'accès portant sur un même document (art. 28, al. 3 APL). Enfin, il a renoncé à modifier le titre de l'article sur les recours (art. 60 APL). Sur le fond, quelques modifications ont été apportées, principalement sur les points suivants. Art. 36A Consentement : ajout de la possibilité de traiter des données dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée avec son consentement. Art. 36C Sous-traitance : ajout, dans le contrat de sous-traitance, de l’obligation pour le sous-traitant d’annoncer tout cas de violation de la sécurité des données (rappelée aussi à l’art. 37C relatif à la violation de la sécurité des données) et ajout de la possibilité d'obtenir les résultats d'audits de tiers indépendants, respectivement de participer sans frais à l'élaboration de ces derniers. Art. 37B Analyse d’impact : ajout d’un alinéa 5 prévoyant que lorsque l’analyse d’impact requise à l’alinéa 1 n’est pas liée à un projet d’acte législatif, elle est soumise à la préposée cantonale ou au préposé cantonal pour avis avant le début du traitement. Art. 38 Devoir d’informer lors de la collecte de données personnelles : précision, à l’alinéa 2, à l’instar du droit fédéral, que les informations sont communiquées à la personne concernée afin qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie; précision, à l’alinéa 4, des modalités de communication des informations lorsque les données ne sont pas collectées auprès de la personne concernée. Art. 40 Suppression des données : abrogation de l’article 40 dès lors qu’il a été intégré à l’article 35, alinéa 4, de l’APL. PL 13347 34/189 Art. 43 Registre des activités de traitement : ajout, à l’alinéa 2, lettre e, de l’obligation de déclarer la répartition des responsabilités lorsqu’il y a plusieurs responsables du traitement; suppression, pour des raisons de sécurité (cf. fuite de données récente ayant touché la Confédération via des attaques de sous-traitants qui avaient publicisé leurs contrats avec l’administration fédérale), de la référence aux sous-traitants du registre public des activités de traitement (déclaration obligatoire; al. 2) et ajout de l’exigence, pour les institutions publiques, de fournir une telle information sur demande de la préposée cantonale ou du préposé cantonal (al. 3). Art. 44 Droits d’accès – Principes : précision que toute demande d’accès peut être adressée à la conseillère LIPAD ou au conseiller LIPAD du responsable du traitement. Art. 50 Conseillères et conseillers LIPAD : ajout d’un nouvel alinéa 2 prévoyant, à l’instar du droit fédéral, la possibilité pour plusieurs institutions de désigner ensemble une conseillère ou un conseiller LIPAD. Art. 56C Mesures administratives de la préposée cantonale ou du préposé cantonal à la protection des données et à la transparence : ajout d’un nouvel alinéa 4 prévoyant qu’au cas où une institution ne donne pas suite à un ordre du préposé cantonal ou de la préposée cantonale au sens de l’alinéa 3, la préposée cantonale ou le préposé cantonal peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures nécessaires. Modifications à d’autres lois : ajout d’une modification à la loi générale relative au personnel de l'administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, pour introduire une disposition sur le traitement des données personnelles, y compris sensibles, et le profilage. Les points saillants du présent projet de loi sont exposés ci-après. B. Champ d’application de la LIPAD Pas de modification pour les personnes morales Les textes de protection des données de l’UE et du Conseil de l’Europe ainsi que ceux de la majorité des pays étrangers ne prévoient pas de protection des données personnelles des personnes morales. La Confédération a ainsi décidé de supprimer la protection desdites données de la nLPD. Toutefois, le fait de supprimer la protection des données des personnes morales aurait pour conséquence, selon le Conseil fédéral, que les bases légales qui habilitent aujourd’hui les organes publics à traiter des 35/189 PL 13347 données personnelles deviendraient caduques s’agissant des données de personnes morales31. Pour le Conseil fédéral, cette situation est problématique sous l’angle du principe de la légalité en vertu duquel toute activité de l’Etat doit être fondée sur la loi32. Afin de permettre aux organes publics de continuer de traiter les données de personnes morales, il a jugé nécessaire de réintroduire toute une série de dispositions dans la loi fédérale sur l’organisation du gouvernement et de l’administration, du 21 mars 199733 qui reprennent au final sous une forme très proche le contenu des dispositions de la LPD mais pour les personnes morales. Il a procédé au même exercice avec la législation spéciale où les règles qui autorisent le traitement des données personnelles ont été doublées pour autoriser aussi le traitement des données de personnes morales. Or, la suppression de la protection des données personnelles des personnes morales de la LIPAD conduirait à un vide juridique, qui devrait être comblé dans d’autres textes légaux, à l’instar de ce qui a été fait au niveau fédéral. Dans la mesure où le droit supérieur n’impose rien à ce sujet, et que la LIPAD dans sa teneur actuelle a donné satisfaction jusqu’à présent sur ce point, le Conseil d’Etat propose de maintenir le statu quo sur ce point. Inclusion de la Cour des comptes La question de l'inclusion ou non de la Cour des comptes dans le champ d'application de la LIPAD a été soulevée à de nombreuses reprises ces derniers temps sans qu'une réponse claire ne puisse y être apportée34. Cette incertitude juridique est notamment renforcée par la mention de la Cour des comptes à l'actuel article 41, alinéa 2 LIPAD relatif au traitement des données personnelles à des fins générales (de statistique, de recherche scientifique, de planification ou d'évaluation de politiques publiques) qui réserve les compétences et les règles de fonctionnement de la Cour des comptes dans le cadre de cette disposition. Pour sa part, la Cour des comptes a émis des doutes sur sa soumission au champ d'application de la LIPAD, principalement puisqu'elle ne figurait pas expressément dans la liste des institutions soumises à ladite loi prévue à son article 3. Sur une base volontaire, elle en a toutefois toujours appliqué les 31 32 33 34 FF 2017 6565, p. 6595, 6603ss et 6633. FF 2017 6565, p. 6722 et 6733. LOGA; RS 172.010. Voir à ce titre l’ATA/831/2020 et le commentaire du préposé cantonal et de la préposée cantonale adjointe du 21 décembre 2020 in swissprivacy.law, https://swissprivacy.law/44/ PL 13347 36/189 principes s'agissant du volet relatif à la protection des données personnelles dans le cadre de ses activités légales et elle a participé volontairement à un processus de médiation à propos de la publication partielle de l’un de ses rapports. Le Conseil d’Etat vous propose ainsi d'inclure formellement la Cour des comptes dans le champ d'application de la LIPAD, dans un but de clarté et afin de lever toute ambiguïté. Le projet de modifications porte sur les articles 3, alinéa 1, lettre c, 13A et 20A (nouvelle section 4A du chapitre I du titre II) et 26, alinéa 2, lettre d, ainsi que l'article 34 de la loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv; rs/GE D 1 09) (voir infra commentaire article par article pour plus de détails). Exclusion des traitements de données personnelles effectués par la Banque cantonale de Genève A l'instar de plusieurs cantons possédant une banque cantonale, le présent projet de loi propose à l'article 3, alinéa 6, d'exclure du champ d'application de la loi cantonale les traitements de données personnelles effectués par la Banque cantonale de Genève. Celle-ci est une société anonyme de droit public au sens de l’article 763 du code des obligations (CO), dont les activités sont essentiellement régies par les lois fédérales sur les banques, les bourses et le commerce de valeurs mobilières, et ses relations avec sa clientèle et avec son personnel sont régies par le droit privé. Il s'ensuit que ses traitements de données personnelles doivent être soumis à la LPD, qui régit notamment les traitements de données personnelles effectués par des personnes privées, et non pas à la loi cantonale. C. Autres modifications Introduction du consentement comme motif justificatif extra-légal A l’instar de la nLPD, le présent projet de loi introduit le consentement de la personne concernée comme motif pouvant justifier un traitement de données personnelles, y compris sensibles (voir infra commentaire ad art. 36A). Inclusion de la notion de sous-traitance dans la loi La notion de sous-traitance, figurant à l’heure actuelle dans le règlement d’application de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 21 décembre 2011 (RIPAD; 37/189 PL 13347 rs/GE A 2 08.01) (voir infra commentaire ad art. 36C), est ancrée au niveau de la loi. Renforcement des obligations des responsables du traitement Le présent projet de loi inclut les notions de protection des données dès la conception (en anglais : « privacy by design ») et par défaut (en anglais : « privacy by default ») (voir infra commentaire ad art. 37). La première signifie que le responsable du traitement doit mettre en place des mesures techniques et organisationnelles dès les premières étapes de la conception des opérations de traitement afin de préserver le plus tôt possible les droits et les libertés des personnes concernées. La deuxième implique que le responsable du traitement est tenu, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement. Par ailleurs, le présent projet de loi prévoit qu’avant de débuter un nouveau traitement de données qui est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, le responsable du traitement est tenu d’accomplir préalablement une analyse d’impact relative à la protection des données (voir infra commentaire ad art. 37B). Il s’agit d’un instrument destiné à identifier et à évaluer les risques que certains traitements de données personnelles pourraient entraîner pour la personne concernée. Le cas échéant, cette analyse doit servir à définir des mesures pour faire face à ces risques. L’avantage pour le responsable du traitement est qu’elle permet d’anticiper d’éventuels problèmes juridiques liés à la protection des données et d’éviter les coûts qui pourraient en résulter35. Enfin, en cas de violation de la protection des données, le responsable du traitement doit prendre immédiatement les mesures appropriées afin de mettre fin à la violation et d’en minimiser les effets et doit annoncer la violation dans les meilleurs délais à la préposée cantonale ou au préposé cantonal et, dans les cas les plus graves, directement à la personne concernée (voir infra commentaire ad art. 37C). Quant au sous-traitant, il a l’obligation d’annoncer au responsable du traitement, dans les meilleurs délais, tout cas de violation de la sécurité des données personnelles (voir infra commentaire ad art. 37C et ad art. 36C). 35 FF 2017 6565, p. 6676. PL 13347 38/189 Renforcement de la transparence des traitements de données et de la maîtrise par les personnes concernées sur leurs données Le présent projet de loi définit plus en détail l’obligation d’informer les personnes concernées et la liste d’informations à fournir à ces dernières (voir infra commentaire ad art. 38). Les droits des personnes concernées sont également clarifiés. Entre autres, le présent projet de loi mentionne expressément le droit à l’effacement des données, ainsi que des moyens de défenses spécifiques en faveur des personnes faisant l’objet d’une décision fondée exclusivement sur un traitement automatisé de données (par exemple, au moyen d’un algorithme). Dans ce cas, la personne concernée doit être informée qu’il s’agit d’une décision rendue exclusivement sur la base d’un traitement de données personnelles automatisé (c.-à-d. exclusivement par une machine). Elle a aussi le droit de demander de connaître la logique et les critères à la base de celle-ci, et, le cas échéant, de former une réclamation gratuite à l’encontre de la décision en question (voir infra commentaire ad art. 38B). Adaptation des règles relatives aux traitements de données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d’évaluation de politiques publiques Le présent projet de loi adapte la disposition relative aux traitements de données personnelles, y compris sensibles, à des fins générales de statistique, de recherche scientifique, de planification ou d’évaluation de politiques publiques afin de la calquer sur la disposition ad hoc de la nLPD à des fins de cohérence et pour en faciliter l’application (voir infra commentaire ad art. 41). Renforcement des missions et compétences de la préposée cantonale ou du préposé cantonal Le présent projet de loi prévoit le renforcement du rôle et des pouvoirs de la préposée cantonale ou du préposé cantonal, comparables à ceux des autorités de contrôle des autres pays européens. Le présent projet de loi renforce les pouvoirs de contrôle de la préposée cantonale ou du préposé cantonal (voir infra commentaire ad art. 56B) et prévoit que cette dernière ou ce dernier, à l’instar de ses homologues européens, peut prendre des décisions contraignantes à l’égard des responsables du traitement. A l’instar de ce qui a été prévu dans la nLPD pour les organes fédéraux, elle ou il n’est toutefois pas habilité à prononcer des sanctions administratives, cette notion faisant peu de sens dans la mesure où la LIPAD, dans son volet protection 39/189 PL 13347 des données, ne s’applique qu’à des institutions publiques36 (voir infra commentaire ad art. 56C). V. Commentaire article par article du présent projet de loi Art. 3 Al. 1 Cet alinéa a été modifié pour introduire la Cour des comptes, comme indiqué plus haut, dans la liste des institutions soumises à la LIPAD. Al. 6 Comme expliqué plus haut (voir supra Chapitre IV.A), la nouvelle teneur de l'alinéa 6 exclut les traitements de données personnelles effectués par la Banque cantonale de Genève (BCGE), en raison de son activité de droit privé, régie par le droit fédéral. Art. 4 De manière générale, les définitions ont été adaptées en s'inspirant le plus possible de celles retenues par la nLPD, en vue de faciliter les futures interprétations par les autorités d’application. Les opinions et les activités culturelles ne font désormais plus partie des données personnelles sensibles, dans la mesure où cette notion n’est prévue dans aucun autre texte, suisse ou européen. S’agissant de la notion des données personnelles sensibles, les termes « appartenance ethnique » sont remplacés par « origine raciale ou ethnique », conformément à la Convention 108+37, la directive (UE) 2016/68038 et la nLPD39. Le RGPD prévoit une réglementation identique40. La notion de données personnelles sensibles est désormais par ailleurs élargie, à l’article 4, lettre b, aux « données génétiques » et aux « données biométriques ». Cette modification transpose les exigences de la Convention 36 37 38 39 40 FF 2017 6565, p. 6589. Art. 6, par. 1. Art. 10. Art. 5, lettre c, ch. 2. Art. 9. PL 13347 40/189 108+41 et de la directive (UE) 2016/68042, et est conforme à la nLPD43. Le RGPD prévoit une réglementation identique44. Les « données génétiques » sont toutes les données relatives aux caractéristiques héréditaires d’un individu ou acquises à un stade précoce du développement prénatal, résultant de l’analyse d’un échantillon biologique de cet individu : analyse des chromosomes, de l’ADN ou de l’ARN, ou de tout autre élément permettant d’obtenir des informations équivalentes45. Par « données biométriques », on entend les données relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne, qui résultent d’un traitement technique spécifique et permettent ou confirment son identification unique. Il s’agit par exemple des empreintes digitales, des images faciales, de l’iris, ou encore de la voix. Ces données doivent impérativement résulter d’un traitement technique spécifique qui permet l’identification ou l’authentification unique d’un individu. Tel ne sera en principe pas le cas, par exemple, de simples photographies46. A noter que le Conseil d’Etat propose de s’aligner sur la Convention 108+47, la directive (UE) 2016/68048 et le RGPD49, qui utilisent tous trois le terme « unique » (et non « univoque » comme cela figure dans la nLPD). Le présent projet conserve la référence aux données relatives à la santé et à la sphère intime, à l’instar de la nLPD50. Constituent notamment des données relatives à la sphère intime les données concernant la vie sexuelle et l’orientation sexuelle de la personne concernée51. A l’instar de la nLPD52, la notion de « profil de la personnalité » est remplacée par celle de « profilage », que l’on retrouve également dans la directive (UE) 2016/68053 et le RGPD54. En effet, ces 2 notions, bien que 41 42 43 44 45 46 47 48 49 50 51 52 53 54 Art. 6, par. 1. Art. 10. Art. 5, lettre c, ch. 3 et 4. Art. 4, par. 13 et 14. Rapport explicatif de la Convention 108 modernisée, ch. 57 ad art. 6. FF 2017 6565, p. 6641. Art. 6, par. 1. Art. 3, ch. 13. Art. 9, par. 1. Art. 5, lettre c, ch. 2. FF 2017 6565, p. 6640; voir aussi l’art. 6, par. 1, de la Convention 108+, l’art. 10 de la directive (UE) 2016/680 et l’art. 9 RGPD. Art. 5, lettre f. Art. 3, ch. 4. Art. 4, ch. 4. 41/189 PL 13347 présentant de nombreuses similitudes, ne couvrent pas le même état de fait. Le profil de la personnalité est le résultat d’un traitement et traduit ainsi quelque chose de statique. A l’inverse, le profilage se définit ainsi comme l’évaluation de certaines caractéristiques d’une personne sur la base de données personnelles traitées de manière automatisée afin notamment d’analyser ou de prédire son rendement au travail, sa situation économique, sa localisation, sa santé, son comportement, ses préférences ou ses déplacements. L’analyse de ces caractéristiques peut par exemple avoir pour but de déterminer si une personne est indiquée pour une certaine activité. Autrement dit, le profilage se caractérise par le fait qu’on procède à une évaluation automatisée de données personnelles afin de pouvoir évaluer, d’une manière également automatisée, les caractéristiques de la personne. On est ainsi en présence d’un profilage uniquement lorsque le processus d’évaluation est entièrement automatisé55. Même si l’évaluation de la machine est basée sur une commande humaine, elle se fait toujours de manière schématique. Pour qu’un processus soit considéré comme un profilage, il faut que le profilage soit la finalité ou le motif du traitement des données. Par exemple, si un marchand de vins établit des statistiques sur les types de vins achetés par ses clients afin de mieux concevoir son assortiment, il ne s’agit pas d’un profilage. Si, en revanche, à partir de la même base de données, il établit une liste de tous les acheteurs de vins espagnols dans le but de leur écrire parce qu’il pense qu’ils seront les plus à même d’être intéressés par une nouvelle livraison de ces vins (évaluation automatique), il s’agit d’un profilage. S’il sélectionne chaque client manuellement, ce n’est plus un profilage. En effet, à l'instar de la directive (UE) 2016/680 et du RGPD, la LPD ne prévoit pas de profilage manuel56. La définition de traitement a été légèrement modifiée, pour s’étendre à « l’effacement », « l’interconnexion » et le « rapprochement », dans le but de se rapprocher des textes européens57. La liste des opérations entrant en ligne de compte dans la définition du « traitement » n’est pas exhaustive, les opérations de traitement pouvant prendre les formes les plus diverses. L’« interconnexion » et le « rapprochement » sont des notions proches mais différentes. Conformément aux critères posés par la Commission nationale française de l’informatique et des libertés (CNIL), l’objet de l'interconnexion doit être la mise en relation de fichiers ou de traitements de données personnelles. En second lieu, cette mise en relation doit concerner au 55 56 57 FF 2017 6565, p. 6642. David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, ch. 26. Voir art. 3, par. 2, de la directive (UE) 2016/680 et art. 4, par. 2 RGPD. PL 13347 42/189 moins 2 fichiers ou traitements distincts. Enfin, l'interconnexion doit consister en un processus automatisé ayant pour objet de mettre en relation des informations issues des fichiers ou traitements. Le rapprochement, tout comme l'interconnexion, constitue une mise en relation d'informations. Cependant, le rapprochement se distingue de l'interconnexion sur 2 points. A la différence d'une interconnexion, un rapprochement ne suppose pas nécessairement la mise en œuvre de moyens automatisés. Ainsi, la comparaison visuelle d'informations issues de 2 fichiers ou encore l'enrichissement d'un fichier existant par saisie manuelle d'informations issues d'un autre fichier ne constituent pas une interconnexion, mais de simples rapprochements. Un rapprochement peut être réalisé au sein d'un même traitement ou fichier, alors qu'une interconnexion implique 2 fichiers distincts58. La définition l’« anonymisation » a été ajoutée, pour une meilleure compréhension de cette notion. Le terme d’« anonymisation » vise ainsi tout traitement de données personnelles consistant à supprimer définitivement toutes les données identifiantes ou tout moyen de retrouver les données originales. A noter que des données parfaitement anonymisées ne sont plus considérées comme des données personnelles, dans la mesure où elles ne permettent plus d’identifier une personne physique ou morale. L’« anonymisation » se distingue de la « pseudonymisation » en ce sens qu’elle est irréversible, contrairement à cette dernière. La « pseudonymisation » vise en effet tout traitement de données personnelles consistant à remplacer l'ensemble des données identifiantes par un identifiant neutre (pseudonyme), de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires. Les données identifiantes doivent être conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable. Comme indiqué plus haut, contrairement à l’« anonymisation », la « pseudonymisation » est réversible (tant qu'une table de correspondance permettant de faire le lien entre le pseudonyme et les données identifiantes d'une personne existe et est accessible). Enfin, le « caviardage » (art. 27, al. 2 LIPAD) consiste, dans un traitement de données personnelles, à masquer des passages ou des données d’un document en vue de sa communication ou de sa publication, de sorte que la personne physique ou morale concernée ne puisse pas être identifiée. La notion de « fichier » est supprimée, à l’instar de ce qui est prévu pour la nLPD. Cela correspond à la solution retenue par la Convention 108+, qui 58 https://www.cnil.fr/en/node/15316 43/189 PL 13347 recourt en lieu et place à la notion de « traitement ». En effet, compte tenu des nouvelles technologies, les données peuvent aujourd’hui être exploitées comme un fichier, alors même qu’elles sont disséminées. Un exemple parlant est le profilage, lors duquel on va chercher des données dans différentes sources, non constitutives de fichiers, afin d’évaluer certaines caractéristiques d’une personne59. Le présent projet de loi introduit les notions de « responsable du traitement » et de « sous-traitant ». Ces définitions s’inspirent de celles de la nLPD60, ainsi que de celles de la Convention 108+61, de la directive (UE) 2016/68062, et du RGPD63. Du fait de l’introduction de la notion de « responsable du traitement », la définition d’organe a été supprimée de l’article 4 et remplacée dans le corps du présent projet de loi. Du fait de la suppression de la notion de fichier, le présent projet de loi remplace également la notion de « maître du fichier » par celle de « responsable du traitement ». Le responsable du traitement est toute institution publique, au sens de l’article 3, qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles. Cette définition s’inspire de celle de la nLPD64 et vise à utiliser la même terminologie que celle de la Convention 108+65, de la directive (UE) 2016/68066 et du RGPD67. Le « sous-traitant », quant à lui, est toute institution publique, organisme ou personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement. Cette définition s’inspire de celle de la nLPD68 qui reprend celle de la Convention 108+69. Le présent projet de loi introduit une définition de la « sécurité des données personnelles », soit l’ensemble des mesures organisationnelles et techniques permettant d’assurer la confidentialité et l’intégrité desdites 59 60 61 62 63 64 65 66 67 68 69 FF 2017 6565, p. 6643. Art. 5, lettre k. Art. 2, lettres d et f. Art. 3, par. 8 et 9. Art. 4, par. 7 et 8. Art. 5, lettre j. Art. 2, lettre d. Art. 3, par. 8. Art. 4, par. 7. Art. 5, lettre k. Art. 2 lettre f; voir également art. 3, par. 9, de la directive (UE) 2016/680 et art. 4, par. 8 RGPD. PL 13347 44/189 données. Il introduit également, à l’instar de la nLPD70, une définition de la « violation de la sécurité des données personnelles». Est considérée comme telle toute atteinte à la sécurité des données personnelles entraînant de manière accidentelle ou illicite leur perte, leur modification, leur effacement, leur destruction, leur divulgation ou un accès non autorisé à ces données personnelles. La directive (UE) 2016/67971 et le RGPD72 contiennent également une définition de cette notion. Enfin, le présent projet de loi introduit une nouvelle définition, celle de « décision individuelle automatisée ». Cette notion est en effet reprise plus loin dans le corps du présent projet de loi, conformément aux nouvelles exigences du droit supérieur. Il s’agit de toute décision prise exclusivement sur la base d’un traitement automatisé de données, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative. Section 4A du chapitre I du titre II, article 13A La section 4A relative à la Cour des comptes est nouvelle. Elle fait partie du chapitre I du titre II relatif à la publicité des séances et est introduite, à l’instar de ce qui est prévu pour le Grand Conseil, le Conseil d’Etat, le pouvoir judiciaire, les communes et les établissements et corporations de droit public, pour préciser la question de la publicité des séances en lien avec les délibérations et autres séances de la Cour des comptes. L’article 13A précise ainsi que ces dernières se tiennent à huis clos. Art. 20A Cet article fait partie du chapitre II du titre II relatif à l’information du public et vient préciser les modalités de cette dernière par la Cour des comptes. La Cour des comptes mène déjà une politique active d’information du public par la diffusion de ses rapports, d’examens dits « sommaires » ou « ciblés », d’une newsletter, de son rapport annuel et d’articles de ses collaboratrices et collaborateurs. Elle place sur son site les communiqués qu’elle adresse à la presse et les vidéos qu’elle produit, de même que les annexes méthodologiques, voire certains rapports produits par des mandataires. L’alinéa 1 formalise cette activité et précise ainsi que la Cour 70 71 72 Art. 5, lettre h. Art. 3, par. 11. Art. 4, par. 12. 45/189 PL 13347 des comptes informe le public sur ses activités, notamment par le biais de la publication de ses rapports et d’autres documents qu’elle considère d’intérêt public. Il précise toutefois également que, dans ce cadre, la Cour des comptes veille à la protection du secret professionnel, de fonction, fiscal ou d’affaires des personnes entendues, et de toute autre secret prévu par la loi. L’alinéa 2 prévoit, quant à lui, que la Cour des comptes ne peut donner d’informations au public susceptibles de permettre l’identification de l’auteure ou l’auteur d’une communication ou d’une personne, sous réserve toutefois des règles qui régissent son activité. Enfin, l’alinéa 3 précise que la Cour des comptes veille, dans le cadre de l’information du public, au respect des règles professionnelles prohibant la transmission d’informations ou la transmission de documents en matière d’audit, d’évaluation ou de révision. Les contours de la transparence pour ce qui concerne l’activité de révision des comptes de l’Etat qui incombe à la Cour des comptes sont traités par la modification à la LSurv (voir également infra, modifications à d’autres lois, commentaire ad art. 34 LSurv.) Art. 26, al. 2. lettre d Cette disposition a été complétée par le terme « investigations », suite à l’introduction de la Cour des comptes parmi les institutions soumises à la LIPAD. Art. 28, al. 3 Cet alinéa a uniquement été modifié d’un point de vue terminologique, pour refléter le remplacement de la notion de « responsable » (au sens de l’art. 50 LIPAD) par celle de « conseillère ou conseiller à la protection des données et à la transparence » (voir également infra commentaire ad art. 50). Art. 30, al. 5 Cet alinéa a principalement été complété afin de prévoir, dans la troisième phrase de l’alinéa, à l’instar de ce qui figure à l’article 49, que l’institution notifie également sa décision à la préposée cantonale ou au préposé cantonal. Parallèlement, la première phrase de l’alinéa a été modifiée uniquement pour rendre la terminologie conforme au langage épicène. La deuxième phrase n’a, pour sa part, pas subi de modification. PL 13347 46/189 Art. 31, al. 2 Cet alinéa a uniquement été modifié pour actualiser le renvoi à l’article 50 (préalablement article 50, alinéa 2, désormais article 50, alinéa 3). Art. 33, al. 2 et 3 Al. 2 Cet alinéa a uniquement été modifié pour actualiser le renvoi à l’article 50 (préalablement article 50, alinéa 2, désormais article 50, alinéa 3). Al. 3 Cet alinéa a uniquement été modifié pour des raisons terminologiques, suite à la suppression de la définition d’« organe ». Ce terme a ainsi été remplacé par le terme « institution » au sens large. Pour le surplus, cet article n’a subi aucune modification de fond. Art. 35 et 36 Par souci de cohérence, ces deux articles sont inversés dans leur ordre d’apparition par rapport à la LIPAD actuelle. Il semble en effet opportun d’énoncer les grands principes de la protection des données, dont la licéité, la bonne foi, la proportionnalité, la finalité et l’exactitude, avant d’entrer dans le détail des exigences de la base légale notamment. Art. 35 Cette disposition, reprenant les grands principes de traitement de données personnelles, est calquée sur la nLPD73 afin de faciliter les futures interprétations par les autorités d’application, et se rapproche ce faisant des textes européens74. Al. 1 Cet alinéa rappelle l’exigence du principe de licéité, à l’instar de la Convention 108+75 et de la nLPD76. Cela signifie qu’il ne doit pas enfreindre une autre norme du droit suisse visant directement ou indirectement à protéger la personnalité77. 73 74 75 76 77 Art. 6. FF 2017 6565, p. 6646. Art. 5, par. 3. Art. 6, al. 1. Rosenthal, op. cit., ch. 34 et réf. cit. 47/189 PL 13347 Al. 2 Cet alinéa rappelle l’exigence du principe de la proportionnalité. Il figure déjà à l’heure actuelle dans la LIPAD78, mais est remanié pour se rapprocher de la nLPD79, afin de faciliter les futures interprétations par les autorités d’application. Elément essentiel du droit de la protection des données, le principe de proportionnalité doit être respecté à toutes les étapes du traitement, y compris au stade initial, c’est-à-dire lorsqu’il est décidé de procéder ou non au traitement des données80. Il concerne non seulement les données, mais aussi le choix des moyens et des méthodes de traitement. Il découle du principe de proportionnalité que seules les données aptes et nécessaires à atteindre les finalités du traitement peuvent être traitées. Par ailleurs, il doit y avoir un rapport raisonnable entre les finalités et le moyen utilisé, les droits de la personne concernée devant être préservés dans la plus large mesure possible (principe de proportionnalité au sens étroit). Les principes d’évitement et de minimisation des données en constituent 2 expressions. Le premier implique que, si le but du traitement peut être atteint sans collecte de données nouvelles, cette option doit être privilégiée. Le second veut que seules les données absolument nécessaires au but poursuivi soient traitées. Ces 2 principes doivent être respectés dès la conception de nouveaux systèmes, et se mêlent ainsi partiellement aux principes de protection des données dès la conception et de protection des données par défaut (voir infra commentaire ad art. 37)81. L’exigence du respect du principe de proportionnalité figure également dans la Convention 108+82. Al. 3 Cet alinéa regroupe les principes de finalité et de reconnaissabilité. La référence à des « finalités déterminées », à l’instar de la nLPD83, indique qu’il n’est pas permis de traiter des données pour des finalités non définies, imprécises ou vagues. La légitimité d’une finalité dépendra des circonstances, le but étant de garantir dans chaque cas un juste équilibre entre 78 79 80 81 82 83 Art. 36, al. 1, lettre a. Art. 6, al. 2. Rapport explicatif de la Convention 108+, ch. 40 ad art. 5. FF 2017 6565, p. 6644. Art. 5, par. 1, et par. 4, lettre c. Art. 6, al. 3; voir aussi art. 5, par. 2, lettre b, de la Convention 108+ ainsi que l’art. 4, par. 1, lettre b, de la directive (UE) 2016/679 et l’art. 5, par. 2, lettre b RGPD. PL 13347 48/189 les droits, les libertés et les intérêts en jeu : le droit à la protection des données à caractère personnel, d’une part, et la protection d’autres droits, d’autre part. Un juste équilibre doit ainsi être ménagé entre les intérêts de la personne concernée et ceux du responsable du traitement ou de la société84. Par ailleurs, le but et les méthodes du traitement, ainsi que les catégories de données traitées, doivent être globalement reconnaissables pour les personnes concernées selon les règles de la bonne foi. Cet alinéa mentionne également que les données doivent être traitées ultérieurement de manière compatible avec les finalités initiales. Cette formulation permet de se rapprocher, à l’instar de la nLPD, de la terminologie de la Convention 108+85. La notion d’utilisation « compatible » implique que les données à caractère personnel ne doivent pas faire l’objet d’un traitement ultérieur que la personne concernée pourrait considérer comme inattendu, inapproprié ou contestable86. Un autre exemple classique de traitement des données généralement compatible avec la finalité initiale est la « pseudonymisation » ou l’« anonymisation » des données afin de les utiliser à d’autres fins (p. ex. pour les communiquer à un tiers pour lequel elles ne sont plus des données personnelles)87. Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier des attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données; de la nature des données à caractère personnel; des conséquences pour les personnes concernées du traitement ultérieur prévu; et de l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu88. Al. 4 Cet alinéa 4 est lié à la question de la durée de conservation des données personnelles. Il prévoit ainsi, en reprenant l’alinéa 1 de l’article 40 de la 84 85 86 87 88 Rapport explicatif de la Convention 108+, ch. 48 ad art. 5. Art. 5, par. 4, lettre b. Rapport explicatif de la Convention 108+, ch. 49 ad art. 5. Rosenthal, op. cit., ch. 36. Rapport explicatif de la Convention 108+, ch. 49 ad art. 5. 49/189 PL 13347 LIPAD actuelle en le remaniant, que les données doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement. Cette exigence correspond à ce que prévoit la nLPD89 et la Convention 108+90. Elle découle aujourd’hui implicitement du principe général de proportionnalité. Le Conseil d’Etat estime toutefois important, à l’instar du Conseil fédéral, compte tenu des évolutions technologiques et des capacités presque illimitées de stockage, de la mentionner expressément. Le respect de ce principe implique que le responsable du traitement fixe des délais de conservation. La deuxième phrase est reprise de l’article 40 de la LIPAD actuelle. De ce fait, l’article 40 LIPAD est abrogé (voir également infra commentaire ad art. 40). Al. 5 Cet alinéa reprend le principe de l’exactitude des données, à l’instar de la nLPD91 et des textes européens92. Ce principe est déjà prévu dans la LIPAD actuelle mais est remanié pour se rapprocher de la nLPD, afin de faciliter les futures interprétations par les autorités d’application. Le texte prévoit que celui qui traite des données personnelles doit s’assurer qu’elles sont exactes. Il prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. Les données qui ne peuvent être rectifiées ou complétées doivent être effacées ou détruites. Le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue, ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées. Le devoir d’exactitude peut impliquer selon les cas de tenir les données à jour93. Al. 6 Cet alinéa reprend la teneur actuelle de l’article 36, alinéa 2 LIPAD. 89 90 91 92 93 Art. 6, al. 4. Art. 5, par. 4, lettre e; voir également l’art. 4, par. 1, lettre 3, de la directive (UE) 2016/680 et l’art. 5, par. 1, lettre e RGPD. Art. 6, al. 4. Art. 5, par. 3, lettre d de la Convention 108+; voir également art. 4, par. 1, lettre d, de la directive (UE) 2016/680 et art. 5, par. 1, lettre d RGPD. FF 2017 6565, p. 6646. PL 13347 50/189 Art. 36 Al. 1 Cet alinéa reprend, en la modifiant un peu, la teneur de l’article 35, alinéa 1, de la LIPAD actuelle. Il prévoit désormais que les institutions publiques ne peuvent traiter des données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. Al. 2 Cet alinéa concerne plus spécifiquement les traitements de données personnelles sensibles, les activités de profilage et les traitements de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée. Un traitement de donnée personnelles non sensibles est susceptible de porter atteinte aux droits fondamentaux d’une personne en fonction des circonstances. Ainsi, le traitement des noms de famille qui, dans bien des cas, ne présente aucun risque pour les individus (par exemple pour l’établissement courant de bulletins de salaire), pourrait impliquer des données sensibles, par exemple s’il a pour finalité de révéler l’origine ethnique ou les convictions religieuses de personnes à partir de l’origine linguistique de leur nom94. Cet alinéa prévoit que de tels traitements ne peuvent avoir lieu que si une loi au sens formel le prévoit expressément (base légale directe), ou s’il est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel (base légale indirecte). Une atteinte grave aux droits fondamentaux de la personne concernée peut également résulter du mode de traitement des données personnelles. Tel peut être le cas des décisions individuelles automatisées au sens de l’article 38B LIPAD. Certes, toutes les décisions individuelles automatisées ne présentent pas un risque élevé pour les droits des personnes concernées. Le cas échéant, une base légale au sens matériel est suffisante. En principe, lorsque la décision individuelle automatisée se fonde sur un traitement de données personnelles sensibles, une base légale au sens formel doit être prévue. Les exigences de l’article 11 de la directive (UE) 2016/680 sont ainsi respectées95. 94 95 Rapport explicatif de la Convention 108+, ch. 60 ad art. 6. FF 2017 6565, p. 6696. 51/189 PL 13347 Al. 3 Cet alinéa réserve l’application de l’article 36A, qui introduit le consentement de la personne concernée comme élément fondant la licéité du traitement aux conditions restrictives prévues à l’article 36A. Al. 4 La première phrase de cet alinéa est reprise de l’article 35, alinéa 4, de la LIPAD actuelle. Le législateur l'a depuis mis en œuvre par l'adoption de la loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP; rs/GE A 209). La 2e phrase de cet alinéa est nouvelle. Elle abroge la 2e phrase actuelle de l’article 35, alinéa 4, de la LIPAD actuelle, devenue obsolète au vu du changement législatif intervenu au niveau fédéral relatif à l'usage et à la communication du numéro AVS. En effet, une modification de la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946 (LAVS; RS 831.10), portant sur l'introduction d'une Quatrième partie spécifique intitulée « Utilisation systématique du numéro AVS en dehors de l’AVS » (art. 153b à 153i nLAVS), est entrée en vigueur au 1er janvier 2022. Le but de cette modification est d'accroître l'efficacité des processus administratifs en permettant aux autorités fédérales, cantonales et communales d'utiliser de manière systématique le NAVS pour accomplir leurs tâches légales et faire avancer la cyberadministration96. En résumé, les unités des administrations cantonales et communales sont désormais habilitées à utiliser le numéro AVS de manière systématique dans la mesure où l’exécution de leurs tâches légales le requiert (art. 153c nLAVS) et moyennant l'adoption de mesures techniques et organisationnelles destinées à protéger les données (art. 153d nLAVS); la communication du numéro AVS dans l’application du droit cantonal ou communal étant pour le surplus régie par l'article 153g nLAVS. Art. 36A Al. 1 Cet alinéa introduit un fait justificatif extra-légal dérogeant aux exigences de l’article 36. Il vise à autoriser les institutions publiques à traiter des données personnelles, y compris sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, nécessaires à 96 Voir Message du 18 décembre 2020 « Utilisation systématique du numéro AVS par les autorités », RO 2021 758; FF 2019 6955. PL 13347 52/189 l’accomplissement de leurs tâches légales, et à procéder à du profilage, également dans le cas où la personne concernée a donné son consentement dans un cas d’espèce. Le consentement doit rester une exception en tant que fait justificatif extra-légal au traitement de données personnelles et ne saurait justifier des traitements systématiques de données personnelles. Une disposition similaire est prévue dans la nLPD97. Cette formulation permet par ailleurs, à l’instar de la nLPD, de se rapprocher de la terminologie de la Convention 108+98, afin de satisfaire aux exigences de celle-ci. Al. 2 Pour être considéré comme valable, le consentement doit avoir été exprimé librement et après que la personne concernée a été dûment informée, et doit porter sur un ou plusieurs traitements déterminés. Il doit être exprès en cas de traitement de données personnelles sensibles, de traitement de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée ou de profilage. Pour que le consentement soit valable, il faut toujours que le traitement, en particulier son ampleur et son but, soit suffisamment défini. Le consentement peut porter sur plusieurs traitements identiques ou différents. Il est également possible que le but du traitement nécessite plusieurs traitements. Le consentement doit couvrir le but du traitement auquel il sert de motif justificatif. Si les données sont traitées à d’autres fins que celles qui ont fait l’objet d’un consentement, ce traitement doit être justifié par d’autres motifs99. Le consentement doit en outre être clair. Il faut donc que la déclaration de la personne concernée exprime la volonté de celle-ci sans ambiguïté. Tout dépend des circonstances concrètes de chaque cas particulier. Conformément au principe de la proportionnalité, on considère que plus les données sont sensibles, plus le consentement doit être clair100. Le présent projet de loi, à l’instar de la nLPD, ne prévoit pas de forme particulière pour le consentement. En particulier, il n’est pas lié à une déclaration écrite. La personne concernée peut donner un consentement clair au sens de l’alinéa 2 par la manifestation tacite de sa volonté. Tel est le cas lorsque la manifestation de la volonté ne découle pas de la déclaration elle97 Art. 34, al. 4, lettre b. Art. 5, par. 2; voir également art. 6, par. 1, lettre a RGPD. 99 FF 2017 6565, p. 6647. 100 FF 2017 6565, p. 6647. 98 53/189 PL 13347 même, mais d’un comportement qui, compte tenu des circonstances dans lesquelles il se produit, peut être compris comme l’expression claire de la volonté. Mais la manifestation de la volonté est nécessaire; le simple silence ou l’inaction ne peuvent constituer un consentement valable à la violation de la personnalité. L’article 6 CO est réservé lorsque les parties sont convenues d’une acceptation tacite101. Selon la seconde phrase de l’alinéa 2, le consentement doit être exprès lorsque le traitement concerne des données sensibles ou consiste en un profilage. Une déclaration de volonté est « expresse » lorsqu’elle est formulée oralement, par écrit ou par un signe, et qu’elle découle directement des mots employés ou du signe en question. Une déclaration de volonté en tant que telle doit manifester clairement la volonté dans sa forme même. Cela pourrait se faire notamment en cochant une case, en optant activement pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration. La même chose vaudrait pour des moyens d’expression non verbaux qui, dans le contexte concret, sont des signes clairs, ou un geste approprié, ce qui peut être fréquemment le cas lors d’une consultation médicale. On peut par exemple penser à des signes approbateurs de la tête ou à l’ouverture de la bouche pour le prélèvement de muqueuse, après des explications claires. Lorsqu’un consentement exprès est requis, il ne peut pas être tacite102. A noter que la LIPAD utilisait jusqu’ici, à l’instar de la LPD dans sa teneur actuelle, le terme de consentement « explicite » (cf. art. 35 et 39 de la LIPAD actuelle). Ce terme a été remplacé dans le présent projet de loi par le terme de consentement « exprès », suivant en cela la Confédération et la terminologie du CO (voir également infra, commentaire ad art. 39). Al. 3 Cet alinéa prévoit que le consentement peut être révoqué en tout temps et sans motifs. En effet, aucune influence ou pression indues (de nature économique ou autre), directe ou indirecte, ne peut être exercée sur la personne concernée et son consentement ne doit pas être considéré comme libre si elle n’a pas de véritable choix ou de liberté de choix, ou ne peut refuser ou retirer son consentement sans subir de préjudice103. La seule réserve est celle du délai raisonnable qui pourrait être nécessité pour des raisons techniques. 101 FF 2017 6565, p. 6647. FF 2017 6565, p. 6647. 103 Rapport explicatif de la Convention 108+, ch. 42 ad art. 5; voir également consid. 42 RGPD. 102 PL 13347 54/189 Al. 4 Cet alinéa correspond à l’article 10, lettre b, de la directive (UE) 2016/680 et à l’article 6, paragraphe 1, lettre d, du RGPD104. En vertu de cette disposition, les institutions publiques peuvent traiter des données personnelles si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, y compris leur intégrité physique ou leur vie105. Il vise également les cas où le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine (conflit armé ou autre type de violence)106. Al. 5 Cet alinéa introduit un deuxième fait justificatif extra-légal dérogeant aux exigences de l’article 36. Il vise à autoriser les institutions publiques à traiter des données personnelles, y compris sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et à procéder à du profilage, également dans les cas où la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement. Une disposition similaire est aussi prévue dans la nLPD107. Art. 36B Cette disposition s’inspire de l’article 33 nLPD, qui met en œuvre l’article 21 de la directive (UE) 2016/680108, afin de faciliter les futures interprétations par les autorités d’application. Elle prévoit que, lorsque 2 institutions publiques ou plus déterminent conjointement les finalités et les moyens du traitement, elles sont responsables conjointes du traitement et doivent définir de manière transparente leurs obligations respectives dans la déclaration au registre des activités de traitement, soit CATTRAIT selon sa nouvelle appellation du fait 104 Voir également rapport explicatif de la Convention 108+, ch. 46 et 47 ad art. 5. Voir consid. 112 RGPD. 106 Voir rapport explicatif de la Convention 108+, ch. 47 ad art. 5; voir également consid. 46b RGPD. 107 Art. 34, al. 4, lettre b. 108 Voir également art. 26 RGPD. 105 55/189 PL 13347 de la disparition de la notion de « fichier » (à ce sujet, voir infra commentaire ad art. 43). Art. 36C Cet article reprend, pour l’essentiel, la teneur de l’article 13A RIPAD. Il précise de plus, à l’alinéa 1, lettre a, que seuls les traitements que le responsable du traitement est en droit de réaliser peuvent être sous-traités (voir infra). Al. 1 et 2 Ces alinéas posent le cadre légal général de la sous-traitance. Ils sont calqués sur l’article 9 nLPD, afin de faciliter les futures interprétations par les autorités d’application. Le contrat liant le responsable du traitement et le sous-traitant peut être de nature diverse. Il peut s’agir d’un mandat (art. 394 et suivants CO109), d’un contrat d’entreprise (art. 363 et suivants CO) voire d’un contrat mixte selon les obligations du sous-traitant. Le sous-traitant cesse d’être un tiers à compter du moment où il débute ses activités contractuelles pour le compte du responsable du traitement110. Ces alinéas instituent un devoir de diligence à la charge du responsable du traitement, dans le but de sauvegarder les droits des personnes concernées en cas de sous-traitance. Le responsable du traitement doit s’assurer de manière active que le sous-traitant respecte la loi dans la même mesure que lui111. Cela concerne principalement le respect des principes généraux de protection des données, les règles relatives à la sécurité, ainsi que le respect des droits des personnes concernées (art. 44 et suivants LIPAD). Le contrat de soustraitance ne doit en effet pas faire obstacle à l’obligation de l’institution de respecter en tout temps ses obligations aux termes des articles 44 et suivants LIPAD relatifs aux droits des personnes concernées (notamment droit d’accès à ses données personnelles, droit de demander la rectification, la destruction ou encore d’en constater le caractère illicite, voire d’exiger la fin du traitement illicite). Le responsable du traitement doit, par analogie avec l’article 55 CO, mettre tout en œuvre pour éviter d’éventuelles violations de la LIPAD. Il doit ainsi veiller à choisir soigneusement son mandataire, à lui 109 Loi fédérale complétant le Code civil suisse (Livre cinquième : Droit des obligations), du 30 mars 1911; RS 220. 110 FF 2017 6565, p. 6643. 111 FF 2017 6565, p. 6651. PL 13347 56/189 donner les instructions adéquates et à exercer la surveillance nécessaire112. La Convention 108+ prévoit elle aussi une obligation similaire113. L’obligation de prévoir la possibilité de faire des audits chez le soustraitant, ou, à défaut, d'obtenir les résultats d'audits de tiers indépendants, respectivement de participer sans frais à l'élaboration de ces derniers précise et renforce les mesures de sécurité qui doivent être mises en place, et permet de s’assurer de leur efficacité. Al. 3 Cet alinéa exige que le contrat de sous-traitance doit prévoir l’obligation, pour le sous-traitant, d’annoncer au responsable du traitement, dans les meilleurs délais, tout cas de violation de la sécurité des données. Cette précision est nécessaire, puisque l’obligation y relative, prévue à l’article 37C, alinéa 4, ne vaut a priori que pour un sous-traitant soumis au champ d’application de la LIPAD, ce qui ne sera pas toujours le cas. Al. 4 Cet alinéa exige que l’institution donne expressément son accord à une sous-traitance en cascade et que le contrat conclu oblige le sous-traitant du premier niveau à veiller au respect des mêmes prescriptions de protection dans la suite de la chaîne de sous-traitance. L’accord préalable écrit est également une exigence de la directive (UE) 2016/680114. Al. 5 Cet alinéa prévoit explicitement que l’institution demeure responsable des données personnelles qu’elle fait traiter par des tiers. Cette responsabilité s’étend naturellement également aux données personnelles dont le traitement aurait été délégué par le sous-traitant à un autre sous-traitant (sous-traitance en cascade). Al. 6 Cet alinéa traite des cas où le recours à un prestataire tiers implique un traitement à l’étranger, par exemple le recours à des systèmes d’information délocalisés ou dématérialisés. La notion de « niveau de protection adéquat » a été choisie afin de suivre celle choisie au niveau fédéral115, au niveau européen116 ainsi que dans la 112 FF 2017 6565, p. 6651. Art. 10, par. 1h. 114 Art. 22, par. 2. 115 Art. 16 nLPD. 116 Art. 36 de la directive (UE) 2016/680; art. 45 RGPD. 113 57/189 PL 13347 Convention 108+117. Elle ne se recoupe pas entièrement avec celle de « niveau de protection équivalent » utilisée à l’article 39 LIPAD, cette dernière pouvant être plus restrictive. A noter toutefois que les deux notions pourraient être amenées à se recouper largement. Il est rappelé en outre que le terme « traitement » recouvre tant des traitements complets que partiels de données personnelles. Il convient encore de préciser qu’il a été renoncé ici à réglementer spécifiquement l’usage des réseaux sociaux par le petit et le grand Etat (Facebook, Twitter, etc.) dans la mesure où les citoyennes et les citoyens y recourant le font sur une base volontaire, le plus souvent en entrant dans un rapport de droit direct avec le gestionnaire de la plate-forme privée et après avoir eux-mêmes créé un compte et accepté les conditions générales de ces instruments – dont la récolte des données personnelles (adresse IP et autres informations laissées sur leurs comptes publics). Dès lors, ces situations peuvent être appréhendées par les règles générales relatives au consentement des personnes concernées. Art. 37 Cet article instaure l’obligation de protéger les données dès la conception (« privacy by design ») et par défaut (« privacy by default »), le second concept étant inclus dans le premier. Il est calqué sur l’article 7 nLPD, afin de faciliter les futures interprétations par les autorités d’application, et met en œuvre, à l’instar de ce dernier, les exigences de la Convention 108+118 et de la directive (UE) 2016/680119. Le RGPD contient une règle similaire120. Al. 1 Cet alinéa traite de la protection des données dès la conception (« privacy by design »). Cette dernière se caractérise par des mesures proactives visant à prévenir et minimiser les risques d’atteinte aux droits des personnes concernées. L’obligation débute ainsi en amont des opérations de traitement, avant la collecte des données. Son but est d’assurer un traitement conforme à la loi du début à la fin du traitement des données (i. e. de la collecte à la suppression de la donnée, y compris l’archivage). Ce principe ne doit pas être 117 Voir article 14 (le terme adéquat est ici remplacé par approprié; voir toutefois rapport explicatif de la Convention 108+, ch. 112, ad art. 14). 118 Art. 10, par. 3, et rapport explicatif de la Convention 108+, ch. 89 ad art. 10. 119 Art. 20. 120 Art. 25. PL 13347 58/189 confondu avec la protection des données par défaut (« privacy by default »), qui exige de traiter le moins de données possibles par des préréglages appropriés (voir infra commentaire ad al. 3). Les 2 principes n’en restent pas moins étroitement liés, dans la mesure où de telles fonctionnalités doivent être intégrées dès la conception121. La protection technique des données personnelles ne s’appuie pas sur une technologie précise; elle passe plutôt par la mise en place de règles techniques et organisationnelles conformes aux principes définis aux articles 35 et 37A du présent projet de loi. En d’autres termes, les exigences légales auxquelles doit satisfaire un traitement conforme à la protection des données sont déjà intégrées dans le système, de manière à rendre impossible une violation de la protection des données ou d’en réduire la probabilité. Il s’agit par exemple de la fixation d’échéances régulières pour l’effacement ou l’anonymisation systématique des données personnelles. Un principe significatif pour la protection des données au plan technique est celui de la « minimisation des données », qui ressort aussi de l’article 35 du présent projet de loi. Selon ce dernier, il faut fixer avant même le début d’un traitement ses modalités, de manière à ce que le moins de données possible soient traitées, et de façon à ce qu’elles soient conservées le moins longtemps possible122. Al. 3 Cet alinéa traite du principe de la protection des données par défaut. Le responsable du traitement est tenu, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie (principe de la minimisation des données), pour autant que la personne concernée n’en dispose pas autrement (« privacy by default »)123. Les systèmes d’information et les applications traitant des données personnelles doivent ainsi être paramétrés, par défaut, de la manière la plus favorable à la protection de la vie privée. Le lien avec la protection des données dès la conception est étroit. En effet, ces réglages prédéfinis s’inscrivent souvent dans un système entier respectueux de la protection des données. Ce qui est spécifique à la protection des données par défaut, c’est l’influence éventuelle de la personne concernée. Alors qu’elle ne peut en principe pas modifier le système lui121 Lechtman, L’obligation de « privacy by design » en Suisse et son implémentation dans les études d’avocat, in Anwalts 10/2020, p. 403 et suivantes et réf. cit. 122 FF 2017 6565, p. 6648-6649. 123 FF 2017 6565, p. 6649; voir également rapport explicatif de la Convention 108+, ch. 89 ad art. 10. 59/189 PL 13347 même, elle a toujours la possibilité, s’agissant des réglages par défaut, de choisir une solution différente. La protection des données par défaut permet en conséquence à la personne concernée de consentir à un traitement déterminé124. Art. 37A Cet article est globalement calqué sur l’article 8 nLPD, afin de faciliter les futures interprétations par les autorités d’application. Al. 1 Le devoir d’assurer la sécurité des données est une exigence de la Convention 108+125 et de la directive (UE) 2016/680126. Le RGPD prévoit une règle comparable127. Les institutions publiques doivent ainsi assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Ces mesures doivent permettre d’éviter toute violation de la sécurité des données personnelles. Cette disposition matérialise l’approche fondée sur les risques. Plus le risque d’une atteinte à la sécurité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre seront élevées128. Al. 2 L’alinéa 2 mentionne le but des mesures. Ces dernières doivent permettre d’éviter toute violation de la sécurité des données, soit toute violation de la sécurité entraînant la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données, et ce indépendamment de la question de savoir si la violation est intentionnelle ou non, licite ou illicite (art. 4, lettre j, du présent projet de loi). Les mesures peuvent viser par exemple à pseudonymiser des données, à assurer la confidentialité et la disponibilité du système ou de ses services, ou encore à élaborer des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises129. 124 FF 2017 6565, p. 6649-6650; voir également rapport explicatif de la Convention 108+, ch. 89 ad art. 10. 125 Art. 7. 126 Art. 4, par. 1, lettre f, de la directive (UE) 2016/680. 127 Art. 5, par, 1, lettre f, et 32 RGPD. 128 FF 2017 6565, p. 6650. 129 FF 2017 6565, p. 6650. PL 13347 60/189 Il existe une interaction entre la protection des données et leur sécurité, mais ces deux aspects doivent être traités séparément. La protection des données relève de la protection de la personnalité de l’individu. Quant à la sécurité des données, elle vise généralement les données présentes chez un responsable du traitement ou chez un sous-traitant et englobe le cadre organisationnel et technique général du traitement des données. Par conséquent, la protection de l’individu n’est possible que si des mesures techniques générales ont été prises pour la sécurité des données le concernant. D’où la distinction opérée entre l’obligation d’assurer la sécurité des données au sens du présent article et la protection des données dès la conception visée à l’article 37 du présent projet de loi. L’article 37A du présent projet de loi oblige les institutions publiques à prévoir, pour leurs systèmes, une architecture de sécurité appropriée et à les protéger contre les maliciels ou la perte de données, par exemple. L’article 37 du présent projet de loi vise, par contre, à garantir, par des moyens techniques, le respect de prescriptions de protection de données, par exemple la proportionnalité du traitement des données. Certaines mesures, comme l’anonymisation des données, peuvent à cet égard se révéler significatives pour les 2 obligations130. Al. 3 Conformément à cet alinéa, les exigences minimales en matière de sécurité des données personnelles seront déterminées par le Conseil d’Etat par voie réglementaire. Al. 4 Cet alinéa prévoit, conformément à la directive (UE) 2016/680131 que les institutions publiques sont tenues de contrôler périodiquement le respect des mesures de sécurité mises en place. Le projet d’ordonnance fédérale relative à la loi fédérale sur la protection des données (P-OLPD) mis en consultation par le Département fédéral de justice et police (DFJP) prévoit également cette obligation132. Art. 37B Cet article prévoit l’obligation de procéder à une analyse d’impact relative à la protection des données personnelles. Il s’inspire de l’article 22 nLPD, afin de faciliter les futures interprétations par les autorités 130 FF 2017 6565, p. 6650. Art. 19, par. 1; le RGPD prévoit une règle similaire à l’art. 24, par. 1. 132 Art. 1, al. 2 P-OLPD. 131 61/189 PL 13347 d’application et concrétise, à l’instar de ce dernier, les exigences posées par la Convention 108+133 et la directive (UE) 2016/680134. Le RGPD contient des dispositions similaires135. L’analyse d’impact est un instrument destiné à identifier et à évaluer les risques que certains traitements de données personnelles pourraient entraîner pour la personne concernée. Le cas échéant, cette analyse doit servir à définir des mesures pour faire face à ces risques. L’avantage pour le responsable du traitement est qu’elle permet d’anticiper d’éventuels problèmes juridiques liés à la protection des données et d’éviter les coûts qui pourraient en résulter136. Al. 1 L’analyse d’impact doit être menée par le responsable du traitement avant la mise en œuvre du traitement. Le responsable du traitement doit procéder à une telle analyse lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Le risque doit être analysé au cas par cas en termes de gravité et de vraisemblance. Le responsable du traitement est donc tenu de faire un pronostic des conséquences que le traitement en question peut avoir pour la personne concernée137. Al. 2 L’alinéa 2 précise que l’existence d’un risque élevé dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Plus le traitement est étendu, plus les données sont sensibles et plus la finalité du traitement est vaste, plus il y a lieu de conclure à un risque élevé. L’alinéa 2 mentionne 3 exemples dans lesquels un tel risque existe : – selon la lettre a, c’est le cas lorsque le traitement concerne un grand volume de données sensibles, comme cela peut se produire dans le cadre de projets de recherche médicaux; – la lettre b dispose qu’un risque élevé existe en cas de profilage; tel peut être également le cas lorsque des décisions sont prises exclusivement sur la base d’un traitement de données personnelles automatisé, y compris en 133 Art. 10, par. 2. Art. 27. 135 Art. 35 et suivants. 136 FF 2017 6565, p. 6676. 137 FF 2017 6565, p. 6676. 134 PL 13347 62/189 cas de profilage, et que ces décisions ont des effets juridiques sur la personne concernée ou l’affectent de manière notable138; – selon la lettre c, enfin, il y a un risque élevé lorsqu’il s’agit de la surveillance de grandes parties du domaine public (p. ex. la surveillance d’un hall de gare)139. Al. 3 Selon l’alinéa 3, l’analyse d’impact relative à la protection des données contient notamment une description du traitement envisagé. Il faut ainsi présenter les différents processus (p. ex. la technologie employée), la finalité du traitement ou la durée de conservation des données personnelles. Par ailleurs, l’analyse d’impact doit montrer quels risques le traitement implique pour la personnalité ou les droits fondamentaux de la personne concernée. Il s’agit ici d’un approfondissement de l’évaluation des risques qui doit déjà être faite en amont, lors de l’examen de la nécessité de procéder à une analyse d’impact. Il convient ainsi de présenter la nature du risque élevé qu’engendre le traitement envisagé et les moyens de l’évaluer. Enfin, l’analyse d’impact doit expliquer les mesures prévues pour faire face à ce risque. Il s’agira souvent de mettre en œuvre les principes de l’article 35 du présent projet de loi, ainsi que les principes de protection dès la conception et par défaut (« privacy by design/by default »; art. 37 du présent projet de loi). A cette occasion, il est possible de mettre en balance les intérêts de la personne concernée et ceux du responsable du traitement. Cette confrontation des intérêts doit être dûment motivée et intégrée dans l’analyse d’impact.140. La réalisation de l’analyse d’impact doit être menée sans formalités excessives dans le respect du principe de proportionnalité141. Al. 4 Conformément à l’article 56A, alinéa 2, lettre e du présent projet de loi, la préposée cantonale ou le préposé cantonal exprime son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles. Le présent alinéa prévoit ainsi que lorsque l’analyse d’impact est requise au sens de l’alinéa 1 du présent article, elle doit être jointe au projet d’acte législatif soumis à la préposée cantonale ou au préposé cantonal. Bien qu’elle ne soit pas prescrite par la Convention 108+, cette consultation préalable correspond à la réglementation européenne142. Elle est 138 FF 2017 6565, p. 6677. FF 2017 6565, p. 6677. 140 FF 2017 6565, p. 6678. 141 Rapport explicatif de la Convention 108+, ch. 88 ad art. 10. 139 63/189 PL 13347 reprise dans le présent projet de loi pour permettre à la préposée cantonale ou au préposé cantonal d’exercer une fonction de conseil et de prévention, sans compter qu’elle offre une plus grande efficacité aux responsables du traitement en ce sens que les difficultés qui pourraient surgir en lien avec le traitement sont déjà éliminées à un stade précoce143. Cela permet également au législateur d’évaluer les risques éventuels pour la personne concernée au regard du but du traitement et d’édicter, le cas échéant, des prescriptions pour y faire face144. Al. 5 Cet alinéa vise les cas de figure où des nouveaux traitements susceptibles d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée seraient envisagés, alors même que les institutions publiques estiment qu'elles disposent déjà des bases légales nécessaires pour ce faire. Dans un tel cas de figure, aucune nouvelle base légale n'étant prévue, l’alinéa 4 n’entrerait pas en ligne de compte. Il fallait donc prévoir une base légale ad hoc. Art. 37C Le présent article s’inspire de l’article 24 nLPD, afin de faciliter les futures interprétations par les autorités d’application. Il instaure l’obligation d’annoncer toute violation de la sécurité des données personnelles145. Cette disposition concrétise les exigences fixées par la Convention 108+146 et la directive (UE) 2016/680147. Le RGPD contient des dispositions similaires148. Les mesures à prendre en cas d’incident entraînant une violation de la sécurité des données au sens de l’article 4, lettre j, du présent projet de loi portent sur 3 niveaux : a) identification de la violation et correction (al. 1); b) consignation, dans un document interne, de la nature de la violation, du type de données personnelles concernées et des catégories de personnes 142 Art. 28 de la directive [UE] 2016/680 et art. 36 RGPD. FF 2017 6565, p. 6678. 144 FF 2017 6565, p. 6678. 145 Cette notion est définie à l’art. 4, lettre j, du présent projet de loi. 146 Art. 7, par. 2. 147 Art. 30 et 31. 148 Art. 33 et 34. 143 PL 13347 64/189 touchées, des conséquences probables pour ces dernières et des mesures prises pour y remédier (al. 2); et c) annonce de la violation lorsque cela est nécessaire à la préposée cantonale ou au préposé cantonal ou aux personnes concernées (al. 3 et 4, sous réserve de l’al. 5) et annonce de tout cas de violation par le sous-traitant au responsable du traitement (al. 4). Al. 1 Cet alinéa prévoit que le responsable du traitement doit prendre immédiatement les mesures appropriées, lorsqu’il constate une violation de la sécurité des données, afin de mettre fin à la violation et d’en minimiser les effets et en informer immédiatement sa conseillère ou son conseiller à la protection des données et à la transparence. Al. 2 Le responsable du traitement doit documenter, dans un document interne, la nature de la violation, le type de données personnelles concernées et les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier. Le P-OLPD mis en consultation prévoit une obligation similaire à son article 19, alinéa 5. Al. 3 Le présent projet n’exige pas, à l’instar de l’article 24 nLPD, que tout incident doive être annoncé à la préposée cantonale ou au préposé cantonal. Seuls sont visés les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Al. 4 Cet alinéa prévoit, à l’instar de l’article 24 nLPD, que le sous-traitant doit annoncer au responsable du traitement, dans les meilleurs délais, tout cas de violation de la sécurité des données personnelles. Cette obligation est reprise à l’article 36C relatif à la sous-traitance, dans la mesure où cette obligation devra obligatoirement figurer dans le contrat liant l’institution à son sous-traitant. Al. 5 Cet alinéa prévoit que le responsable du traitement doit informer la personne concernée lorsque cela est nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé cantonal l’exige. Il existe une marge d’appréciation assez large pour déterminer si la première condition est réalisée. Il faut se demander notamment si 65/189 PL 13347 l’information peut réduire les risques pour la personnalité ou les droits fondamentaux de la personne concernée, en lui permettant notamment de prendre les dispositions nécessaires pour se protéger (modification des données d’accès ou du mot de passe, p. ex.)149. Al. 6 Cet alinéa prévoit les conditions auxquelles le responsable du traitement peut restreindre l’information de la personne concernée, la différer ou y renoncer. Le terme « secret » de la lettre c vise les secrets spéciaux et non pas le secret de fonction. Le devoir d’informer est réputé impossible à respecter (lettre c) lorsque le responsable du traitement n’est pas en mesure d’identifier les personnes concernées par la violation de la sécurité des données. On estime de même que l’information nécessite des efforts disproportionnés dès lors qu’il faudrait informer individuellement un grand nombre de personnes concernées et que les coûts qui en résulteraient semblent excessifs au regard du gain qu’en retireraient les personnes concernées. C’est notamment dans ces cas de figure que peut s’appliquer la lettre f : cette disposition autorise le responsable du traitement à opter pour une communication publique si l’information des personnes concernées est garantie de manière équivalente. On estime que cette condition est remplie quand une annonce individuelle ne permettrait pas d’améliorer sensiblement l’information de la personne concernée150. Art. 38 A l’instar de l’article 19 nLPD, cet article traite du devoir du responsable du traitement d’informer la personne concernée lors de la collecte de données personnelles. Ces exigences se retrouvent dans la Convention 108+151 ainsi que dans la directive (UE) 2016/680152. Le RGPD contient une réglementation similaire. Le devoir d’informer renforce la transparence des traitements, ce qui est l’un des principaux buts de la révision153. Le responsable du traitement est tenu de faire preuve de transparence dans la conduite des opérations de traitement afin de garantir un traitement loyal et de permettre aux personnes 149 FF 2017 6565, p. 6682. FF 2017 6565, p. 6682. 151 Art. 8. 152 Art. 13. 153 FF 2017 6565, p. 6668. 150 PL 13347 66/189 concernées de comprendre et, partant, d’exercer pleinement leurs droits dans le cadre du traitement considéré154. L’amélioration de la transparence du traitement des données personnelles entraîne donc aussi un renforcement des droits de la personne concernée, autre but important de la révision. Enfin, le devoir d’informer contribue à sensibiliser la population sur la protection des données, qui est aussi un objectif de la révision155. Al. 1 et 2 Le présent projet de loi, à l’instar de la nLPD, ne précise pas la forme que doit revêtir l’information. Le responsable du traitement doit veiller à ce que la personne concernée puisse effectivement prendre connaissance de celle-ci par un moyen facilement accessible, mais pas à ce qu’elle s’informe effectivement. Une information générale peut suffire si les données sont collectées auprès de la personne concernée156. Les informations peuvent être fournies sous tout format approprié (par le biais d’un site web, d’outils technologiques sur des appareils personnels, etc.) dès lors qu’elles sont présentées de manière effective et loyale à la personne concernée157. Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit réfléchir à un moyen qui permette à celle-ci de prendre effectivement connaissance de l’information. La simple mise à disposition des informations peut ne pas suffire. Il faut informer activement la personne concernée, que ce soit d’une manière générale ou personnalisée. Le devoir d’information vise en effet aussi à éviter que des données concernant une personne soient traitées à l’insu de celle-ci. Les exceptions visées à l’article 38A sont réservées. L’information n’est soumise à aucune exigence de forme, mais il faut de manière générale en choisir une qui respecte le principe de la transparence des données. L’alinéa 2 prévoit d’ailleurs que le responsable du traitement communique à la personne concernée, lors de la collecte, les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la LIPAD et pour que la transparence des traitements soit garantie. Pour des raisons de preuve, il est en outre recommandé de documenter l’information ou d’y procéder par écrit. Par ailleurs, l’information doit être rédigée de manière suffisamment claire pour atteindre son but, à savoir la transparence du traitement des données. 154 Rapport explicatif de la Convention 108+, ch. 67 ad art. 8. FF 2017 6565, p. 6668. 156 FF 2017 6565, p. 6668. 157 Rapport explicatif de la Convention 108+, ch. 68 ad art. 8. 155 67/189 PL 13347 La liste des informations que le responsable du traitement doit fournir à la personne concernée au sens de l’alinéa 2 n’est pas exhaustive; il s’agit uniquement des informations minimales à fournir dans ce cadre. Le responsable du traitement est libre de décider s’il préfère indiquer les destinataires ou les catégories de destinataires. Comme dans l’UE158, les sous-traitants font partie des destinataires au sens de la disposition. Si le responsable du traitement ne souhaite pas révéler l’identité des destinataires, il peut se contenter d’indiquer leur catégorie. Le degré de détails de l’information dépendra du type de données personnelles traitées ainsi que de la nature et de l’ampleur du traitement. Il est ainsi par exemple possible que l’on doive informer sur la durée du traitement ou l’anonymisation de données. Cette souplesse est nécessaire si l’on veut tenir compte de tous les types de traitements possibles. Elle garantit par ailleurs que seules les informations nécessaires sont transmises.159. Al. 3 En cas de communication de données personnelles à l’étranger, le responsable du traitement doit communiquer en outre à la personne, en sus des informations mentionnées à l’alinéa 2, le nom de la corporation ou de l’établissement de droit public auquel elles sont communiquées et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7. Cet alinéa transpose la solution fédérale au droit genevois existant. Al. 4 Dans l’hypothèse où les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui communique les informations mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication. En résumé, le délai est au maximum d’un mois à partir de l’obtention des données personnelles par le responsable du traitement, quelle que soit la finalité du traitement. Il ne se raccourcit que si le responsable du traitement communique les données personnelles à des destinataires160. 158 Art. 4, par. 9 RGPD. FF 2017 6565, p. 6668. 160 FF 2017 6565, p. 6670. 159 PL 13347 68/189 Art. 38A Cet article mentionne les cas dans lesquels le responsable du traitement est délié du devoir d’information au sens de l’article 38 du présent projet de loi. Al. 1 Cet alinéa s’inspire de la nLPD161 et de la Convention 108+162. Le RGPD contient des règles similaires163. Conformément à la lettre b, le responsable du traitement est délié du devoir d’information si le traitement des données est prévu par la loi (tant formelle que matérielle). L’information est impossible au sens de la lettre c lorsque la personne concernée n’est pas identifiable, par exemple parce qu’il s’agit de la photo d’un inconnu. Cela dit, il ne suffit pas de supposer que l’identification est impossible. Il faut procéder à un minimum de recherches, dans les limites du raisonnable164. Les efforts déployés pour informer la personne concernée sont disproportionnés au sens de la lettre c dès lors qu’ils paraissent injustifiés par rapport au bénéfice que la personne concernée retirerait de l’information. Il faut notamment tenir compte du nombre de personnes concernées. L’information nécessite par exemple des efforts disproportionnés lorsque des données sont traitées uniquement à des fins d’archivage d’intérêt public. L’information de toutes les personnes concernées supposerait régulièrement des efforts considérables, tout en présentant un intérêt souvent limité en raison de l’ancienneté des données, par exemple. Cette dernière exception doit être interprétée de manière restrictive : le responsable du traitement ne doit pas se contenter d’une supposition. Il doit déployer tous les efforts qu’on est en droit d’attendre de lui dans le cas d’espèce pour remplir son devoir d’information. Ce n’est que si ses efforts restent vains que l’on considérera que l’information n’est pas possible165. Al. 2 Contrairement à l’alinéa 1, cet alinéa englobe les configurations dans lesquelles il y a pesée des intérêts. En fonction de la pesée des intérêts, le responsable du traitement renonce à la communication des informations, la 161 Art. 20. Art. 8, par. 2 et 3. 163 Art. 14, par. 5. 164 FF 2017 6565, p. 6671. 165 FF 2017 6565, p. 6671. 162 69/189 PL 13347 restreint ou la diffère. Cette disposition doit être interprétée restrictivement. L’information ne doit pas être limitée au-delà de ce qui est absolument nécessaire et son motif doit être mis en relation avec l’intérêt à la transparence du traitement. De manière générale, on choisira la solution la plus favorable à la personne concernée, garantissant la transparence maximale du traitement compte tenu des circonstances166. Cette disposition vise par exemple les cas dans lesquels les informations concernant le traitement des données personnelles de la personne concernée contiennent aussi des informations sur des tiers. Dans certains cas, les intérêts de ce tiers peuvent être lésés par l’accomplissement du devoir d’information167. La nLPD mentionne, à titre d’intérêt public prépondérant, la sûreté intérieure ou extérieure de la Suisse ou le cas où la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative168. Art. 38B A l’instar de l’article 21 nLPD, de la Convention 108+169 et de la directive (UE) 2016/680170, cet article réglemente le devoir d’informer la personne concernée en cas de décision individuelle automatisée. Le RGPD171 prévoit des règles similaires. L’introduction de la notion de décision individuelle automatisée est nécessaire car ces décisions sont de plus en plus fréquentes en raison du développement technologique. Une décision individuelle automatisée implique en tout cas qu’il n’y ait eu aucune décision prise par une personne physique sur la base de sa propre évaluation de la situation. Ainsi, il y a décision individuelle automatisée lorsqu’une exploitation de données a lieu sans intervention humaine et qu’il en résulte une décision, ou un jugement, à l’égard de la personne concernée172. L’expression « décisions individuelles automatisées » ne désigne ainsi que les décisions pour lesquelles une machine dispose d’un pouvoir 166 FF 2017 6565, p. 6672. FF 2017 6565, p. 6672. 168 Voir également dans ce cadre l’art. 13, par. 3, de la directive (UE) 2016/680 et l’art. 23 RGPD. 169 Art. 9, lettre a. 170 Art. 11. 171 Art. 22. 172 FF 2017 6565, p. 6674. 167 PL 13347 70/189 d’appréciation. La machine prend une décision sur la base d’une évaluation des données personnelles à sa disposition, que la machine les ait « apprises » ou qu’un être humain les ait programmées. Ainsi, seules les décisions qui sont entièrement prises par une machine et qui supposent un pouvoir d’appréciation sont concernées, c’est-à-dire celles qui requièrent une évaluation ou une interprétation. Le système de contrôle d’accès, qui déverrouille la porte lorsqu’un badge valable est présenté, ne prend aucune décision individuelle automatisée car il n’y a pas de place pour l’interprétation. En outre, aucune décision individuelle automatisée n’est prise s’il existe un accord préalable avec la banque selon lequel le compte bénéficie d’une autorisation de découvert jusqu’à 1 000 francs et si le distributeur automatique de billets applique strictement cette limite. Le distributeur automatique de billets ne prend pas de décision, il en applique simplement une. Si, en revanche, la banque laisse son ordinateur déterminer une limite de découvert individuelle pour chaque client – sur la base de ses entrées et sorties de paiements – il s’agit d’une décision individuelle automatisée. Il n’y a pas de décision individuelle automatisée lorsqu’un ordinateur suggère des limites de découvert individuelles à un employé de banque, mais que celles-ci sont finalement approuvées par l’employé. Du point de vue de la protection des données, il s’agit d’un profilage (l’ordinateur évalue la solvabilité du client concerné de manière entièrement automatique), mais aucune décision n’est prise de manière automatisée. Dans ce contexte, le fait qu’une décision prise par une machine soit communiquée par la machine ou par un être humain (et que l’être humain ne puisse ou ne doive plus influencer la décision) est sans importance173. Al. 1 Il n’est pas nécessaire que la personne concernée soit informée de chaque décision individuelle automatisée, mais seulement lorsque la décision a pour elle des effets juridiques ou l’affecte de manière significative. De tels effets sont admis, par exemple, en cas de taxation fiscale automatique. On peut supposer que la personne concernée est affectée de manière significative lorsqu’elle est durablement entravée sur le plan économique ou personnel. Une simple nuisance ne suffit pas174. Al. 2 A la base des décisions individuelles automatisées se trouvent des algorithmes. A la demande de la personne ayant fait l’objet d’une telle décision, le responsable du traitement lui communique la logique et les 173 174 Rosenthal, op. cit., ch. 108. FF 2017 6565, p. 6674. 71/189 PL 13347 critères à la base de celle-ci. Cette garantie est nécessaire pour permettre à la personne concernée d’apprécier le bien-fondé de la décision avant d’éventuellement la contester. Elle est prévue par l'article 9, chiffre 1, lettre d, de la Convention 108+, qui stipule que toute personne a le droit d’obtenir, à sa demande, connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués. Cette demande ne suspend toutefois pas le délai prévu à l’alinéa 3. Al. 3 Cet alinéa introduit la possibilité, pour toute personne ayant fait l’objet d’une décision individuelle automatisée, de former une réclamation, dans les 30 jours à compter de sa notification, auprès de la même autorité. Al. 4 Cet alinéa précise que la décision sur réclamation ne peut pas être rendue de manière automatisée, afin de garantir qu’une personne physique se penche sur la réclamation. Al. 5 Cet alinéa réserve les procédures de réclamation prévue par des lois spéciales. Art. 39 Cet article a été modifié suite à la suppression de la définition d’« organe ». Ce terme a ainsi été remplacé par le terme « institution publique ». De même, suite au changement de terminologie, le terme « responsable » (au sens de l’art 50 LIPAD) a été remplacé par les termes « conseillère ou conseiller à la protection des données et à la transparence » (voir également infra commentaire ad art. 50). Les renvois de l’alinéa 1, lettre a, ont été modifiés pour correspondre à la nouvelle structure du présent projet de loi. L’alinéa 7 a été modifié pour remplacer le consentement « explicite » par le consentement « exprès », conformément à ce qui a été fait pour la nLPD (voir également supra commentaire ad art. 35). Enfin, l’alinéa 11 a été complété afin de prévoir que l’institution publique requise communique sa décision non seulement aux parties et aux personnes consultées, mais également à la préposée cantonale ou au préposé cantonal. PL 13347 72/189 Art. 40 Cet article a été abrogé, dans la mesure où son contenu a été intégré à l’article 35, alinéa 4 (voir également supra commentaire ad art. 35). Art. 41 Cette disposition est calquée sur l’article 39 nLPD, afin de faciliter les futures interprétations par les autorités d’application. Cette disposition vise 2 situations : premièrement, celle où une institution publique traite les données qu'elle détient à des fins ne se rapportant pas à des personnes; deuxièmement, celle où elle communique les données à des organes de la Confédération ou des cantons, ou encore à des personnes privées, à des fins de recherche, de planification ou de statistique175. L’alinéa 1 énonce à quelles conditions une institution publique peut invoquer le privilège de la recherche; ces conditions sont cumulatives. Première condition (lettre a) : l’institution publique qui utilise des données personnelles à des fins de recherche, de planification ou de statistique doit les rendre anonymes aussitôt que la finalité du traitement le permet. On entend par rendre anonyme toute démarche visant à empêcher l'identification des personnes concernées ou à ne rendre celle-ci possible qu'au prix d'efforts démesurés. En pratique, il arrive fréquemment que le chercheur, le planificateur ou le statisticien, bien qu'il utilise des données dépourvues de références à des personnes déterminées, n'entende néanmoins pas les rendre d'emblée anonymes, car il doit conserver la possibilité de vérifier exceptionnellement l'identité d'une personne. Lorsqu'il est confronté à de telles situations, il se doit de coder ou de crypter les données. Il peut, par exemple, séparer les caractéristiques personnelles des autres données, de telle sorte qu'il ne soit plus possible de mettre en relation telle donnée avec telle personne sans passer par le numéro de référence176. Conformément à la lettre b, l’institution publique ne communique des données sensibles que sous une forme ne permettant pas d’identifier les personnes concernées. Cette modification vise à renforcer la protection des données sensibles. Cette condition est réalisée lorsque les données sont communiquées sous une forme pseudonymisée, et que la clé pour réidentifier la personne reste chez celui qui transmet les données (anonymisation factuelle)177. La « pseudonymisation » constitue ainsi tout traitement de 175 FF 1988 II 421, p. 479. FF 1988 II 421, p. 480. 177 FF 2017 6565, p. 6699. 176 73/189 PL 13347 données personnelles consistant à remplacer l'ensemble des données identifiantes par un identifiant neutre (pseudonyme), de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires. Les données identifiantes doivent être conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données personnelles ne sont pas attribuées à une personne physique identifiée ou identifiable. Contrairement à l’« anonymisation », la « pseudonymisation » est réversible (tant qu'une table de correspondance permettant de faire le lien entre le pseudonyme et les données identifiantes d'une personne existe et est accessible). En vertu de la lettre c, l’institution publique qui a collecté les données doit donner son accord à leur nouvelle transmission à des tiers par le destinataire originel. Enfin, les privilèges institués par l'article 41 sont liés à la condition que les résultats du traitement soient publiés sous une forme ne permettant pas, selon le cours ordinaire des choses, d'identifier les personnes concernées (lettre d). L’alinéa 2 énumère exhaustivement les dispositions du présent projet de loi qui ne sont pas applicables au traitement de données ne se rapportant pas à des personnes. Il s'agit d'abord du principe de la compatibilité des buts institué par l’article 35, alinéa 3, du présent projet de loi. Etant donné que la recherche, la planification ou la statistique sont des activités sans effet direct sur les personnes concernées, il n'y a pas lieu d'interdire l'utilisation de données qui ont été collectées à de toutes autres fins. Pour la même raison, les institutions publiques pourront traiter des données sensibles ou effectuer du profilage à des fins de statistique, de recherche ou de planification, ou encore à tout autre fin ne se rapportant pas à des personnes, sans être tenues de se conformer aux conditions spéciales instituées par l’article 36, alinéa 2, du présent projet de loi, pour autant que l’exigence de base légale ou de traitement nécessaire à l’accomplissement des tâches légales de l’institution publique (art. 36, al. 1, du présent projet de loi) soit respecté. Il n'est pas nécessaire non plus que les institutions publiques observent les dispositions générales sur la communication de données. Il s'ensuit que la communication de données à des fins ne se rapportant pas à des personnes ne nécessite aucune base juridique supplémentaire. Il n'est pas non plus exigé que le destinataire ait absolument besoin des données pour accomplir une tâche légale, ni que la personne concernée ait donné son consentement. Cela dit, en vertu de la lettre c, l’institution publique qui a collecté les données doit donner son accord à leur nouvelle transmission. PL 13347 74/189 Art. 42, al. 1, phrase introductive La phrase introductive a uniquement été modifiée pour actualiser le renvoi (préalablement à l’art. 35, désormais à l’art. 36). Art. 43 La LIPAD contient déjà, à l’heure actuelle, à son article 43, le catalogue des fichiers (CATFICH). Selon cette disposition, la préposée cantonale ou le préposé cantonal dresse et tient à jour un catalogue des fichiers des institutions publiques, comportant les précisions utiles sur les informations traitées, la base légale de leur traitement, leur état de validité ou la fréquence de leur mise à jour et de leur épuration, et leur accessibilité (al. 1). Les fichiers éphémères ne recensant ni données personnelles sensibles ni profils de la personnalité sont exemptés de l’enregistrement au catalogue des fichiers (al. 2). Ce catalogue est public et rendu facilement accessible (al. 3). Du fait de la disparition de la notion de fichier et de son remplacement par la notion de traitement, ce catalogue des fichiers est désormais intitulé registre des activités de traitement des institutions publiques. L’article 43 est par ailleurs un peu remanié. La directive (UE) 2016/680178 et le RGPD179 prévoient également un tel registre. Al. 1 Comme c’est le cas à l’heure actuelle pour CATFICH, c’est la préposée cantonale ou le préposé cantonal qui dressera et tiendra à jour le registre des activités de traitement des institutions publiques. De même, à l’instar de ce qui est prévu à l’article 43, alinéa 3, dans sa teneur actuelle, ce registre sera public et rendu facilement accessible. Al. 2 L’alinéa 2 précise les indications minimales que doit contenir le registre. Par « catégories des personnes concernées », on entend des groupes partageant les mêmes caractéristiques. Les catégories des données personnelles traitées désignent la nature des données (« données sensibles », p. ex.)180. 178 Art. 24. Art. 30. 180 FF 2017 6565, p. 6655 179 75/189 PL 13347 Par « catégories des destinataires », on entend également par là des groupes partageant les mêmes caractéristiques (« autorités de surveillance », p. ex.)181. La déclaration du registre des activités de traitement doit également mentionner les autres responsables du traitement, en cas de responsables du traitement conjoints, ainsi que la répartition des responsabilités entre les différentes institutions responsables (voir également supra commentaire ad art. 36B). Al. 3 L’alinéa 3 énumère quant à lui les indications que les institutions publiques fournissent à la préposée cantonale ou au préposé cantonal, sur requête de ces derniers. S’agissant du « délai de conservation des données », ce délai étant lié, conformément à l’article 35, aux finalités du traitement, il n’est pas toujours possible de l’établir avec précision, d’où la mention « dans la mesure du possible ». S’il n’est pas possible de fournir une indication précise, le registre doit au moins indiquer les critères selon lesquels ce délai sera fixé182. En ce qui concerne les « mesures visant à garantir la sécurité des données personnelles », le but de leur description est de faire apparaître d’éventuels manquements dans les mesures de sécurité. La mention « dans la mesure du possible » indique que cette obligation ne s’applique que si les mesures peuvent être définies de manière suffisamment concrète183. Si les destinataires sont à l’étranger, la préposée cantonale ou le préposé cantonal doit en outre pouvoir savoir si les conditions d’une communication à l’étranger sont remplies. La lettre c prévoit donc que les informations communiquées doivent en tous les cas mentionner le nom de la corporation ou de l’établissement de droit public étranger destinataire, et, le cas échéant, les exceptions prévues à l’article 39, alinéa 7. Les institutions publiques devront également communiquer à la préposée cantonale ou au préposé cantonal, à sa requête, l'identité et les coordonnées de leurs sous-traitants. Al. 4 Comme mentionné ci-dessus, à l’heure actuelle, l’article 43, alinéa 2 LIPAD prévoit que les fichiers éphémères ne recensant ni données personnelles sensibles ni profils de la personnalité n’ont pas à être déclarés 181 Ibid. Ibid. 183 Ibid. 182 PL 13347 76/189 dans CATFICH. Du fait de la disparition de la notion de « fichier » et afin de permettre au Conseil d’Etat de prévoir des exceptions à l’obligation de déclarer pour certaines catégories de traitements à des fins administratives internes qui ne présentent manifestement pas de risques pour les droits des personnes concernées, l’article 43, alinéa 2, actuel, est remplacé par cet alinéa. Art. 44 et 45 Ces articles reprennent la notion du droit d’accès déjà connue dans la LIPAD actuelle, en l’adaptant à l’évolution du droit supérieur. Art. 44 Cet article énonce les principes du droit d’accès. La nLPD184, la Convention 108+185, la directive (UE) 2016/680186 et le RGPD187 contiennent des dispositions similaires. Le droit d’accès complète l’obligation d’informer du responsable du traitement. Il est la clé qui permet à la personne concernée de faire valoir les droits que lui octroie la loi. Al. 1 L’alinéa 1 dispose que toute personne physique ou morale de droit privé peut demander par écrit au responsable du traitement, en s’adressant à la conseillère ou au conseiller à la protection des données et à la transparence (au sens de l’art. 50) de ce dernier, si des données personnelles la concernant sont traitées. En effet, conformément aux travaux préparatoires de la LIPAD188 actuelle, il est précisé que seule une personne physique ou morale de droit privé se voit conférer des droits en relation avec ses propres données personnelles. Le but de la loi n’est pas de conférer aux institutions de droit public qui lui sont soumises des droits spécifiques à cet égard. Il est dès lors précisé que ce catalogue de droits ne concerne que les personnes de droit privé. Le droit d’accès appartient ainsi à toute personne physique ou morale de droit privé et ne dépend d’aucun intérêt particulier. Cela signifie qu’il n’y a aucune restriction liée à la nationalité, au domicile ou à l’âge, voire à la 184 Art. 25. Art. 9, par. 1, lettre b. 186 Art. 14. 187 Art. 15. 188 PL 9870, exposé des motifs, p.69 ad art. 17. 185 77/189 PL 13347 personnalité du demandeur ou à l’usage qu’il compte faire de ses données. Le demandeur n’a en outre pas à motiver sa demande. Par rapport au droit en vigueur, la justification de l’identité est transférée dans l’article 45 relatif aux modalités. Il est par ailleurs désormais fait référence au responsable du traitement, par le biais de sa conseillère ou son conseiller LIPAD, et non plus au responsable LIPAD. Al. 2 L’alinéa 2 dispose que la personne physique ou morale de droit privé mentionnée à l’alinéa 1 reçoit les informations nécessaires à la mise en œuvre de ses droits en matière de protection des données personnelles et pour garantir la transparence du traitement. A sa demande, elle reçoit du responsable du traitement les informations listées aux lettres a à f. Cette disposition met en lumière non seulement le lien étroit qui existe entre le droit d’accès et le devoir d’informer, mais aussi le but fondamental du droit d’accès qui est de permettre à la personne concernée de faire valoir ses droits en matière de protection des données189. En ce sens, cette disposition limite clairement le droit d’accès : le droit d’accès vise uniquement à aider une personne concernée à faire valoir ses droits en matière de protection des données (au moins ses droits pouvant faire l’objet d’une action en justice) et à garantir la transparence du traitement des données (p. ex. pour permettre à une personne de choisir de fournir ou non des données ou de savoir – pour sa tranquillité d’esprit – quelles données une institution publique détient à son sujet). Les lettres a à f donnent une énumération non exhaustive des informations qui doivent être communiquées dans tous les cas à la personne concernée. La norme générale dans la phrase introductive permet subsidiairement de demander d’autres informations qui sont nécessaires pour que la personne physique ou morale de droit concernée puisse faire valoir ses droits en vertu de la LIPAD et pour garantir la transparence du traitement. Lorsqu’elle traite des quantités importantes de données sur la personne concernée, la personne tenue de fournir les renseignements doit pouvoir demander à cette dernière de préciser sur quelles données ou quelles opérations de traitement porte sa requête190. 189 190 Voir à ce sujet l’ATF 138 III 425, consid. 5.3. FF 2017 6565, p. 6683. PL 13347 78/189 Al. 3 Le débiteur du droit d’accès est toujours le responsable du traitement. Le fait que celui-ci confie le traitement à un sous-traitant ne change rien à cet égard. Lorsque la personne concernée adresse une demande d’accès directement au sous-traitant, celui-ci doit lui indiquer le nom du responsable du traitement ou transmettre sa demande à ce dernier. S’il n’est pas tenu, en pareil cas, de renseigner lui-même la personne concernée, le sous-traitant ne doit pas non plus entraver l’exercice du droit d’accès191. Al. 4 Le droit d’accès est un droit subjectif inhérent à la personne, que même une personne qui n’a pas l’exercice des droits civils mais qui est capable de discernement peut faire valoir seule, sans avoir à requérir le consentement de son représentant légal. Le fait que ce droit est inhérent à la personne a pour conséquence que nul ne peut y renoncer par avance192. Art. 45 Cet article énonce les modalités du droit d’accès. Cette disposition existe déjà dans la LIPAD actuelle, mais a été légèrement remaniée, à l’instar de l’article 44. Al. 1 La justification de l’identité figurait déjà dans l’article 44 de la LIPAD actuelle. Elle a été regroupée avec les autres dispositions concernant les modalités du droit d’accès par souci de cohérence. Al. 2 L’article 45 dans sa teneur actuelle prévoit que la communication des données et informations doit être faite sous une forme intelligible et, en règle générale, par écrit et gratuitement. Cette formulation a été légèrement remaniée et prévoit désormais que les renseignements sont, en règle générale, fournis par écrit sur un support physique ou électronique. En accord avec le responsable du traitement, la personne physique ou morale de droit privé concernée peut consulter ses données sur place. 191 192 FF 2017 6565, p. 6684. FF 2017 6565, p. 6682. 79/189 PL 13347 Al. 3 L’article 44, alinéa 3, dans sa teneur actuelle prévoit que la satisfaction d’une demande impliquant un travail disproportionné peut être subordonnée au paiement préalable d’un émolument. De même, l’article 45 dans sa teneur actuelle prévoit que la communication de ces données et informations doit être faite sous une forme intelligible et, en règle générale, par écrit et gratuitement. L’article 45, alinéa 3, du présent projet de loi regroupe ces 2 dispositions et prévoit désormais que le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil d’Etat peut toutefois prévoir des exceptions, notamment si la communication de l’information implique un travail disproportionné. Cette disposition est calquée sur l’article 25, alinéa 6 nLPD. Al. 4 Cette disposition est calquée sur l’article 25, alinéa 7 nLPD et prévoit qu’à moins que des circonstances exceptionnelles ne le justifient, le responsable du traitement doit fournir les renseignements demandés dans un délai de 30 jours. Art. 47, al. 2 Le présent projet de loi modifie certaines lettres de l’alinéa 2. A la lettre a, il ajoute la notion d’effacement, qui a également été ajoutée dans la liste exemplative des traitements (voir supra commentaire ad art. 4). Les lettres d et e sont simplement adaptées à l’inversion, dans le présent projet de loi, des articles 35 et 36. A toutes fins utiles, il sera rappelé que, conformément aux travaux préparatoires de la LIPAD actuelle193, le droit d’obtenir des institutions les actions sollicitées n’existe que « sauf disposition légale contraire », afin de réserver notamment aussi bien les règles particulières de la loi sur les archives publiques, du 1er décembre 2000 (LArch; rs/GE B 2 15), relatives à la destruction des dossiers, que celles de la loi sur la santé, du 7 avril 2006 (LS; rs/GE K 1 03), en particulier l’article 57 de cette dernière qui traite de la conservation du dossier du patient. 193 PL 9870, exposé des motifs, p. 70 ad art. 17. PL 13347 80/189 Art. 49 Cet article reprend l’actuel article 49 LIPAD en le modifiant. A l’alinéa 1, suite à la suppression de la définition d’« organe », ce terme a ainsi été remplacé par les termes « responsable du traitement ». Par ailleurs, comme cela sera exposé plus en détail ci-après (voir infra commentaire ad art. 56C), la préposée cantonale ou le préposé cantonal aura désormais de nouveaux pouvoirs d’intervention et d’investigation, conformément aux exigences de la Convention 108+ et de la directive (UE) 2016/680. Le RGPD prévoit également ces exigences. Cela a pour conséquence que la préposée cantonale ou le préposé cantonal aura désormais le pouvoir de rendre des décisions à l’encontre des institutions. De ce fait, par souci de cohérence de l’activité de la préposée cantonale ou du préposé cantonal, le présent projet de loi prévoit de supprimer la procédure de recommandation de la préposée cantonale ou du préposé cantonal dans le cadre de l’article 49 LIPAD. Les alinéas 3 à 5 sont ainsi abrogés. L’alinéa 2 est modifié suite au changement terminologique des responsables LIPAD en « conseillères et conseillers à la protection des données et à la transparence » au sens de l’article 50 LIPAD. L’alinéa 3 (ancien al. 6) est modifié pour prévoir que l’institution statue par voie de décision dans les 30 jours sur les prétentions de la requérante ou du requérant. La pratique a en effet démontré que l’appréciation desdites prétentions nécessite un examen approfondi qui dépasse souvent, voire toujours, les 10 jours. Comme actuellement, ce délai de 30 jours constitue un délai d’ordre. Art. 50 Cet article reprend l’actuel article 50 LIPAD en le modifiant légèrement. Al. 1 La LIPAD actuelle prévoit déjà que des responsables ayant une formation appropriée et les compétences utiles doivent être désignés au sein des institutions, pour y garantir une correcte application de la LIPAD. Les travaux préparatoires de la LIPAD actuelle précisaient à cet égard que les responsables des institutions sont la cheville ouvrière du nouveau dispositif. Ce constat renforce la nécessité de mettre un soin tout particulier dans la désignation des responsables et leur organisation, afin de faciliter autant que faire se peut l’efficacité de leur action. On ne saurait ici définir de manière trop rigide les compétences et le niveau de formation attendu des futures et 81/189 PL 13347 futurs responsables, tant les institutions ont des moyens en personnel et en budget qui peuvent se révéler différents. Poser des exigences trop élevées quant à la formation appropriée des responsables alors qu’une petite institution ne peut immédiatement les satisfaire serait contre-productif. En revanche, la nécessité d’une formation continue et l'appui de la préposée cantonale ou du préposé cantonal à cet égard seront des atouts supplémentaires auxquels chaque institution pourra recourir194. La terminologie est toutefois adaptée au droit fédéral, les responsables LIPAD étant désormais dénommés « conseillères et conseillers à la protection des données et à la transparence », à l’instar de la nLPD195 et du P-OLPD196. Cette fonction est également prévue dans la directive (UE) 2016/680197 et le RGPD, sous l’appellation « délégué à la protection des données ». Elle est également mentionnée dans le rapport explicatif de la Convention 108+198. Al. 2 Cet alinéa prévoit, à l’instar du droit européen199 et du droit fédéral200, que plusieurs institutions publiques pourront désigner ensemble une conseillère ou un conseiller LIPAD, afin de tenir compte des différences de tailles et de moyens des différentes institutions publiques. Al. 3 Cet alinéa est repris de la LIPAD actuelle et a été complété suite à la proposition d’inclure la Cour des comptes dans les institutions soumises à la LIPAD. Al. 4 Cet alinéa est repris de la LIPAD actuelle et modifié en lien avec les nouvelles compétences de la préposée cantonale ou du préposé cantonal incluse à l’article 56C (voir infra commentaire ad art. 56C). Il prévoit désormais que le Conseil d’Etat prescrit par substitution les mesures et les procédures nécessaires à une correcte application du titre III du présent projet 194 PL 9870, exposé des motifs, p. 74 ad art. 21. Art. 10, al. 4. 196 Art. 27 à 30. 197 Art. 32 à 34. 198 Rapport explicatif de la Convention 108+, ch. 87 ad art. 10. 199 Art. 32, ch. 3, de la directive (UE) 2016/680; le RGPD contient une disposition similaire à l’art. 37, ch. 3. 200 Art. 25 de l’ordonnance fédérale sur la protection des données, du 31 août 2022 (OPDo). 195 PL 13347 82/189 de loi, si une instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après avoir été mise en demeure de le faire. Al. 6 Cet alinéa a été modifié pour tenir compte de la nouvelle terminologie de l’article 50. Art. 51 Cet article reprend l’actuel article 51 LIPAD en le complétant et en le modifiant. Al. 1 et 2 Ces alinéas introduisent la notion de conseillère et conseiller LIPAD, et en décrivent la fonction de manière générale. Ainsi, ces alinéas précisent que les conseillères et conseillers LIPAD : – sont les interlocuteurs privilégiés (de par leur formation et leurs compétences, et par opposition à interlocuteur unique) des personnes concernées et de la préposée cantonale ou du préposé cantonal pour tout ce qui a trait au traitement des données personnelles et à la transparence de leur institution publique (al. 1); – assument une fonction de conseil et de soutien (al. 2); – sont associés de manière appropriée aux activités de traitement (al. 2). Al. 3 Cet alinéa vient préciser les deux premiers alinéas et les tâches accomplies par les conseillères et conseillers LIPAD. Outre la fonction de conseil et soutien aux membres de leur institution publique en matière de protection des données, elles et ils donnent également à ces derniers les instructions utiles sur le traitement des données personnelles nécessaires à l’accomplissement de leurs tâches légales ou des demandes d’accès aux documents en matière de transparence (lettre a; cette disposition est reprise de l’article 51, alinéa 2, lettre b, de la LIPAD actuelle). Ils doivent également concourir à l’établissement de l’analyse d’impact relative à la protection des données (lettre b; voir également supra commentaire ad art. 37B concernant l’analyse d’impact) et communiquer à la préposée cantonale ou au préposé cantonal les activités de traitement de l’institution publique au sens de l’article 43 du présent projet de loi, ainsi que leurs mises à jour régulières (lettre c; voir également supra commentaire ad art. 43 concernant le registre des activités de traitement). Enfin, ils sont chargés d’annoncer à la préposée cantonale ou au préposé cantonal la 83/189 PL 13347 violation de la sécurité des données personnelles pour le compte du responsable du traitement (lettre d; voir également supra commentaire ad art. 37C). Al. 4 Cette disposition est reprise de l’article 51, alinéa 2, de la LIPAD actuelle. Al. 5 Cette disposition est reprise de l’article 51, alinéa 1, de la LIPAD actuelle. Art. 52, al. 2 et 3 Ces alinéas sont repris de l’article 56, alinéas 6 et 7, de la LIPAD actuelle et regroupés dans cet article dans la mesure où ils concernent également la thématique de la « coordination ». Art. 55A Cette disposition est calquée sur l’article 48 nLPD. Elle prévoit que la préposée cantonale ou le préposé cantonal doit s’assurer, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application en son sein des dispositions de la LIPAD. Art. 56 et 56A Pour faciliter la lecture, et dans la mesure où les compétences de la préposée cantonale ou du préposé cantonal LIPAD ont été étoffées, le présent projet de loi propose de séparer l’article 56 de la LIPAD actuelle en 2 volets, l’un en matière d’information du public et d’accès aux documents (art. 56), l’autre en matière de protection des données personnelles (art. 56A). Art. 56 Cet article reprend la teneur de l’article 56, alinéas 1 et 2, de la LIPAD actuelle. Seule une modification formelle a été apportée à ces derniers, du fait que cet article ne concerne désormais plus que le volet de l’information du public et l’accès aux documents. PL 13347 84/189 Art. 56A Cet article reprend la teneur de l’article 56, alinéa 3, de la LIPAD actuelle. Par parallélisme avec l’article 56, alinéa 1, du présent projet de loi, l’alinéa 1 de l’article 56A du présent projet de loi introduit, de manière générale, la mission de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles. Cette disposition adapte par ailleurs la terminologie aux modifications apportées dans le présent projet de loi par rapport à la loi actuelle (disparition de la notion de « fichier » au profit de celle de « traitement », voir également supra commentaire ad art. 4; remplacement des « responsables » en matière de protection des données par les « conseillères et conseillers à la protection des données et à la transparence », voir également supra commentaire ad art. 50). Art. 56B Cette disposition prévoit de renforcer les moyens d’intervention de la préposée cantonale ou du préposé cantonal, conformément aux nouveaux standards des lois de protection des données, que ce soit la nLPD201, la Convention 108+202, la directive (UE) 2016/680203 ou encore le RGPD204. Al. 1 et 4 En vertu de l’alinéa 1, la préposée cantonale ou le préposé cantonal peut effectuer, d’office ou sur dénonciation, un contrôle auprès d’une institution publique ou d’un sous-traitant afin de vérifier qu’ils respectent les dispositions de protection des données. La préposée cantonale ou le préposé cantonal peut décider librement des contrôles qu’il opère et de la suite à donner à une dénonciation (al. 1, deuxième phrase), à l’instar du préposé fédéral qui peut renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d’importance ou s’il considère que la fourniture de conseils au responsable du traitement concerné peut constituer une mesure suffisante pour remédier à une situation en soi peu problématique205. Le dénonciateur peut être un tiers ou la personne concernée. Toutefois, même dans le cas où le dénonciateur est la personne concernée, cette dernière 201 Art. 49 nLPD. Art. 15, par. 2, letres. a à d. 203 Art. 47, par. 2. 204 Art. 58, par. 2. 205 FF 2017 6565, p. 6706. 202 85/189 PL 13347 n’aura pas qualité de partie à la procédure (cf. art. 56D, al. 2, a contrario), contrairement aux cas des articles 44, 47 et 49 LIPAD. La préposée cantonale ou le préposé cantonal sera toutefois tenu de l’informer de la suite donnée à sa dénonciation (al. 4). Al. 2 et 3 Ces alinéas traitent du devoir de collaboration des institutions et des soustraitants et de la problématique du secret de fonction, et autres secrets institués par la loi, qui y est liée. La préposée cantonale ou le préposé cantonal peut ainsi notamment demander des renseignements, exiger la production de documents, procéder à des inspections et se faire présenter des traitements de donner. Il peut également recourir, au besoin, à des expertes et experts dans les domaines techniques (al. 2). Le secret de fonction ne peut pas lui être opposé dans ce cadre. Les autres secrets institués par la loi sont toutefois réservés (al. 3). Cet alinéa est calqué sur l’article 131 de la constitution de la République et canton de Genève, du 14 octobre 2012 (Cst-GE; rs/GE A 2 00), applicable à la Cour des comptes, ainsi que sur les articles 201A, alinéa 7, et 230H, alinéa 3, de la loi portant règlement du Grand Conseil de la République et canton de Genève, du 13 septembre 1985 (LRGC; rs/GE B 1 01), applicables à la commission de contrôle de gestion et aux commissions d’enquêtes parlementaires. Art. 56C Cette disposition a été inspirée de la nLPD206, qui met en œuvre la directive (UE) 2016/680207 et donne suite aux recommandations des évaluateurs Schengen de conférer des compétences décisionnelles à la préposée cantonale ou au préposé cantonal208, qui ont recommandé de renforcer les pouvoirs d'exécution des autorités cantonales chargées de la protection des données en les habilitant à prendre directement des décisions juridiquement contraignantes. La Convention 108+ prévoit également que les autorités de contrôle disposent du pouvoir de rendre des décisions relatives 206 Art. 51. Art. 47, par. 2. 208 Décision d'exécution du Conseil arrêtant une recommandation pour remédier aux manquements constatés lors de l'évaluation de 2018 de l’application, par la Suisse, de l’acquis de Schengen dans le domaine de la protection des données, du 8 mars 2019. 207 PL 13347 86/189 aux violations de ses propres dispositions et peuvent, notamment, infliger des sanctions administratives209. Le RGPD210 contient une disposition similaire, qui énumère par ailleurs toutes les mesures correctrices que l’autorité de contrôle est habilitée à prendre. L’octroi d’une compétence décisionnelle à l’autorité de surveillance est un élément déterminant au sens de l’article 45 RGPD pour décider du maintien de la décision d’adéquation de la Commission européenne en faveur de la Suisse211. L’article 56C laisse une grande marge de manœuvre à la préposée cantonale ou au préposé cantonal. En effet, cette disposition ne l’oblige pas à prendre des mesures administratives, mais lui donne la faculté de le faire. L’article 56C contient 2 catégories de mesures. Al. 1 et 2 La première catégorie prévoit un catalogue de mesures contre des traitements de données contraires à des dispositions de protection des données. Le principe de base de cette réglementation est le respect du principe de proportionnalité. Ainsi, au lieu d’ordonner la cessation du traitement, la préposée cantonale ou le préposé cantonal peut ordonner sa modification et limiter la mesure à la partie du traitement problématique. Al. 3 La seconde catégorie concerne des cas de non-observation de prescriptions d’ordre ou de devoirs à l’égard de la personne concernée. Parmi les compétences décisionnelles qui sont attribuées à la préposée cantonale ou au préposé cantonal, celle-ci ou celui-ci peut par exemple ordonner à l’institution publique de se conformer à son devoir d’informer lors de la collecte des données, conformément à l’article 38 du présent projet de loi, ou de procéder à une analyse d’impact relative à la protection des données personnelles au sens de l’article 37B du présent projet de loi. La liste de l’alinéa 3 n’est pas exhaustive. Suivant en cela le choix fait par la Confédération pour la nLPD, la préposée cantonale ou le préposé cantonal ne disposera pas du pouvoir de prononcer des sanctions administratives à l’encontre des institutions212. 209 Art. 15, par. 2, lettre c. Art. 58, par. 2. 211 FF 2017 6565, p. 6707. 212 FF 2017 6565, p. 6589. 210 87/189 PL 13347 Al. 4 Cet alinéa prévoit, suite à l’abrogation de l’alinéa 3 de l’article 50 suite aux nouvelles compétences de la préposée cantonale ou du préposé cantonal, que si une institution publique ne donne pas suite à l’ordre de cette dernière ou ce dernier, au sens de l’alinéa 3, elle ou il peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures nécessaires. Art. 56D Cette disposition prévoit que la procédure est régie par la loi sur la procédure administrative, du 12 septembre 1985 (LPA; rs/GE E 5 10) (al. 1). L’alinéa 2 prévoit que l’institution publique visée par une décision de la préposée cantonale ou du préposé cantonal a qualité pour recourir contre celle-ci. Par conséquent, seule celle-ci peut recourir contre les mesures prononcées contre elle par la préposée cantonale ou le préposé cantonal. La personne concernée n’a pas qualité de partie à la procédure, même si la préposée cantonale ou le préposé cantonal a ouvert l’enquête sur dénonciation de celle-ci (voir supra commentaire ad art. 56B). Dans la mesure où la personne concernée entend faire valoir des prétentions d’une institution publique responsable du traitement, elle doit procéder selon l’article 47 du présent projet de loi, en recourant le cas échéant contre la décision de l’institution publique responsable du traitement auprès de la chambre administrative de la Cour de justice. Art. 56E Cette disposition, nouvelle, règle la collaboration entre les autorités cantonales, fédérales et étrangères chargées de la protection des données. La Convention 108+213 prévoit également que les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs fonctions et l’exercice de leurs pouvoirs, notamment : a) en s’accordant mutuellement une assistance par l’échange d’informations pertinentes et utiles et en coopérant entre elles, à condition qu’en ce qui concerne la protection des données à caractère personnel toutes les règles et garanties de la Convention 108+ soient respectées; b) en coordonnant leurs investigations ou interventions, ou en menant des actions conjointes; 213 Art. 17. PL 13347 88/189 c) en fournissant des informations et des documents sur leur droit et sur leurs pratiques administratives en matière de protection des données. La directive (UE) 2016/680214 et le RGPD215 contiennent des dispositions similaires. Art. 59, lettre a Cette lettre a uniquement été modifiée pour actualiser le renvoi à l’article 50 (préalablement art. 50, al. 2, désormais art. 50, al. 3). Art. 68, al. 8 Cet alinéa est calqué sur l’article 69 nLPD. Il prévoit, à l’instar du droit fédéral, que les dispositions relatives à la protection des données dès la conception et par défaut et celles relatives aux analyses d’impact ne s’appliquent pas aux traitements qui ont débuté avant l’entrée en vigueur du présent projet de loi, pour autant que les finalités du traitement restent inchangées et que de nouvelles données ne soient pas collectées. Modifications à d’autres lois 1. Loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP; rs/GE A 2 09) L’article 1 de la loi instituant les numéros d’identification personnels commun a uniquement été modifié pour actualiser le renvoi (préalablement à l’art. 4, lettre i LIPAD et désormais à l’art. 4, lettre n). 2. Loi générale relative au personnel de l'administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, du 4 décembre 1997 (LPAC; rs/GE B 5 05) Est introduite, au sein de la LPAC, une base légale spécifique relative au traitement, par les employeurs, de données personnelles, y compris sensibles. L’alinéa 1 rappelle ainsi que le traitement des données ne peut s’effectuer que dans la mesure nécessaire à la réalisation des tâches assignées aux employeurs par la LPAC. 214 215 Art. 50. Art. 61. 89/189 PL 13347 L’alinéa 2 explicite dans quels buts l’employeur peut traiter des données au sens de la LIPAD. La liste est exemplative, mais couvre les tâches principales de l’employeur, étant entendu que le traitement de telles données doit s’effectuer dans la mesure nécessaire à la réalisation des tâches qui lui sont assignées. L’alinéa 3 donne une base légale à l’établissement – lors de recrutements – de tests de personnalité ou au recours au profilage. L’accord de la personne candidate est nécessaire et les résultats de ces tests ou du profilage doivent être détruits dans un délai de 12 mois, afin de se conformer à l’article 35, alinéa 4, du présent projet de loi. L’alinéa 4 prévoit la possibilité du traitement des données visées à l’alinéa 1 par un système d’information. Il s’agit notamment, au sein de l'administration cantonale, du système SIRH. Enfin, conformément à l’alinéa 5, le règlement d’application de la loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, du 24 février 1999 (RPAC; rs/GE B 5 05.01), pourra préciser les modalités relatives au traitement des données précitées. 3. Loi sur la Haute école spécialisée de Suisse occidentale – Genève, du 29 août 2013 (LHES-SO-GE; rs/GE C 1 26) Est introduite, au sein de la loi régissant la HES-SO Genève, une base légale spécifique relative au traitement de données personnelles, y compris sensibles, et au profilage, par ladite institution, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. Il est relevé qu'un tel ajout a été recommandé par le préposé cantonal à la protection des données et à la transparence. Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30 septembre 2011 (LRH; RS 810.30), tout comme celles de la LIPAD, ainsi que celles de leurs réglementations d’application respectives, sont toutefois réservées. 4. Loi sur l’université, du 13 juin 2008 (LU; rs/GE C 1 30) Est introduite, au sein de la loi régissant l'Université de Genève, une base légale spécifique relative au traitement de données personnelles, y compris sensibles, et au profilage, par ladite institution, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. PL 13347 90/189 Il est relevé qu'un tel ajout a été recommandé par le préposé cantonal à la protection des données et à la transparence. Les dispositions de la LRH, tout comme celles de la LIPAD, ainsi que celles de leurs réglementations d’application respectives, sont toutefois réservées. 5. Loi sur la formation continue des adultes, du 18 mai 2000 (LFCA; rs/GE C 2 08) L’article 11A LFCA a uniquement été modifié pour actualiser le renvoi (préalablement à l’art. 35, al. 1 LIPAD et désormais à l’art. 36, al. 1). 6. Loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv; rs/GE D 1 09) L’inclusion de la Cour des comptes parmi les institutions soumises à la LIPAD nécessite de modifier l’article 34 LSurv afin de préciser les contours des modalités du volet transparence dans le cadre de la révision des états financiers individuels et consolidés de l’Etat de Genève. L’article 34 LSurv est ainsi modifié afin de prévoir que les communications écrites complémentaires aux états financiers individuels et consolidés de l’Etat de Genève ne peuvent pas faire l’objet d’une demande d’accès aux documents au sens de la LIPAD. La même règle s’applique aux documents relatifs à d'autres entités reçus par la Cour des comptes dans le cadre de la révision des états financiers individuels et consolidés de l'Etat de Genève. 7. Loi sur la santé, du 7 avril 2006 (LS; rs/GE K 1 03) L’article 122B LS a uniquement été modifié pour actualiser le renvoi (préalablement à l’art. 35, al. 1 LIPAD et désormais à l’art. 36, al. 1). 8. Loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM; rs/GE K 2 05) Est introduite, au sein de la LEPM, une base légale spécifique relative au traitement de données personnelles, y compris sensibles, et au profilage, par les HUG, dans la mesure nécessaire à la réalisation de leur mission de recherche médicale fondamentale et clinique. Un tel ajout été recommandé par le préposé cantonal à la protection des données et à la transparence pour ce qui concerne l'Université de Genève et la 91/189 PL 13347 HES-SO Genève. Cet ajout se justifie également pour ce qui concerne les HUG, la recherche faisant partie de leurs activités (art. 2, al. 2, lettre b LEPM) et la LEPM ne contenant pas, à ce jour, de dispositions spécifiques sur le traitement de données personnelles sensibles ou sur le profilage dans le cadre d’une étude médicale. Les dispositions de la LRH, tout comme celles de la LIPAD, ainsi que celles de leurs réglementations d’application respectives, sont toutefois réservées. Au bénéfice de ces explications, nous vous remercions de réserver un bon accueil au présent projet de loi. Annexes : 1) Planification des charges et revenus de fonctionnement découlant du projet 2) Préavis financier 3) Avis du préposé cantonal à la protection des données et à la transparence 4) Rapport sur les retours de consultation. Le tableau détaillé de toutes les prises de position n’est pas joint au présent PL pour des raisons de taille mais il est disponible sur le site Internet de l’Etat à l’adresse suivante : https://www.ge.ch/node/32494 5) Détermination de l’Association des communes genevoises 6) Tableau comparatif PL 13347 92/189 ANNEXE 1 93/189 PL 13347 ANNEXE 2 PL 13347 94/189 95/189 PL 13347 ANNEXE 3 PL 13347 96/189 97/189 PL 13347 PL 13347 98/189 99/189 PL 13347 PL 13347 100/189 101/189 PL 13347 PL 13347 102/189 103/189 PL 13347 PL 13347 104/189 105/189 PL 13347 PL 13347 106/189 107/189 PL 13347 PL 13347 108/189 109/189 PL 13347 PL 13347 110/189 111/189 PL 13347 PL 13347 112/189 113/189 PL 13347 PL 13347 114/189 115/189 PL 13347 PL 13347 116/189 ANNEXE 4 REPUBLIQUE ET CANTON DE GENEVE Chancellerie d'Etat 6 juin 2023 __________________________________________________________________________ Révision de la loi sur l'information du public, l'accès aux documents officiels et la protection des données personnelles (LIPAD) Rapport sur les résultats de la procédure de consultation __________________________________________________________________________ 1 117/189 PL 13347 Table des matières 1. 2. 3. Contexte.........................................................................................................................4 1.1. Adaptation au droit supérieur en matière de protection des données .......................4 1.2. La préparation de l'avant-projet de loi.......................................................................4 Procédure de consultation ...........................................................................................5 Résultats de la procédure de consultation..................................................................5 3.1. Les participantes et participants ...............................................................................5 3.2. Remarques générales ..............................................................................................5 3.3. Avis sur les différentes propositions .........................................................................7 3.3.1. Proposition 1: Modifications apportées au champ d’application de la loi...7 3.3.1.A. La Cour des comptes ..................................................................................7 3.3.1.B. Les personnes physiques ou morales et organismes de droit privé chargés de tâches publiques ....................................................................................8 3.3.1.C. La BCGE.....................................................................................................9 3.3.2. Proposition 2: Modifications apportées à l’article relatif aux définitions ..10 3.3.3. Proposition 3: Inclusion d’un principe de coordination en cas de demandes d’accès multiples.........................................................................10 3.3.4. Proposition 4: Modification des dispositions relatives aux grands principes de la protection des données et à la notion de base légale, et inclusion du consentement...........................................................................11 3.3.4.A. Les grands principes .................................................................................11 3.3.4.B. La base légale...........................................................................................12 3.3.4.C. La base légale...........................................................................................14 3.3.5. Proposition 5: Inclusion des notions du traitement de données personnelles conjoint et de sous-traitant ....................................................15 3.3.5.A Le traitement de données personnelles conjoint .......................................15 3.3.5.B Les sous-traitants......................................................................................16 3.3.6. Proposition 6: Inclusion des notions de protection des données dès la conception et par défaut, de règles concernant la sécurité des données et la violation de cette même sécurité, ainsi que la notion d’analyse d’impact ........................................................................................................................18 3.3.6.A. La protection des données dès la conception et par défaut.......................18 3.3.6.B. La sécurité des données personnelles ......................................................19 3.3.6.C. Analyse d’impact .......................................................................................21 3.3.6.D. Violation de la sécurité des données.........................................................21 3.3.7. Proposition 7: Devoir d’informer la personne concernée et droits de la personne concernée en cas de décision individuelle automatisée............22 3.3.7.A. Devoir d’informer la personne concernée..................................................22 3.3.7.B. Droits de la personne concernée en cas de décision individuelle automatisée ..............................................................................................23 3.3.8. Proposition 8: Modification de la norme relative aux traitements à des fins générales ne se rapportant pas à des personnes .......................................24 2 PL 13347 3.3.9. 118/189 Proposition 9: Registre des activités de traitement en remplacement du catalogue des fichiers ...................................................................................26 3.3.10. Proposition 10: Droit d’accès aux données personnelles, prétentions et mise en œuvre ...............................................................................................27 3.3.11. Proposition 11: Conseillères et conseillers LIPAD et PPDT .......................28 3.3.11.A. Les conseillères et conseillers LIPAD........................................................28 3.3.11.B. Les PPDT .................................................................................................29 3.3.12. Proposition 12: Modifications à d’autres lois ..............................................31 3.3.12.A. Modification à la loi sur la Haute école spécialisée de Suisse occidentale – Genève ...............................................................................31 3.3.12.B. Modification à la loi sur l’Université ...........................................................31 3.3.12.C. Modification à la loi sur les établissements publics médicaux....................32 3.3.13. Remarques générales de certaines participantes et certains participants... ........................................................................................................................33 4. Consultation des documents .....................................................................................33 5. Annexes .......................................................................................................................33 3 119/189 PL 13347 1. Contexte 1.1. Adaptation au droit supérieur en matière de protection des données L'avant-projet de modification de la loi sur l’information du public, l’accès aux documents et la protection des données (ci-après : APL LIPAD) consiste majoritairement en une adaptation au droit supérieur contraignant, soit la mise en conformité avec: • • la Convention modernisée du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel (Convention 108+) 1; la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (acquis de Schengen). 2 L'avant-projet de loi a également pour objectif de conférer à la loi genevoise un « niveau de protection adéquat » au sens du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), au cas où le droit genevois était choisi aléatoirement par la Commission européenne pour déterminer si la Suisse dispose d’un tel niveau de protection des données (décision d’adéquation). La Confédération et les cantons sont en effet tenus de transposer dans leur législation les dispositions de la législation européenne en matière de protection des personnes à l’égard du traitement des données à caractère personnel (Convention 108+ du Conseil de l'Europe et acquis de Schengen). La Confédération a déjà procédé à cette transposition dans la nouvelle loi fédérale sur la protection des données, du 25 septembre 2020 (nLPD), qui entrera en vigueur le 1er septembre 2023. La nLPD reprend également les dispositions de la directive Schengen et se rapproche autant que possible du RGPD, dans la mesure où la compatibilité avec ce dernier sera un élément important en vue de la prochaine décision d’adéquation du droit suisse à la règlementation européenne. 1.2. La préparation de l'avant-projet de loi L'avant-projet de loi a été élaboré par la direction des affaires juridiques de la chancellerie d’Etat sous l’égide du groupe interdépartemental LIPAD/RIPAD qu’elle préside. Ce groupe de travail est constitué des responsables LIPAD départementaux. Le juriste de l’office cantonal des systèmes d’information et du numérique a également participé aux travaux 3. Le groupe de travail a également bénéficié de la collaboration ponctuelle du préposé cantonal et de la préposée adjointe. Afin de faciliter l’interprétation à l’avenir des dispositions de la LIPAD, le groupe de travail a pris le parti de calquer autant que possible les modifications de la LIPAD sur la nLPD, tout en gardant les spécificités cantonales jugées nécessaires et opportunes. L'avant-projet comprend en outre certaines modifications indépendantes de cette adaptation au droit supérieur, qui se sont avérer nécessaires par la pratique, dont notamment l'inclusion de la Cour des comptes dans le champ d'application de la loi. 1 Décision du Conseil des Ministres du 18 mai 2018 d'adopter le Protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108). 2 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016. 3 Cf. art. 21 du règlement d'application de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles (RIPAD; A 2 08 01). 4 PL 13347 120/189 2. Procédure de consultation Le Conseil d'Etat a lancé une consultation publique sur cet avant-projet de loi du 6 juillet au 17 octobre 2022. Au moment du lancement, la chancellerie d'Etat a spécifiquement invité 69 entités à répondre à la consultation, dont le Pouvoir judiciaire, la Cour des comptes, la commission consultative en matière de protection des données, de transparence et d’archives publiques, les établissements de droit publics principaux, l'Université de Genève, la HES-SO Genève, les communes, l'association des communes genevoises, ainsi que les principaux partis politiques. La consultation était par ailleurs ouverte à toute personne et institution intéressée. Afin de faciliter la consolidation des résultats, les entités et personnes intéressées ont été invitées à répondre à la consultation par le biais d'un questionnaire en ligne Limesurvey. 3. Résultats de la procédure de consultation 3.1. Les participantes et participants A l'issue du délai, 44 participantes et participants ont répondu à la consultation, à savoir : - - - 17 communes 4 ; Les 6 établissements publics principaux, soit les Transports publics genevois (TPG), l'Aéroport international de Genève (AIG), l'Hospice général (HG), les Hôpitaux universitaires de Genève (HUG), les Services industriels de Genève (SIG), l'Institution genevoise de maintien à domicile (IMAD); 7 autres établissements publiques, soit la Caisse de prévoyance de l’Etat de Genève (CPEG), la Banque cantonale de Genève (BCGE), les Etablissements publics pour l’intégration (EPI), la Haute école spécialisée de Suisse occidentale – Genève (HESSO), la faculté de droit de Université de Genève (UNIGE, faculté de droit), le rectorat de l’Université de Genève (UNIGE, rectorat) et le Secrétariat des fondations immobilières de droit public (SFIDP); 4 partis politiques: soit les Vert-e-s genevois-es, le parti Socialiste genevois, l'UDCGenève et le parti le CENTRE Genève; Le Secrétariat du Pouvoir Judiciaire (PJ (SG)); 1 association de droit privée subventionnée et délégataire, soit le Centre de consultation pour victimes d’infractions (Centre LAVI); La commission consultative en matière de protection des données, de transparence et d’archives publiques (CCPDTA); Le SécuSIGE 5; L'Union des Associations Patronales Genevoises (UAPG) 5 personnes physiques, dont 3 anonymes. Quant à l'ACG, elle a informé le Conseil d'Etat qu'elle renonçait à formuler un préavis aux côtés des communes dans le cadre de cette consultation. A sa demande, le Conseil d'Etat a accepté que la chancellerie lui présente l'avant-projet de loi après le retour de la consultation publique puis qu’un nouveau délai lui soit octroyé pour faire part de ses observations. Par courrier du 4 mai 2023, accompagné d’un tableau comparatif, l’ACG a fait part de ses déterminations, lesquelles sont annexées au présent rapport. 3.2. Remarques générales 4 Avully, Avusy, Bernex, Carouge, Chêne-Bougeries, Chêne-Bourg, Collonge-Bellerive, Cologny, Gy, Laconnex, Meinier, Plan-les-Ouates, Presinge, Soral, Vandoeuvres, Veyrier et la Ville de Genève. 5 Comité de sécurité des systèmes d'informations du canton de Genève, institué par arrêté du Conseil d'Etat du 17 janvier 2018, regroupant les responsables de la sécurité de l'information des entités étatiques et paraétatiques du canton de Genève et présidé par le directeur général des systèmes d'information de l'administration cantonale. 5 121/189 PL 13347 Globalement, l'avant-projet de loi a été bien accueilli, avec une large majorité de participantes et participants ayant répondu être tout à fait d'accord ou plutôt d'accord avec chacune des propositions de modifications, sans compter les participantes et participants ne s'étant tout simplement pas prononcés sur certaines questions. La disposition sur l’exigence de base légale a été accueillie favorablement par plus de 80% des participantes et participants. Parmi les opposants, deux communes reprochent à la disposition d’être trop restrictive et exigeante pour les administrations communales, alors que deux partis politiques, le parti le Centre et les Vert-e-s genevois-es, estiment au contraire que la formulation serait trop floue, laissant une trop une marge d’appréciation trop importante aux autorités. S’agissant de l’introduction du consentement comme motif justification d'un traitement de données personnelles, plus de 70% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec la proposition. Cette disposition a néanmoins suscité de nombreuses remarques portant notamment sur l’opportunité d’étendre le consentement au profilage et au traitement de données personnelles dont les finalités ou les modalités sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée (AIG, SécuSIGE), l’ajout de «l’ incapacité psychique » aux côtés de l’incapacité physique ou juridique (CCPDTA), la nécessité de réglementer le consentement des mineurs ou des personnes incapables de discernement (CCPDTA, HES-SO, HUG, le parti le Centre, Mme Lücker-Babel) ou encore les modalités du retrait du consentement (IMAD, une personne privée anonyme). La disposition sur la sous-traitance a également été bien accueillie avec 70% des participantes et participants tout à fait d’accord ou plutôt d’accord à la proposition. Toutefois, alors que la CCPDTA regrette que le traitement des données personnelles à l’étranger soit rendu possible et que le parti Socialiste souhaite que les sous-traitants sur territoire suisse puissent être favorisés, des critiques importantes - émanant principalement des SIG, de la CPEG, de l'AIG, du SécuSIGE et de la faculté de droit et du rectorat de l'Université de Genève - reprochent à la proposition de règlementation d'être trop restrictive s'agissant de l'impossibilité de communiquer des données à l'étranger vers des pays dont la législation n'assure pas un niveau de protection adéquate et estiment qu'il est indispensable d'accorder le droit genevois avec le droit européen et fédéral en matière de communication transfrontière de données. Le rectorat de l’UNIGE propose également de supprimer la contrainte d’effectuer des audits sur le site du sous-traitant, estimant qu’un sous-traitant certifié constituerait une garantie plus convaincante. Au niveau de la sécurité des données, 80% des participantes et participants se sont déclarées tout à fait d’accord ou plutôt d’accord à la proposition de disposition. Toutefois, un certain nombre de participantes et participants, dont l'IMAD, les TPG, la HES-SO, le rectorat de l'Université de Genève, les Vert-e-s genevois-es, la Ville de Genève, les HUG et le parti le CENTRE, estiment que la formulation de l'alinéa 2 ("Les mesures doivent permettre d'éviter toute violation de la sécurité des données") est trop stricte, voire irréaliste, le risque zéro n'existant pas. En outre, 77% des participantes et participants sont déclarés tout à fait d’accord ou plutôt d’accord avec la proposition de disposition sur la violation de la sécurité des données. Certains, dont la CCPDTA, l’IMAD, les Vert-e-s genevois-es et le parti Socialiste, estiment toutefois qu’une trop grande marge d’appréciation est laissée à l’autorité s’agissant de l’obligation d’informer les personnes concernées. S’agissant des propositions de dispositions concernant la protection des données dès la conception et par défaut ainsi que les analyses d’impact, elles ont été globalement bien 6 PL 13347 122/189 accueillie sans soulever de problèmes majeurs, de même que les dispositions sur le devoir d’information la personne concernée et les droits de cette dernières en cas de décision individuelle automatisée. La proposition de modification de la norme relative aux traitements à des fins générales ne se rapportant pas à des personnes a été bien accueillie également (à 80% tout à fait d’accord ou plutôt d’accord). Parmi les deux seuls opposants, les Vert-e-s genevois-es estiment que la disposition est trop large et que le PPDT devrait être préalablement informé en cas de données personnelle sensibles, tandis que le rectorat de l’UNIGE relève que limiter la communication de données sensibles aux seules entités bénéficiant d’un statut de droit public aurait pour conséquence d’exclure toute collaboration avec des institutions ou entités relevant du droit privé. Concernant le registre des activités de traitement en remplacement du catalogue des fichiers, 63% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec la proposition. La principale critique porte sur les termes « dans la mesure du possible » figurant aux lettres a et b de l’article 43, alinéa 3 concernant les informations à fournir au PPDT. Les opposants estiment en effet que cette réserve ne se justifie pas, les informations devant être transmises dans tous les cas. S’agissant du droit d’accès à ses données personnelles et des modalités de mise en œuvre, 77% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec les propositions y relatives. Les remarques principales portent sur la nécessité de prévoir une communication compréhensible et adaptée aux capacités cognitives et numériques des destinataires ainsi que de reprendre en droit cantonal les exceptions prévues par le droit fédéral afin notamment d’éviter que le but du droit d’accès soit détourné. Quant à la fonction de conseiller et conseillère LIPAD, 80% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec les propositions y relatives. Les remarques principales portent sur la nécessité de prévoir des formations continues afin d’assurer une mise à jour de leurs connaissances. Parmi les opposants, les critiques sont de natures diverses, à savoir les coûts engendrés pour les institutions (Centre LAVI), la lourdeur des tâches pour les petites institutions (commune de Collonge-Bellerive) ou encore le fait que cette fonction serait inappropriée pour les entités d’une certaine importance, pour lesquelles un délégué général LIPAD serait préconisé (Ville de Genève). Enfin, bien que 68% des participantes et participants se soient déclarés tout à fait d’accord ou plutôt d’accord avec les propositions de dispositions sur les pouvoirs des PPDT, celles-ci sont les plus critiquées de l’avant-projet (avec 9 participantes et participants se déclarant ne pas être d’accord ou pas du tout d’accord), après celle sur le consentement. En substance, les critiques portent principalement sur l’étendue des pouvoirs accordés au PPDT. 3.3. Avis sur les différentes propositions 3.3.1. Proposition 1: Modifications apportées au champ d’application de la loi 3.3.1.A. La Cour des comptes Le champ d'application visé par l’avant-projet de loi inclut désormais la Cour des comptes. La proposition figure aux articles 3, 13A, 20A et 26 de l’avant-projet, et à l’article 34 de la loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv; D 1 09 ; voir article 2, al. 3 souligné : modifications à d’autres lois). 7 123/189 PL 13347 19 participantes et participants se sont déclarés tout à fait d'accord 6 et 13 participantes et participants se sont déclarés plutôt d'accord, 7 avec une réserve du parti Socialiste qui estime que les missions de la Cour des comptes relevant de la loi sur les lanceurs d'alerte (LPLA ; B 5 07) devraient bénéficier du régime d'exception de l'article 3, al. 3 LIPAD. 11 participantes et participants n'ont pas pris position. 8 Une seule entité, la commune de Cologny, n'est pas du tout d'accord avec la proposition, mais n'a fait aucun commentaire. 3.3.1.B. Les personnes physiques ou morales et organismes de droit privé chargés de tâches publiques L'avant-projet de loi propose également d’inclure les personnes physiques ou morales et organismes de droit privé chargés de tâches publiques dans les entités soumises au volet de la protection des données. En effet, il convient de considérer que ces derniers agissent en tant qu’organes de l’Etat et qu’en tant que tels, ils doivent être soumis à la LIPAD dans les limites de l’accomplissement desdites tâches. Dans le droit actuel, les personnes physiques ou morales et organismes de droit privé chargés de tâches publiques sont exclus du champ d’application en vertu de l’article 3, alinéa 4 LIPAD. La proposition figure à l’article 3 de l’avant-projet. 18 participantes et participants se sont déclarés tout à fait d'accord. 9 Les TPG indique que s'agissant de tâches publiques, ne pas inclure ces entités de droit privé dans le champ d'application de la loi reviendrait à créer une distorsion sur le marché. Le parti Socialiste indique que la nouvelle structure de l'article 3, alinéa 2 reste floue, l'avant-projet semblant fusionner la phrase introductive de l'alinéa 2 et celle de la lettre a, ce qui peut avoir une incidence sur le reste du contenu de l'alinéa 2. La faculté de droit de l'UNIGE indique qu'il paraît logique d'étendre les règles qui s'appliquent à l'Etat lorsque celui-ci charge des entreprises de droit privé d'exécuter des tâches publiques. Cela permet de garantir davantage de protection et de transparence dans les activités de l'Etat et d'aligner la loi genevoise sur la loi et/ou la pratique des autres cantons et l'article 5, lettre i nLPD relatif à la définition d'organe fédéral. 16 participantes et participants se sont déclarés plutôt d'accord. 10 Le Centre LAVI relève qu'en tant que personne morale de droit privé chargée de remplir des tâches de droit public cantonal, cette proposition de modification aura pour conséquence de l'inclure dans le champ d'application de la LIPAD, volet « protection des données ». Il rappelle également qu'un certain nombre d'exigences découlent directement de la loi fédérale sur l'aide aux victimes d'infractions (ci-après: LAVI), notamment le « secret LAVI », prévu à l'article 11, alinéa 1 LAVI, auquel le droit cantonal ne peut pas déroger. Il souligne enfin que les mesures de protection des données prévues par le droit cantonal ont un coût important qui devra être évalué pour toutes les entités subventionnées chargées de tâches de droit public cantonal nouvellement concernées par l'extension du champ d'application de la LIPAD. Concernant le maintien de la protection des données des personnes morales, l'AIG considère que le droit cantonal irait beaucoup plus loin que ce qui est prévu au niveau fédéral et estime que cela ne se justifie pas. 6 La CCPDTA, les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Présinge, Vandoeuvres et la Ville de Genève, l'HG, les TPG, la HES-SO Genève, Les Vert-e-s genevois-es, le SécuSIGE, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes privées. 7 Les communes d'Avully, Bernex, Carouge, Collonge-Bellerive, Gy, Laconnex, Meinier, Soral et Veyrier, le parti Socialiste, l'UDC, la SFIDP et une personne privée. 8 La BCGE, le Centre LAVI, la CPEG, l'AIG, les HUG, l'IMAD, les SIG, les EPI, l'UAPG et une personne privée. 9 La CCPDTA, les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates et Presinge, l'HG, les SIG, les TPG, la HES-SO, les Vert-e-s genevois-es, le parti Socialiste, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes physiques. 10 Le Centre LAVI, les communes de Bernex, Carouge, Collonge-Bellerive, Gy, Meinier, Vandoeuvres, Veyrier et la Ville de Genève, l'AIG, les HUG, l'IMAD, l'UDC, le CENTRE, la SFIDP et une personne physique. 8 PL 13347 124/189 L'IMAD estime que cela fait sens de considérer que les délégataires de tâches publiques cantonales ou communales agissent en tant qu'organes de l'Etat et qu'ils soient soumis à la LIPAD dans ce cadre. 3 entités, les communes de Laconnex et Soral ainsi que le SécuSIGE, ne sont pas d'accord avec la proposition. Les deux communes ne commentent toutefois pas leur position. Le SécuSIGE estime que l'extension du champ d'application aux personnes morales constitue un élargissement non négligeable par rapport à la LPD et au RGPD, avec pour effet d'accroitre les responsabilités de tous et l'obligation d'annonce ainsi que d'impliquer de possibles impacts juridiques spécifiques au canton. 2 autres entités, les communes d'Avully et de Cologny, ne sont pas du tout d'accord, mais sans commentaire également. 5 participantes et participants n'ont pas pris position. 11 Le CPEG relève toutefois que la notion de tâches de droit public cantonal ou communal devient plus centrale avec la proposition de modification du champ d'application. Afin de réduire l'insécurité juridique, elle suggère d'introduire une définition de la tâche publique dans la LIPAD. 3.3.1.C. La BCGE Le avant-projet de loi propose d’exclure du champ d’application de la loi les traitements de données personnelles effectués par la Banque cantonale de Genève (BCGE). La proposition figure à l’article 3 de l’avant-projet. 21 participantes et participants se sont déclarés tout à fait d'accord, 12 dont le BCGE. Cette dernière recommande toutefois son exclusion générale du champ d'application de la LIPAD, dès lors que son activité relève de la banque universelle plutôt que de celle de l'accomplissement d'une tâche publique et que ses relations avec sa clientèle relèvent du droit privé. Elle indique appliquer d'ores et déjà la loi fédérale sur la protection des données et estime qu'une application concurrente de la loi cantonale serait source d'inconvénients importants. S'agissant des règles sur la transparence, elle estime que celles-ci entreraient en conflit avec d'autres normes applicables dans le cadre de son activité bancaire. L'UNIGE (faculté de droit) estime qu'il n'y a pas de raison de maintenir la BCGE dans le champ d'application de la LIPAD, puisque les tâches effectuées ne sont pas des tâches publiques et qu'elles relèvent du droit privé. 11 participantes et participants se sont déclarés plutôt d'accord. 13 L'AIG précise que son activité - principalement commerciale - est régie en grande partie par la législation fédérale et par la concession fédérale. Elle souhaiterait qu'une réserve soit ajoutée pour l'exécution de tâches fédérales dans le cadre desquelles les institutions sont soumises à la loi fédérale sur la protection des données. Les Vert-e-s genevois-es estiment qu'il faut préalablement s'assurer que la législation sur les banques comprend une disposition sur la transparence des données et indiquent que la modification proposée de la LIPAD n'offre aucune garantie d'équivalence. Le SécuSIGE souhaiterait qu'une réserve soit ajoutée prévoyant qu'en cas d'exécution de tâches fédérales, les institutions sont soumises à la loi fédérale sur la protection des données. 11 La BCGE, la CPEG, les EPI, l'UAPG et Mme M.-F. Lücker-Babel. 12 La BCGE, la CCPDTA, les communes d'Avully, Avusy, Chêne-Bourg, Collonge-Bellerive, Cologny, Gy, Laconnex, Plan-les-Ouates, Presinge, Soral, Vandoeuvres, Veyrier et la Ville de Genève, les SIG, la HES-SO Genève, l'UDC, l'UNIGE (faculté de droit), le PJ (SG), M. Thomas Dagonnier . 13 Les communes de Bernex, Carouge, Chêne-Bougeries et Meinier, l'AIG, Les Vert-e-s genevois-es, SécuSIGE, la SFIDP et 3 personnes privées anonymes. 9 125/189 PL 13347 3 entités, soit les TPG, le parti Socialiste et le parti le CENTRE, ne sont pas d'accord avec la proposition, estimant en substance qu'en tant qu'institution paraétatique régie par une loi cantonale, les relations entre la BCGE et sa clientèle doivent être traitées au même titre qu'une autre institution publique cantonale. Enfin, 9 participantes et participants n'ont pas pris position. 14 3.3.2. Proposition 2: Modifications apportées à l’article relatif aux définitions L’avant-projet de loi supprime les opinions culturelles des données personnelles sensibles et la définition d’organe. L’avant-projet complète par ailleurs ce même article avec les définitions relatives aux données génétiques et biométriques, au sous-traitant, à la sécurité des données et à la violation de cette même sécurité, à l’anonymisation, à la pseudonymisation et au caviardage, ainsi qu’à la décision individuelle automatisée. La définition du profil de la personnalité est remplacée par celle de profilage, et celle de maître du fichier par celle de responsable du traitement. La notion de traitement est complétée. La proposition figure à l’article 4 de l’avant-projet. 20 participantes et participants se sont déclarées tout à fait d'accord. 15 14 participantes et participants se sont déclarés plutôt d'accord, 16 avec la précision que l'IMAD et une personne privée estiment que les données culturelles ne devraient pas être supprimées des données personnelles sensibles. Le SécuSIGE estime qu'il est indispensable de préciser les données des personnes morales couvertes par la LIPAD. L'UAPG estime que les notions d'interconnexion, de rapprochement, de limitation et d'extraction devraient être supprimées et la notion de profilage à risque élevée ajoutée pour se calquer sur le droit fédéral. Le Secrétariat général du Pouvoir judiciaire suggère de supprimer la définition de « pseudonymisation » qui n'est pas reprise dans la loi, ainsi que celles d'anonymisation et de caviardage qui sont essentiellement utilisées dans le cadre des dispositions sur l'accès aux documents. 3 participante et participants, la commune de Carouge, les TPG et le parti Socialiste ne sont pas d'accord avec les propositions. Les TPG et le parti Socialiste estiment que l'article proposé n'est pas en conformité avec le RGPD qui contiendrait une définition plus restrictive des données sensibles. La commune de Carouge n'a pour sa part pas commenté sa position. 2 participantes, la CPEG et une personne privée, ne sont pas du tout d'accord. La CPEG estime que l'avant-projet de loi ne devrait pas maintenir un régime de protection pour les personnes morales, puisque selon elle le droit fédéral ne le fait pas et que de plus l'article 50, al. 2 LPP interdit en principe au législateur cantonal d'adopter toute autre disposition que celles relatives aux prestations ou au financement de l'institution. Quant à la personne privée, elle ne commente pas sa position. Enfin, 5 participantes et participants n'ont pas pris position. 17 3.3.3. Proposition 3: Inclusion d’un principe de coordination en cas de demandes d’accès multiples Le Centre LAVI, la CPEG, l'HG, les HUG, l'IMAD, les EPI, l'UAPG, l'UNIGE (rectorat) et Mme M.-F. Lücker-Babel. 15 La CCPDTA, les communes d'Avusy, Bernex, Chêne-Bougeries, Collonge-Bellerive, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'AIG, l'HG, les SIG, les EPI, la HES-SO Genève, Les Vert-e-s genevois-es, l'UDC, le CENTRE, l'UNIGE (faculté de droit), l'UNIGE (rectorat) et une personne privée. 16 Les communes d'Avully, Chêne-Bourg, Gy, Laconnex, Meinier et Soral, les HUG, l'IMAD, SécuSIGE, la SFIDP, l'UAPG, le PJ (SG) et 2 personnes privées. 17 La BCGE, le Centre LAVI, les communes de Cologny et Veyrier, ainsi que Mme M.-F. Lücker-Babel. 14 10 PL 13347 126/189 Il peut arriver que plusieurs institutions soient sollicitées en vue de l’accès à un même document. L'avant-projet propose une règle de coordination dans un tel cas de figure. La proposition figure à l’article 28 de l’avant-projet. 27 participantes et participants sont déclarés tout à fait d'accord. 18 12 participantes et participants se sont déclarés plutôt d'accord. 19 La commune d'Avully relève toutefois des difficultés à appliquer la norme sans information transversale. Le parti Socialiste et les TPG indiquent notamment qu'au vu des finalités différentes des traitements d'une institution à l'autre, la motivation de la demande d'accès devra être cohérente par rapport à l'institution à laquelle le demandeur s'adresse. L'HG demande pour sa part s'il ne serait pas plus opportun de prévoir que la première institution saisie traite la demande et que, si plusieurs institutions sont informées qu'elles sont saisies en même temps, elles déterminent laquelle traite la demande. Le SécuSIGE indique qu'il convient de prévoir dans la loi une obligation d'accorder aux institutions les moyens techniques, financiers et humains nécessaires. Une entité, l'IMAD, n'est pas d'accord avec la proposition. Elle relève la complexité de la mise en œuvre. Selon elle, il sera parfois difficile pour les institutions, vu leurs intérêts divergents, de parvenir à un consensus dans un délai raisonnable. Elle estime qu'en cas de désaccord, la saisine du PPDT à brève échéance devrait être prévue, de même que l'obligation pour la personne requérante d'indiquer si elle a soumis une même demande auprès d'une ou plusieurs autres institutions. 3 entités et une personne physique n'ont pas pris position. 20 3.3.4. Proposition 4: Modification des dispositions relatives aux grands principes de la protection des données et à la notion de base légale, et inclusion du consentement 3.3.4.A. Les grands principes L’avant-projet détaille les grands principes de la protection des données, soit la licéité, la bonne foi, la proportionnalité, les finalités déterminées et reconnaissables pour la personne concernée, la destruction, l’effacement ou l’anonymisation des données lorsque ces dernières ne sont plus nécessaires, et l’exactitude des données. La proposition figure à l’article 35 de l’avant-projet. 27 participantes et participants se déclarent tout à fait d'accord. 21 La commune de Bernex demande toutefois à quelle loi fait référence l'art. 35, al. 4 de l'APL qui réserve la possibilité de conserver les données « en vertu d'une autre loi ». Les Vert-e-s genevois-es estiment que la notion de « licéité » n'est pas suffisamment explicite. 18 La CCPDTA, les communes d'Avusy, Bernex, Chêne-Bougeries, Chêne-Bourg, Collonge-Bellerive, Cologny, Gy, Laconnex, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'AIG, les HUG, les SIG, les EPI, la HESSO Genève, Les Vert-e-s genevois-es, l'UDC, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes privées. 19 Les communes d'Avully, Carouge, Meinier, Soral et Veyrier, l'HG, les TPG, le parti Socialiste, le parti le CENTRE, SécuSIGE, la SFIDP et une personne privée. 20 La BCGE, le Centre LAVI, la CPEG et Mme M.-F. Lücker-Babel. 21 La CCPDTA, les communes d'Avusy, Bernex, Chêne-Bougeries, Cologny, Gy, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les HUG, les SIG, les TPG, les EPI, les Vert-e-s genevois-es, le parti Socialiste, l'UDC, le parti le CENTRE, SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG), Mme M.-F. Lücker-Babel et 2 autres personnes privées anonymes. 11 127/189 PL 13347 13 participantes et participants se déclarent plutôt d'accord avec les propositions. 22 La commune de Collonge-Bellerive s'interroge toutefois sur l'application concrète du consentement mentionné à l'article 35, alinéa 3 de l'APL. L'IMAD estime que la notion « d'effacement » à l'article 35, alinéa 4 de l'APL prête à confusion et devrait être retirée. Elle propose par ailleurs de préciser dans le RIPAD les conditions d'application de la possibilité instituée à l'article 35, al. 4, 2ème phrase, de différer la destruction des données durant deux ans au maximum à des fins d’évaluation de politiques publiques. S'agissant de l'article 35, alinéa 5 de l'APL, l'IMAD suggère, à l'instar de l'art. 6, al. 5 nLPD, de préciser que « Le caractère approprié de la mesure dépend notamment du type de traitement et de son étendue ainsi que du risque que le traitement des données en question présente pour la personnalité ou les droits fondamentaux des personnes concernées ». La HES-SO estime pour sa part que l'obligation figurant à l'article 35, alinéa 5, 2ème phrase de s'assurer de l'exactitude des données personnelles traitées est difficile à mettre en œuvre et propose de préciser, à l'instar de l'art. 36, al.1, let. b de la LIPAD actuelle, « autant que les circonstances permettent de l'exiger ». Aucune participante ou participant ne s'est déclaré pas d'accord. 4 participantes n'ont pas pris position. 23 Par celles-ci, la commune d'Avully estime toutefois que l'article 35 de l'APL est totalement inadapté aux pratiques de travail usuelles et efficientes. Elle s'interroge en particulier sur la destruction des données et demande notamment à partir de quand celles-ci ne s'avèrent plus nécessaires. Elle estime que leur destruction systématique pourrait nuire à des prises de décisions ultérieures. 3.3.4.B. La base légale L’avant-projet reprend, en le remaniant, l’article relatif à l’exigence de base légale. Il prévoit ainsi que les institutions ne peuvent traiter des données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. Par ailleurs, les traitements de données personnelles sensibles, les activités de profilage et les traitements de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée ne peuvent avoir lieu que si une loi au sens formel le prévoit expressément ou si le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. L’article sur le consentement est réservé (voir ci-dessous, proposition 4.C). La proposition figure à l’article 36 de l’avant-projet. Globalement la nouvelle disposition est bien accueillie par plus de 80% des entités ou personnes ayant répondu à la consultation. Les critiques principales 24 reprochent une trop grande marge d'appréciation laissée aux autorités à l'alinéa 1 dans la détermination de la nécessité de traiter des données personnelles (ordinaires) pour l'accomplissement de leurs tâches légales, ainsi que le caractère alternatif des conditions prévues aux lettres a et b de l'alinéa 2 concernant le traitement des données personnelles sensibles, les activités de profilage et les traitements de données dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée. De manière plus détaillée : 22 Le Centre LAVI, les communes de Carouge, Chêne-Bourg, Collonge-Bellerive, Laconnex, Meinier,Soral et Veyrier, l'AIG, l'IMAD, la HES-SO Genève, la SFIDP et une personne privée. 23 La BCGE, la commune d'Avully, la CPEG et M. Thomas Dagonnier. 24 Le parti le CENTRE, Mme M.-F. Lücker-Babel et les Vert-e-s genevois-es. 12 PL 13347 128/189 22 participantes et participantes se sont déclarés tout à fait d'accord avec la proposition. 25 Le Centre LAVI relève, pour le cas où la proposition de modification du champ d'application pour y inclure les entités privées délégataires d'une tâche publique était adoptée, qu'il serait alors soumis à la LIPAD, et qu'en application de l'article 36, alinéa 2, lettre b, il serait autorisé à traiter des données personnelles sensibles qui lui sont indispensables pour accomplir ses tâches, dès lors que celles-ci sont définies dans une loi au sens formel, soit dans la loi fédérale sur l'aide aux victimes d'infractions (LAVI – RS 312.5) et dans la loi cantonale d'application (LaLAVI – J 4 10). Les TPG indiquent qu'il conviendrait de prévoir une base légale pour faciliter l'entraide entre institutions publiques et faciliter la sous-traitance ou plus largement les collaborations entre institutions. 14 participantes et participants se sont déclarées plutôt d'accord. 26 La commune de Collonge-Bellerive s'interroge sur l'application pratique de l'article 36A de l'APL relatif au consentement, estimant impossible parfois d'obtenir un consentement préalablement à certaines activités ou manifestations. La CPEG relève que la détermination de la législation qui lui est applicable en matière de protection des données est une question complexe, non tranchée par la jurisprudence. Elle précise que le préposé fédéral à la protection des données s'est pour sa part exprimé en faveur d'une soumission de la CPEG au droit cantonal de la protection des données. Si l'article 85a LPP lui fournit une base légale formelle pour le traitement des données personnelles (y compris sensibles) concernant ses assurés, elle estime qu'une base légale formelle cantonale, dans la LCPEG, serait nécessaire pour lui permettre de traiter des données personnelles, y compris sensibles, dans d'autres domaines, notamment dans le cadre de ses placements et de son fonctionnement interne. Elle indique également qu'une réserve en faveur de la LIPAD devrait être faite à l'art. 55, al. 1 LCPEG relatif au secret de fonction. L'UAPG estime pour sa part que l'alinéa 2 du projet d'article ne devrait pas inclure des données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, mais se limiter aux données sensibles et aux activités de profilage. 3 participantes et participant ne sont pas d'accord avec la proposition. La commune de LACONNEX estime que la notion de tâches légales est trop restrictive considérant les multiples activités d'une commune pouvant nécessiter par exemple le recours à une sélection d'adresses pour une prestation particulière, sans lien avec une prestation expressément prévue par une base légale. Mme Lücker-Babel et le parti le CENTRE estiment que les termes de l'article 36, alinéa 1 « si l'accomplissement de leurs tâches légales le rend nécessaire » sont trop imprécis et qu'il conviendrait de limiter cette possibilité aux situations pour lesquelles le législateur n'a pas encore eu le temps de légiférer. Ils formulent la même critique concernant l'alinéa 2, lettre b relatif au traitement « indispensable » à l'accomplissement d'une tâche définie dans une loi au sens formel. 2 entités ne sont pas du tout d'accord. La commune d'AVULLY craint une « juridification » des pratiques, source potentielle d'immobilisme. Les Vert-e-s genevois-es estiment que tout traitement de données doit reposer sur une base légale et que la notion de « nécessité du traitement de données dans le cadre de l'accomplissement des tâches légales » est trop floue et laisse une marge d'appréciation trop importante aux autorités. Ils proposent de reformuler entièrement la disposition. 3 participantes n'ont pas pris position. 27 25 La CCPDTA, le Centre LAVI, les communes d'Avusy, Chêne-Bougeries, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les HUG, les SIG, les TPG, les EPI, la HES-SO Genève, le parti Socialiste, l'UDC, SécuSIGE, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées. 26 Les communes de Bernex, Carouge, Chêne-Bourg, Collonge-Bellervie, Cologny, Gy, Meinier et Veyrier, la CPEG, l'AIG, l'IMAD, la SFIDP, l'UAPG et une personne privée. 27 La BCGE, la commune de Soral et M. Thomas Dagonnier. 13 129/189 PL 13347 3.3.4.C. La base légale L’avant-projet ajoute le consentement comme motif justificatif extra-légal aux traitements des données personnelles, tout en précisant les conditions auxquelles ce motif peut être admis. Cela signifie que les institutions peuvent également traiter des données personnelles, y compris sensibles, nécessaires à l’accomplissement de leurs tâches légales, en l’absence de base légale, si la personne concernée a consenti au traitement. Le responsable du traitement devra pouvoir démontrer l’existence d’un tel consentement. La personne concernée ne consentira valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée, étant précisé que le consentement devra être exprès en cas de traitement de données personnelles sensibles ou de profilage. Le consentement pourra être révoqué en tout temps et sans motifs, tout en rappelant que la mise en œuvre effective pourra requérir un délai raisonnable pour des raisons techniques. Enfin, les institutions pourront traiter des données personnelles, y compris sensibles, si la personne concernée a rendu ces dernières accessibles à tout un chacun et ne s’est pas opposée expressément au traitement, ainsi qu’en cas de traitement nécessaire à la sauvegarde des intérêts vitaux d’une personne concernée se trouvant dans l’incapacité physique ou juridique de donner son consentement, ou d’une autre personne physique. La proposition 4.C figure à l’article 36A de l’avant-projet. Plus de 70% des participantes et participants sont favorables ou plutôt favorables à l'introduction du consentement comme motif justification d'un traitement de données personnelles. De manière plus détaillée: 18 participantes et participants se sont déclarés tout à fait d'accord. 28 L'AIG précise qu'il pourrait être opportun de prévoir à l'article 36A, alinéa 1 que le consentement peut être utilisé pour le profilage et pour le traitement de données personnelles dont les finalités ou les modalités sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée. L'AIG estime également que les règles actuelles sur la communication de données ne lui semblent pas adaptées à son activité commerciale et qu'une reprise du droit fédéral serait préférable afin de permettre le consentement comme motif justificatif justifiant une communication. Quant aux HUG, ils demandent s'il ne serait pas judicieux de prévoir dans la loi la manière dont sont traitées les cas de décès ou de perte de capacité de discernement. 14 participantes et participantes se sont déclarés plutôt d'accord. 29 La CCPDTA estime toutefois que l'utilisation du consentement pour déroger aux exigences de l'article 35, al. 2 pour le traitement de données personnelles sensibles interroge. Elle estime aussi que les conditions d'exercice du consentement par une personne mineure capable de discernement et des personnes porteuses d'un handicap psychique ou mental doivent être décrites dans des alinéas dédiés. Elle propose d'intégrer à l'article 36A, al. 4 de l'APL « l'incapacité psychique » de donner son consentement, aux côtés de l'incapacité physique ou juridique. La HES-SO s'interroge aussi sur le consentement des personnes faisant l'objet d'une mesure de protection de l'adulte (tutelle, curatelle). Une personne privée anonyme estime que le retrait du consentement devrait être précisé dans la loi pour s'assurer qu'il reste accessible. Cette dernière craint également que l'article 36A, al. 5 de l'APL puisse conduire à des abus. Le SécuSIGE indique qu'il pourrait être opportun de prévoir à l'alinéa 1 l'utilisation du consentiement également pour le profilage et pour le traitement de données personnelles dont 28 Les communes d'Avusy, Carouge, Chêne-Bougeries, Chêne-Bourg, Gy, Plan-les-Ouates, Présinge, la Ville de Genève, l'AIG, l'HG, les HUG, les SIG, les TPG, les EPI, l'UDC, L'UNIGE (rectorat), le PJ (SG) et une personne privée. 29 La CCPDTA, le Centre LAVI, les communes de Bernex, Cologny, Meinier, Vandoeuvres, Veyrier, la HES-SO Genève, SécuSIGE, la SFIDP, l'UAPG, l'UNIGE (faculté de droit) et deux personnes privées. 14 PL 13347 130/189 les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée. L'UAPG estime que l'exigence d'un consentement exprès ne devrait être requis que pour le profilage à risque élevé, notion qui devrait être intégrée dans le projet de loi. L'UNIGE (faculté de droit) estime que les explications données dans l'exposé des motifs de l'APL p. 49 (concernant les formulaires avec cases à cocher pré-validées) laissent sous-entendre que la LIPAD va instaurer une pratique cantonale plus stricte que la nLPD en matière de forme du consentement (conforme au RGPD). Elle recommande de supprimer cette mention afin de se conformer à la nLPD et éviter ainsi des interprétations divergentes entre le droit fédéral et le droit cantonal. 4 participantes et participants ne sont pas d'accord avec la proposition. 30 Le parti Socialiste s'oppose à l'alinéa 5 tel que proposé, estimant que le fait que des données personnelles soient publiquement accessibles ne justifie pas en soi leur traitement par l'Etat, d'autant que leur publicité n'est elle-même parfois pas licite. Le parti le CENTRE et Mme Lücker-Babel indiquent que les situations dans lesquelles le consentement est requis leur paraissent floues. Ils estiment également que la loi doit prévoir le consentement des mineurs capables de discernement et celui des personnes majeures incapables d'exercer elles-mêmes leurs droits, et pas uniquement lorsque des intérêts vitaux sont en jeux. Quant à la commune de Soral, elle n'a pas commenté sa prise de position. 4 participantes et participants ne sont pas du tout d'accord avec la proposition. 31 La commune de Collonge-Bellerive et les Vert-e-s genevois-es peinent à comprendre dans quels cas de figure le consentement serait requis. Les Vert-e-s genevois-es demandent, dans le cas où cet article serait maintenu, que la notion de "volonté expresse" disparaisse au profit d'une obligation de consentement écrit. Ils estiment que la question de la case à cocher est aussi problématique. La commune de Laconnex estime qu'il serait très difficile de démontrer l'existence du consentement. La commune d'Avully n'a commenté sa prise de position. 4 participantes et participants n'ont pas pris position. 32 Seule l'IMAD a toutefois formulé des remarques : concernant le retrait du consentement de l'alinéa 3, elle indique qu'il conviendrait de prévoir ce qui est entendu par « délai raisonnable » pour mettre en œuvre ce retrait. Quant à l'alinéa 4, elle estime qu'il serait judicieux de prévoir également la possibilité pour les autorités de traiter des données personnelles d'une personne incapable physiquement ou juridiquement de donner son consentement pour les cas où le traitement est « nécessaire pour protéger l'intégrité corporelle de la personne ou d'une autre personne physique ». Elle ajoute qu'il serait également utile de préciser que cette disposition vise aussi les cas de traitement nécessaire à des fins humanitaires, y compris pour suivre des épidémies. Quant aux autres exceptions prévues par le droit fédéral, elle indique que la possibilité pour l'exécutif d'autoriser un traitement s'il considère que les droits des personnes concernées ne sont pas menacés pourrait également exister au niveau cantonal. Enfin, elle indique que dans le domaine des soins, le partage d'informations entre partenaires du réseau de soins est indispensable, mais que la nécessité d'obtenir le consentement explicite du bénéficiaire rend la tâche très compliquée en pratique. 3.3.5. Proposition 5: Inclusion des notions du traitement de données personnelles conjoint et de sous-traitant 3.3.5.A Le traitement de données personnelles conjoint L’avant-projet traite des traitements conjoints de données personnelles par plusieurs institutions, ainsi que les responsabilités et obligations respectives de ces dernières. 30 La commune de Soral, le parti Socialiste, le parti le CENTRE et Mme M.-F. Lücker-Babel. 31 Les communes d'Avully, Collonge-Bellervie et Laconnex ainsi que les Vert-e-s genevois-es. 32 La BCGE, la CPEG, l'IMAD et M. Thomas Dagonnier. 15 131/189 PL 13347 La proposition 5.A figure à l’article 36B de l’avant-projet. 21 entités sont déclarées tout à fait d'accord avec la proposition. 33 Les TPG suggèrent en substance de compléter l'art. 36B en invitant les parties à convenir d'un accord de coresponsabilité des données personnelles comme le prévoit le RGPD. Cet accord définirait les tâches de chaque responsable de traitement. Cette co-responsablité permettrait d'ouvrir, selon eux, la possibilité aux institutions de faire appel à des services infonuagiques SaaS et de suivre les tendances actuelles du marché, sans être pénalisées dans le développement de solutions pertinentes. 11 entités se sont déclarées plutôt d'accord avec la proposition. 34 L'HG nuance son accord estimant que la déclaration au PPDT pourrait être compliquée à mettre en œuvre et propose que chaque institution procède à une déclaration au sens de l'art. 43. L'IMAD indique qu'il pourrait être précisé que les institutions conviennent d'un accord comme le prévoit le RGPD et qu'un point de contact soit donné au profit de la personne concernée. Le parti Socialiste propose de prévoir, afin d'éviter des conflits, la possibilité de répartir la part de responsabilité en lien avec le traitement pour chaque partie. Le SécuSIGE indique que le RIPAD devra préciser la mise en œuvre concrète. 1 participante, la commune de Carouge, n'est pas d'accord avec la proposition mais ne commente pas sa position. 1 participante, la commune de Cologny, n'est pas du tout d'accord mais ne commente pas non plus sa position. 10 participantes et participants ne se sont pas prononcés. 35 3.3.5.B Les sous-traitants L’avant-projet propose par ailleurs d’intégrer, dans la loi, la fonction de sous-traitant qui figure actuellement dans le règlement d’application de la LIPAD, du 21 décembre 2011 (RIPAD ; A 2 08.01). Le contrat liant un responsable du traitement à son sous-traitant peut être de nature diverse. Il peut s’agir d’un contrat de mandat, d’un contrat d’entreprise, voire d’un contrat mixte selon les obligations du sous-traitant. Afin de sauvegarder les droits des personnes concernées en cas de sous-traitance, l’avant-projet prévoit, notamment, un devoir de diligence à la charge du responsable du traitement, la responsabilité de ce dernier malgré la soustraitance, et l’interdiction de la sous-traitance en cascade sauf accord écrit préalable du responsable du traitement. L’avant-projet traite également de la problématique de la soustraitance impliquant un traitement de données à l’étranger. La proposition 5.B figure à l’article 36C de l’avant-projet. Plus de 70% des entités ayant répondu à la consultation sont favorables ou plutôt favorable à la proposition. Cela étant, dans le camp des opposants, des critiques importantes émanant principalement des SIG, de la CPEG, de l'AIG et du rectorat de l'Université de Genève, reprochent à la proposition de règlementation d'être trop restrictive par rapport au droit fédéral et aux législations de certains cantons, notamment s'agissant de l'impossibilité de communiquer des données à l'étranger vers des pays dont la législation n'assure pas un niveau de protection adéquate. Ils estiment qu'il est indispensable d'accorder le droit genevois 33 La CCPDTA, les communes d'Avully, Chênes-Bougeries, Chêne-Bourg, Collonge-Bellerive, Plan- les-Ouates, Présinge, Vandoeuvres, la Ville de Genève, l'AIG, les SIG, les TPG, la HES-SO, Les Vert-e-s genevois-es, l'UDC, le parti le CENTRE, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées anonymes. 34 Les communes d'Avully, Bernex, Laconnex, Meinier, l'HG, les HUG, l'IMAD, le parti Socialiste, SécuSIGE, la SFIDP, l'UAPG. 35 La BCGE, le Centre LAVI, les communes de Gy, Soral et Veyrier, la CPEG, les EPI et trois personnes privées, dont M. Thomas Dagonnier et Mme M.-F. Lücker-Babel. 16 PL 13347 132/189 avec le droit européen et fédéral en matière de communication transfrontière de données, en particulier afin de ne pas les prétériter dans leurs activités soumises à concurrence. De manière plus détaillée : 14 participantes et participants se sont déclarés tout à fait d'accord. 36 Les TPG relèvent toutefois que l'exigence d'un accord écrit peut ne pas être réaliste dans le cadre d'une soustraitance chez un GAFAM. Pour ces cas, il serait peut-être plus réaliste, selon les TPG, de fonder la décision de sous-traitance sur le principe d'une gestion des risques. La HES-SO suggère qu'une réserve en faveur de l'article 36C relatif à la sous-traitance soit ajoutée à l'article 39 traitant de la communication. 37 17 participantes et participants se sont déclarés plutôt d'accord. 38 La CCPDTA regrette toutefois vivement que le traitement des données personnelles à l'étranger soit rendu possible par la loi. La commune de Chêne-Bougeries émet des réserves liées aux difficultés d'application, notamment pour s'opposer à des sous-traitances en cascade de stockage de données. Les HUG se demandent si la réserve d'un secret légal ou contractuel prévu à l'art. 36C, al. 2, let. b vise aussi le secret de fonction. Ils estiment par ailleurs que le régime de responsabilité objective du responsable de traitement pour les actes de son sous-traitant est dur en comparaison de la règlementation de droit privé prévue à l'art. 55 CO. Pour la soustraitance à l'étranger, les HUG demandent si une exception aux conditions de la soustraitances ne devrait pas être prévue lorsque des prestations uniques ou exceptionnelles et sans concurrence ne peuvent être obtenues qu'à des conditions ne permettant pas de respecter les critères de la sous-traitance (p.ex. cas du partenariat à propos d'un traitement médical de pointe aux USA avec cloud local).Concernant la sous-traitance à l'étranger, l'IMAD estime que la disposition proposée peut constituer un frein à certains projets des directions de systèmes d'information, en particulier s'agissant des technologies liées au cloud, lorsque le service de support ne se trouve pas dans un pays disposant d'une législation assurant un niveau de protection adéquate. Les Vert-e-s genevois-es proposent quant à eux d'ajouter un nouvel alinéa qui prévoirait que "Lorsque la sous-traitance implique des données personnelles sensibles, l'Etat effectue régulièrement des audits sur le site du sous-traitant". Le parti Socialiste souhaite que cette disposition puisse favoriser les sous-traitants sur territoire suisse, avant tout recours à un sous-traitant étranger et prévoir que la sous-traitance demeure l'exception. Quant à la faculté de droit de l'UNIGE, elle relève que l'exigence que le contrat de sous-traitance prévoie la possibilité de procéder à des audits sur le site du sous-traitant va plus loin que la nLPD et qu'elle peut s'avérer difficile à mettre en œuvre en cas de recours à un sous-traitant étranger. Elle recommande par ailleurs de dissocier les exigences de transfert à l'étranger et celles relatives à la sous-traitance en deux articles séparés, à l'instar de la nLPD. Elle recommande enfin d'assouplir les exigences afin de permettre la communication de données à l'étranger même lorsque la législation ne peut assurer un niveau de protection adéquat, lorsque des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat. Elle rappelle à cet égard que les nouvelles législations sur la protection des données suivent une approche fondée sur les risques, qu'elle recommande de suivre également afin de garder la flexibilité nécessaire. 6 entités ne sont pas d'accord avec la proposition. 39 Le Centre LAVI rappelle pour sa part que le secret LAVI fera obstacle en pratique aux possibilités de recourir à la sous-traitance. Il n'explicite pas plus son opposition. Les SIG relèvent pour leur part que la proposition de 36 Les communes d'Avusy, Collonge-Bellerive, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les TPG, les EPI, la HES-SO Genève, le parti le CENTRE, le PJ (SG) et deux personnes privées. 37 A noter que cette remarque a été faite par la HES-SO dans le cadre de son retour sur l'art. 41 APL. 38 La CCPDTA, les communes d'Avully, Bernex, Carouge, Chêne-Bougeries, Chêne-Bourg, Laconnex, Meinier et Soral, les HUG, l'IMAD, les Vert-e-s genevois-es, le parti Socialiste, l'UDC, la SFIDP, l'UAPG, l'UNIGE (faculté de droit). 39 Le Centre LAVI, les communes de Gy et Veyrier, les SIG, le SécuSIGE et l'UNIGE (rectorat). 17 133/189 PL 13347 règlementation diffère de la LPD et du RGPD en ce qu'elle exige que les données soient traitées dans des pays dont la législation est jugée adéquate. Dans le cadre de leurs activités soumises à concurrence, ils estiment être désavantagés par rapport à leurs concurrents soumis à une régime plus souple instauré par la LPD et la nLPD. Le SécuSIGE estime qu'il est indispensable d'accorder le droit genevois avec le droit européen et le droit fédéral. Rien ne justifie selon lui l'impossibilité d'utiliser des garanties contractuelles, le consentement ou des clauses types pour transférer des données personnelles à l'étranger dans un pays dont la législation n'assure pas un niveau de protection adéquat, en tous les cas lorsqu'il s'agit de données personnelles ordinaires. Il explique que la mise en place de traitement peut s'avérer compliquée en cas d'activités commerciales éventuellement avec une forte connotation internationale. En revanche, dans le cadre du traitement de données personnelles sensibles associé au domaine régalien, l'alinéa 5 lui semble cohérent. Enfin, le rectorat de l'Université de Genève estime qu'il est excessif, voire irréaliste, d'exiger dans le contrat de sous-traitance la possibilité d'effectuer des audits et propose de supprimer cette contrainte. Il souligne qu'un sous-traitant certifié selon certaines normes et/ou soumis au contrôle d'autorités de surveillance constituent des garanties plus convaincantes. S'agissant de la sous-traitance à l'étranger, il estime qu'il est primordial de s'aligner sur la législation européenne et suisse permettant à certaines conditions de communiquer des données personnelles à l'étranger même si l'Etat concerné ne dispose pas d'une législation assurant un niveau de protection adéquat. Il suggère pour finir de se calquer sur le droit fédéral et de traiter dans deux dispositions séparées la sous-traitance et la communication à l'étranger. Enfin, les communes de Gy et de Veyrier ne motivent pas leur opposition. 2 participantes, la CPEG et l'AIG, ne sont pas du tout d'accord avec la proposition. La CPEG relève que le régime cantonal sur la sous-traitance et la communication à l'étranger est significativement plus restrictif que le droit fédéral (forme écrite du contrat; exigence de pouvoir effectuer des audits chez le sous-traitant; validation écrite d'une sous-traitance en cascade ; pas d'exception pour la sous-traitance à l'étranger dans des pays dont la législation est jugée non adéquate). Elle estime que ces exigences ne sont guère en ligne avec la réalité actuelle de la sous-traitance et qu'elles placent les institutions dans l'impossibilité de recourir à certains services informatiques et donc d'assurer leur développement numérique. Elle propose que ces dispositions soient adaptées à la nLPD sous peine de défavoriser la CPEG par rapport aux fondations de prévoyance de droit privé. L'AIG estime également qu'il est indispensable d'accorder le droit genevois avec le droit européen et fédéral en matière de communication transfrontière de données. Elle estime que rien ne justifie l'impossibilité d'utiliser des garanties contractuelles, le consentement ou d'autres clauses types pour justifier le transfert de données à l'étranger dans un pays ne disposant pas d'un niveau de protection adéquat. Le régime genevois plus restrictif rend très compliqué pour l'AIG la mise en place de certains traitements de données indispensables à son activité commerciale à forte connotation internationale. 5 participantes et participants n'ont pas pris position. 40 3.3.6. Proposition 6: Inclusion des notions de protection des données dès la conception et par défaut, de règles concernant la sécurité des données et la violation de cette même sécurité, ainsi que la notion d’analyse d’impact 3.3.6.A. La protection des données dès la conception et par défaut L’avant-projet intègre dans la loi les notions de protection des données dès la conception et par défaut. La protection des données dès la conception se caractérise par des mesures proactives visant à prévenir et minimiser les risques d’atteintes aux droits des personnes concernées. L’obligation débute ainsi en amont des opérations de traitement, avant la collecte des données. Cette notion ne doit pas être confondue avec celle de la protection des données 40 La BCGE, la commune de Cologny, 3 personnes privées, dont Mme M.-F. Lücker-Babel et M. Thomas Dagonnier. 18 PL 13347 134/189 par défaut, qui exige de traiter le moins de données possibles par des préréglages appropriés. Ces deux notions dont toutefois étroitement liées. La proposition 6.A figure à l’article 37 de l’avant-projet. Globalement la proposition de disposition a été bien accueillie avec 83% des participantes et participants tout à fait d’accord ou plutôt d’accord avec la proposition, sans compter les entités ou personnes n’ayant pas pris position. 22 participantes et participants se sont déclarés tout à fait d'accord. 41 14 participantes et participants sont déclarés plutôt d'accord. 42 L'IMAD indique que le processus de mise en conformité à la nLPD et à la LIPAD révisée nécessite la création de plusieurs ETP dont le financement doit être garanti aux institutions concernées. 3 participantes, les communes de Carouge, Veyrier et Avully, ne sont pas d'accord. La commune d'Avully estime que cette disposition est trop restrictive et trop compliquée dans l'application. Les communes de Veyrier et Carouge ne commentent pas leur position. Une seule participante, la commune de Collonge-Bellerive, n'est pas du tout d'accord, mais ne motive pas non plus son opposition. 4 entités ne prennent pas position. 43 3.3.6.B. La sécurité des données personnelles L’avant-projet prévoit par ailleurs le devoir d’assurer la sécurité des données personnelles, par des mesures organisationnelles et techniques appropriées par rapport au risque encouru. Ces mesures doivent permettre d’éviter toute violation de la sécurité des données. La proposition 6.B figure à l’article 37A de l’avant-projet. Plus de 80% des participantes et participants se sont déclarées favorables ou plutôt favorables à la proposition de disposition. Toutefois, parmi les participantes et participants ayant motivé leur position, on constate, que quelle que soit la catégorie de satisfaction mentionnées (plutôt d'accord ou pas d'accord), 7 d'entre elles, soit l'IMAD, les TPG, la HES-SO, le rectorat de l'Université de Genève, les Verte-s genevois-es, la Ville de Genève, les HUG et le parti le CENTRE, estiment que la formulation de l'alinéa 2 ("Les mesures doivent permettre d'éviter toute violation de la sécurité des données") est trop stricte, voire irréaliste, le risque zéro n'existant pas. De manière plus détaillée : 19 participantes et participants se sont déclarés tout à fait d'accord. 44 41 La CCPDTA, les communes de Chêne-Bougeries, Gy, Plan-les-Ouates, Vandoeuvres et la Ville de Genève, l'HG, les SIG, les TPG, la HES-SO Genève, le parti Socialiste, l'UDC, le parti le CENTRE, SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), l'UNGE (rectorat), le PJ (SG) et 4 personnes privées, dont Mme M.-F. Lücker-Babel et M. Thomas Dagonnier. 42 Les communes d'Avusy, Bernex, Chêne-Bourg, Cologny, Laconnex, Meinier, Presinge et Soral, l'AIG, les HUG, l'IMAD, les Vert-e-s genevois-es, la SFIDP et une personne privée anonyme. 43 La BCGE, le Centre LAVI, la CPEG et les EPI. 44 La CCPDTA, les communes de Chêne-Bougeries, Chêne-Bourg, Gv, Laconnex, Plan-les-Ouates, Vandoeuvres, l'HG, les SIG, les EPI, le parti Socialiste, l'UDC, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et 4 personnes privées, dont Mme M.-F. Lücker-Babel. 19 135/189 PL 13347 16 participantes et participants se sont déclarés plutôt d'accord. 45Le Centre LAVI relève que ces exigences en matière de sécurité, dont notamment la tenue d'audits, génèrent des coûts importants qui devront être pris en considération dans la charge financière globale des entités subventionnées concernées. L'IMAD indique qu'il serait judicieux d'étendre ces exigences aux sous-traitants. S'agissant du règlement d'application de la LIPAD, elle estime que le Conseil d'Etat devra consulter les institutions concernées et s'inspirer de l'ordonnance fédérale sur la protection des données. Quant à la formulation de l'alinéa 2 stipulant que « Les mesures doivent permettre d'éviter toute violation de la sécurité des données personnelles », elle suggère une formulation plus souple qui prenne en considération le risque encouru, les coûts et les possibilités techniques des responsables de traitement. Les TPG demandent également s'il ne conviendrait pas d'être un peu plus nuancé et de tolérer une pesée des intérêts au sein des institutions, dès lors que le risque zéro n'existe pas. Dans le même sens, la HES-SO propose de compléter l'alinéa 2 par la mention suivante « autant que les circonstances permettent de l'exiger ». Dans ce sens également, le rectorat de l'Université de Genève propose de dire que les « mesures visent à éviter toute violation de la sécurité des données personnelles ». Concernant l'alinéa 3, le rectorat estime que les dispositions réglementaires devront faire l'objet d'une consultation préalable, en particulier auprès des responsabilités sécurités des systèmes d'informations du groupe cantonal SecuSIGE. Concernant cet alinéa 3, les Vert-e-s genevois-es proposent de préciser la délégation en faveur du Conseil d'Etat en ajoutant dans la loi le respect du principe suivant : « dans la mesure du possible, les données personnelles sur support physique sont sécurisées de manière adéquate et les données personnelles électroniques sont stockées sur des serveurs en Suisse ». 4 participantes et participants ne sont pas d'accord avec la proposition. La commune de Collonge-Bellerive se demande ce qui est entendu par « mesures organisationnelles et techniques ». Elle estime que cela va générer une charge de travail excessive. Concernant l'alinéa 2, la Ville de Genève estime que la proposition n'est pas acceptable, étant donné qu'aucun système n'est en mesure à l'heure actuelle de garantir de manière absolue une inviolabilité des données numériques. Dans le même sens, les HUG se demande s'il est vraiment proportionné d'exiger une sécurité totale et estime que le respect de l'état de la science au moment de l'utilisation devrait être suffisant. Dans le même sens également, le parti le CENTRE estime qu'il est techniquement impossible d'éviter toute violation. Il propose de remplacer « éviter toute violation » par « de prévenir par des mesures techniques et organisationnelles les potentielles violation de la sécurité des données personnelles ». 2 entités, la commune d'Avully et le SécuSIGE, ne sont pas du tout d'accord. La commune ne commente toutefois pas son opposition. Le SécuSIGE reproche à la formulation de l'alinéa 2 « …éviter toute violation de la sécurité … » trop absolue et impossible à mettre en œuvre. Il critique également l'alinéa 3 relatif à la délégation des exigences minimales en matière de sécurité en faveur du Conseil d'Etat, estimant que cette disposition représente une régression en matière de sécurité de l'information, puisque chaque institution est seule juge pour déterminer les meilleurs moyens de protection des données qu'elle traite. Il estime qu'il s'agit de prescriptions éminemment techniques qui ne doivent pas relever du Conseil d'Etat. Il relève également que ces dernières évoluent bien plus rapidement que le cadre juridique. Il estime toutefois qu'un référentiel généraliste et applicable à toutes les institutions serait le bienvenu, avec la collaboration et la validation de toutes les institutions concernées. 3 participants n'ont pas pris position.46 45 Le Centre LAVI, les communes d'Avusy, Bernex, Carouge, Cologny, Meinier, Presinge, Soral et Veyrier, l'AIG, l'IMAD, les TPG, la HES-SO Genève, les Vert-e-s genevois-es, la SFIDP et l'UNIGE (rectorat). 46 La BCGE, la CPEG et M. Thomas Dagonnier. 20 PL 13347 136/189 3.3.6.C. Analyse d’impact Afin de protéger les données personnelles, l’avant-projet exige également qu’il soit procédé à une analyse d’impact avant la mise en œuvre d’un traitement de données personnelles. Il s’agit d’un instrument destiné à identifier et évaluer les risques que certains traitements de données personnelles pourraient entraîner pour la personne concernée, ainsi que, le cas échéant, les mesures permettant de faire face à ces risques. La proposition 6.C figure à l’article 37B de l’avant-projet. 14 participantes et participants se sont déclarés tout à fait d'accord. 47 17 participantes et participants se sont déclarés sont plutôt d'accord. 48 La CCPDTA indique que l'exigence d'analyse d'impact devrait également exister lors d'une modification législative ou d'un nouveau projet de loi prévoyant le traitement de données personnelles. La commune de Vandoeuvres et l'HG se demandent si les traitements existants doivent également faire l'objet d'une analyse d'impact. Le Centre LAVI estime à première vue ne pas être concerné par cette disposition. Le Centre LAVI et l'IMAD estiment notamment que certains termes devraient être précisés car il ne sera pas toujours aisé, selon eux, de déterminer quand une analyse d'impact sera obligatoire ou non. Ils mentionnent également la nécessité de prendre en compte les coûts financiers et humains générés par cette nouvelle obligation. Les Vert-e-s genevois-es proposent que pour les projets de grande envergure, les analyses d'impact soient soumises au PPDT. Le parti le CENTRE et Madame Lücker-Babel s'interrogent sur les conséquences en cas de résultats négatifs de l'analyse d'impact, notamment sur la décision de poursuivre ou non le projet, et les possibilités de s'y opposer. Le SécuSIGE estime que la formulation de l'alinéa 4 est peu claire et trop absolue. Il se demande en particulier si l'analyse d'impact doit être soumise au PPDT pour chaque projet ou uniquement lorsqu'elle est liée à un projet de loi. Quant à l'UAPG, il propose de supprimer l'art. 37B, al. 2, let. b, soit les analyses d'impact en cas de profilage afin d'éviter une surcharge administrative. 3 participantes, les communes d'Avusy, Carouge et Veyrier, ne sont pas d'accord avec la proposition, mais sans commenter leur position. 3 autres participantes, les communes d'Avully, Collonge-Bellerive et Cologny, ne sont pas du tout d'accord. La commune d'Avully estime que l'analyse et la gestion des risques deviendra la finalité de toute action au détriment de l'action ou de la prestation elle-même. La commune de Collonge-Bellervie estime que ces exigences sont excessives et que le risque zéro n'existe pas au niveau de la sécurité des données. La commune de Cologny ne commente pas sa position. 7 participantes et participants n'ont pas pris position. 49 La commune de Laconnex demande toutefois comment et par qui sera déterminé le niveau « élevé » de risque. Les HUG craignent une très forte sollicitation des services des PPDT, notamment en lien avec la mise à jour de traitement toujours en cours. 3.3.6.D. Violation de la sécurité des données Enfin, l’avant-projet instaure l’obligation d’annoncer toute violation de la sécurité des données personnelles et les mesures à prendre dans un tel cas de figure. 47 Les communes de Chêne-Bougeries, Gy, Plan-les-Ouates et la Ville de Genève, les SIG, les TPG, la HES-SO Genève, le parti Socialiste, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes privées. 48 La CCPDTA, le Centre LAVI, les communes de Bernex, Chêne-Bourg, Meinier, Presinge et Vandoeuvres, l'AIG, l'HG, l'IMAD, les Vert-e-s genevois-es, l'UDC, le parti le CENTRE, SécuSIGE, la SFIDP, l'UAPG et Mme M.-F./ Lücker-Babel. 49 La BCGE, les communes de Laconnex et Soral, la CPEG, les HUG, les EPI et M. Thomas Dagonnier. 21 137/189 PL 13347 19 participantes et participants se sont déclarés tout à fait d'accord. 50 15 participantes et participants se sont déclarés plutôt d'accord. 51 La CCPDTA regrette toutefois que l'obligation d'informer la personne concernée ne s'impose que lorsque l'annonce est nécessaire à sa protection, laquelle nécessité étant de surcroît laissée à la libre appréciation du responsable de traitement. Le Centre LAVI estime pour sa part qu'il ne sera en mesure d'annoncer une éventuelle violation de la sécurité des données qu'avec l'accord des personnes concernées en raison du secret LAVI et craint ainsi des problèmes d'application en l'absence de consentement des personnes concernées. L'IMAD estime que la disposition mériterait des précisions dans le cadre du règlement d'application, en s'inspirant notamment de l'ordonnance fédérale, et que les institutions concernées devront être consultées. Elle estime notamment que la marge d'appréciation laissée au responsable de traitement quant à la nécessité de la protection est trop grande. Elle souhaiterait aussi que le délai d'annonce auprès des personnes concernées soit précisé et que l'obligation d'annonce soit également prévue pour le sous-traitant. Les Vert-e-s genevois-es estiment que la marge d'appréciation pour restreindre ou différer l'annonce est trop grande et proposent que le responsable de traitement ne puisse le faire qu'avec l'accord du PPDT. 2 participants, les TPG et le parti Socialiste, ne sont pas d'accord. Les TPG s'interrogent sur la différence sémantique entre le « secret » en droit fédéral et le « secret spécial » mentionné à l'alinéa 5. Ils estiment que le secret de fonction simple ne devrait pas pouvoir faire obstacle à l'annonce d'une violation de la sécurité des données. S'estimant soumis au RGPD de par leur activité transfrontalière, les TPG craignent que l'alinéa 5 les mette en porte à faux avec les autorités françaises. Enfin, ils relèvent que l'obligation d'annonce du droit européen est plus précise avec un délai de 72h maximum et que cela délai, bien que court, pourrait leur convenir dans l'optique d'une harmonisation. Le parti Socialiste formule les mêmes remarques que les TPG. Ils estiment en outre que les motifs d'exclusion, à savoir la possibilité de restreindre ou de différer l'information, sont trop importants et qu'il conviendrait de s'en tenir au droit européen. La commune de Cologny n'est pas du tout d'accord, mais ne commente pas sa position. 7 participantes et participants n'ont pas pris position. 52 La commune de Laconnex demande toutefois comment sera déterminé le niveau élevé de risque et par qui. 3.3.7. Proposition 7: Devoir d’informer la personne concernée et droits de la personne concernée en cas de décision individuelle automatisée 3.3.7.A. Devoir d’informer la personne concernée L’avant-projet prévoit l’obligation du responsable du traitement d’informer la personne concernée lors de la collecte de données et ses modalités, ainsi que les exceptions à cette même obligation. Le devoir d’informer renforce la transparence des traitements et, par voie de conséquence, les droits de la personne concernée. La proposition 7.A figure aux articles 38 et 38A de l’avant-projet. 50 Les communes d'Avusy, Chêne-Bourg, Chêne-Bougeries, Plan-les-Ouates, Vandoeuvres et la Ville de Genève, l'HG, les SIG, les EPI, la HES-SO Genève, l'UDC, le parti le CENTRE, SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées. 51 La CCPDTA, le Centre LAVI, les communes d'Avully, Bernex, Carouge, Collonge-Bellerive, Gy, Meinier et Veyrier, l'AIG, les HUG, l'IMAD, les Vert-e-s genevois-es, la SFIDP et Mme M.-F. Lücker-Babel. 52 La BCGE, les communes de Laconnex, Presinge et Soral, la CPEG, deux personnes privées dont M. Thomas Dagonnier. 22 PL 13347 138/189 80% des participantes et participants sont tout à fait d’accord ou plutôt d’accord avec les propositions. 16 participantes et participants se sont déclarés tout à fait d'accord. 53 19 participantes et participants se sont déclarés plutôt d'accord. 54 La CCPDTA relève un manque d'exigences relatives à l'accessibilité et à la qualité de l'information fournie aux personnes concernées, ainsi qu'à son adaptation aux capacités cognitives et numériques des destinataires. L'AIG indique qu'il ne lui apparaît pas opportun de devoir informer une deuxième fois les personnes concernées lorsqu'une entité soumise à la loi reçoit des données personnelles de la part d'un responsable de traitement qui a bien respecté son obligation d'information. L'IMAD estime qu'il serait judicieux de préciser, à l'instar du droit fédéral, l'objectif de ce devoir d'informer, soit que la personne concernée puisse faire valoir ses droits en application de la LIPAD et que la transparence des traitements soient garanties. Pour les données non collectées auprès de la personne concernée, l'IMAD s'interroge sur la signification du terme « utilisation » et relève que le droit fédéral est plus précis cet aspect. Les TPG et le parti Socialiste indiquent que le RIPAD devrait préciser les cas où l'information n'est pas possible ou « exige un effet disproportionné ». Le parti le CENTRE et Madame Lücker-Babel, rejoignant en ce sens la CCPDTA, estiment que l'information à fournir doit revêtir certaines qualités, notamment être précise, complète, aisément accessible et compréhensible, et adaptée aux capacités cognitives et numériques, mise à jour et réitéré. En outre, pour les mineurs de plus de 16 ans, l'information doit leur être remise personnellement. L'UAPG est d'avis qu'il faudrait réserver à l'art. 38A, al. 1 APL, à l'instar du droit fédéral (art. 20, al. 1, let. c nLPD), l'existence de secrets faisant obstacle à ce devoir d'information. S'agissant de la communication de données à l'étranger (al. 3), le rectorat de l'Université de Genève estime qu'il serait préférable de se calquer sur le régime fédéral (art. 19, al. 4 nLPD) et d'utiliser la même terminologie, à savoir « le nom de l'Etat ou de l'organisme international », comme d'ailleurs également utilisée à l'art. 43, al. 3, let.c APL. 4 entités, les communes Laconnex, Collonge-Bellerive et Soral ainsi que le SécuSIGE, ne sont pas d'accord avec la proposition. La commune de Laconnex estime que cette disposition est disproportionnée par rapport à l'usage administratif « très banal » des données personnelles, à caractère nullement sensible. Les deux autres communes ne commentent pas leur position. Le SécuSIGE estime que les règles sur la communication ne sont pas adaptées (à tout le moins aux institutions avec activités commerciales) et qu'une reprise du droit fédéral serait préférable. 2 communes, Avully et Cologny, ne sont pas du tout d'accord, mais ne commentent pas leur position. 3 participantes n'ont pas pris position. 55 3.3.7.B. Droits de la personne concernée en cas de décision individuelle automatisée L’avant-projet règlemente également le devoir d’informer la personne concernée en cas de décision individuelle automatisée, soit une décision entièrement prise par une machine et qui Les communes de Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les SIG, les EPI, la HES-SO Genève, l'UDC, l'UNIGE (faculté de droit), le PJ (SG) et 3 personnes privées dont M. Thomas Dagonnier. 54 La CCPDTA, le Centre LAVI, les communes d'Avusy, Bernex, Carouge, Meinier et Veyrier, l'AIG, les HUG, l'IMAD, les TPG, les Vert-e-s genevois-es, le parti Socialiste, le parti le CENTRE, la SFIDP, l'UAPG, l'UNIGE (rectorat) et deux personnes privées, dont Mme M.-F. Lücker-Babel. 55 La BCGE, la CPEG et la commune de Gy. 53 23 139/189 PL 13347 suppose un pouvoir d’appréciation de cette dernière sur la base d’une évaluation des données personnelles à sa disposition, que la machine les ait « apprises » ou qu’un être humain les ait programmées. La proposition 7.B figure à l’article 38B de l’avant-projet. 80% des participantes et participants sont tout à fait d’accord ou plutôt d’accord avec les propositions. 19 participantes et participants se sont déclarés tout à fait d'accord avec la proposition. 56 Les TPG relèvent que ce principe constitue un des socles de la protection des données dans l'optique citoyenne, face au développement des technologies basées sur l'intelligence artificielle et qu'à ce titre, il mérite d'être précisé. L'UAPG relève toutefois que contrairement à l'art. 21 al. 3 nLPD, l'art. 38B AP– LIPAD ne contient pas d'exception, et estime que l'on devrait reprendre les exceptions du droit fédéral. L'UNIGE (faculté de droit) relève que cet ajout permet de se conformer aux nouvelles législations de protection des données. Une personne privée anonyme indique qu'il ne devrait pas y avoir de décision individuelle automatisée sans un regard final humain. 16 participantes et participants se sont déclarés plutôt d'accord. 57 La CCPDT souhaiterait que la disposition cantonale précise, à l'instar de la Convention 108+ révisée : «A la demande de la personne faisait l’objet d’une décision individuelle automatisée, le responsable de traitement lui communique le raisonnement qui sous–tend le traitement des données, en particulier la logique et les critères à la base de celle–ci. ». Dans le même sens, le parti le CENTRE et Mme Lücker-Babel proposent d'ajouter que la personne concernée a le droit « d’obtenir, à sa demande, connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués ». L'IMAD est d'accord sur le principe mais estime qu'il serait judicieux de reprendre les exceptions au devoir d'information prévues à l'art. 21, al. 3 nLPD, tout en précisant que le responsable du traitement doit, dans ce cas, mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée. La HES-SO estime que les notions de « logique » et de « critères » évoquées au nouvel art 38B, al. 2, 1ère phrase, sont trop sujettes à interprétation et qu'il conviendrait de les définir davantage. Les Vert-e-s genevois-es proposent d'ajouter que le responsable de traitement informe la personne concernée des voies et délais de recours possibles. 1 entité, le Centre LAVI, n'est pas d'accord, mais ne commente pas sa position sur ce point. Concernant l'article 39 LIPAD relatif à la communication des données, il estime que cet article lui sera inapplicable en raison du secret LAVI. 1 entité, la commune d'Avully, n'est pas du tout d'accord, sans autre commentaire. 7 participantes et participants n'ont pas pris position. 58 3.3.8.Proposition 8: Modification de la norme relative aux traitements à des fins générales ne se rapportant pas à des personnes Il s’est avéré dans la pratique que le droit genevois pouvait être beaucoup plus strict que le droit fédéral en la matière, et que la procédure prévue pour les traitements de données Les communes de Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les SIG, les TPG, le parti Socialiste, l'UDC, SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et 3 personnes privées. 57 La CCPDTA, les communes d'Avusy, Bernex, Carouge, Laconnex, Meinier et Veyrier, l'AIG, les HUG, l'IMAD, les EPI, la HES-SO, les Vert-e-s genevois-es, le parti le CENTRE, la SFIDP et Mme M.-F. Lücker-Babel. 58 La BCGE, les communes de Collonge-Bellerive, Cologny, Gy et Soral, la CPEG et M. Thomas Dagonnier. 56 24 PL 13347 140/189 personnelles sensibles était beaucoup trop lourde dans un domaine où la réactivité doit être de mise. Il faut souligner que les traitements de données personnelles visés par cette proposition ne se rapportent pas à des personnes. Cette disposition a donc été entièrement remaniée, tout en prévoyant les conditions auxquelles de tels traitements peuvent être admis. La proposition 8 figure à l’article 41 de l’avant-projet. 80% des participantes et participants sont tout à fait d’accord ou plutôt d’accord avec les propositions. 23 participantes et participants se sont déclarés tout à fait d'accord. 59 L'IMAD suggère, à l'instar de ce que prévoit l'article 35 de l'ordonnance fédérale de la lois sur la protection des données personnelles, de préciser dans le RIPAD, dont le contenu révisé devra être soumis aux institutions concernées, que lorsque des données personnelles sont traitées à des fins ne se rapportant pas à des personnes (recherche, planification ou statistique) et que le traitement sert également une autre finalités, les dérogations prévues à l'article 41, alinéa 2 APL ne s'appliquent qu'au seul traitement effectué à des fins ne se rapportant pas à des personnes. 12 participantes et participants se sont déclarés plutôt d'accord. 60 Les TPG estiment qu'il aurait été souhaitable de faciliter les échanges d'informations pour les institutions soumises à la loi. Le parti Socialiste estime que la condition « indépendamment des buts pour lesquels [les données] ont été collectées » figurant à l’alinéa 1 devrait être complétée par une obligation d’informer sur ces buts dans le cadre de la publication du traitement prévu à la lettre d). Le parti le CENTRE souhaite remplacer la lettre b par « l'institution ne communique les données sensibles que sous une forme ne permettant pas d'identifier les personnes concernées » - afin que les personnes concernées ne soient jamais identifiables. 2 entités, les Vert-e-s genevois-es et le rectorat de l'Université de Genève, ne sont pas d'accord. Les Vert-e-s genevois-es estiment que les modifications apportées à l'art. 41 LIPAD sont trop larges. Ils proposent d'ajouter une lettre e) à l'alinéa 1 dont la teneur serait la suivante : « e) Lorsqu'il s'agit de données personnelles sensibles, le préposé cantonal est préalablement informé avec les précisions utiles sur le traitement qu'il est prévu de faire des données et sa nécessité ». Le rectorat de l'Université de Genève indique essentiellement que limiter la communication de données personnelles sensibles à des fins de recherche aux seules entités bénéficiant d’un statut de droit public aurait pour conséquence d’exclure toute collaboration nécessitant le partage de données sensibles ou des profils de la personnalité avec des institutions ou entités relevant du droit privé. La recherche à l’Université de Genève serait ainsi considérablement entravée. Il propose d’introduire une dérogation à l’art. 41 al. 1 let. b, qui pourrait prendre la forme d’un alinéa complémentaire formulé comme suit : «2 En dérogation à l’alinéa 1 lettre b), les entités dont la recherche scientifique fondamentale ou appliquée est une mission principale sont en droit de communiquer à des personnes privées des données sensibles sous une forme permettant d’identifier les personnes concernées si une telle communication est nécessaire à la réalisation du projet de recherche visé et accompagnée de toutes les mesures organisationnelles et techniques appropriées pour en assurer la sécurité. » Alternativement, il propose de compléter l’art. 7A LU (cf. proposition 12.B) afin d’exclure l’application de l’art. 41 al. 1 let. b. 7 participantes et participants ne se prononcent pas. 61 La CCDPA, les communes d'Avully, Avusy, Chêne-Bougeries, Chêne-Bourg, Collonge-Bellerive, Cologny, Planles-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'AIG, l'HG, l'IMAD, les SIG, la HES-SO, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et 3 personnes privées, dont Mme M.-F. Lücker-Babel. 60 Les communes de Bernex, Carouge, Gy, Laconnex, Meinier, Soral et Veyrier, les HUG, les TPG, le parti Socialiste, l'UDC et le parti le CENTRE. 59 61 La BCGE, le Centre LAVI, la CPEG, les EPI, la SFIDP et deux personnes privées, dont M. Thomas Dagonnier. 25 141/189 PL 13347 3.3.9.Proposition 9: Registre des activités de traitement en remplacement du catalogue des fichiers L’avant-projet remanie la disposition existante relative au catalogue des fichiers, notamment suite à la disparition de la notion de fichier et son remplacement par la notion de traitement. Il précise les informations que les institutions doivent fournir à l’appui des déclarations de leurs activités de traitement et celles qu’elles doivent pouvoir fournir à la préposée cantonale ou au préposé cantonal (PPDT) sur requête de ces derniers. Comme à l’heure actuelle, des exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins administratives internes, qui ne présentent manifestement pas de risques pour les droits des personnes concernées, doivent pouvoir être prévues. La proposition 9 figure à l’article 43 de l’avant-projet. 63% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec la proposition. 14 participantes et participants se sont déclarés tout à fait d'accord. 62 SécuSIGE estime que l'évolution est bienvenue et demande s'il est prévu de procéder à une refonte totale de CATFICH. 14 participantes et participants se sont déclarés plutôt d'accord. 63 Les HUG indiquent que la formulation ne permet pas de comprendre avec certitude si le traitement de données sans base légale ad hoc, mais dans le cadre de l'accomplissement de leurs tâches légales (art. 36, al. 1 APL) doit faire l'objet d'une annonce. L'IMAD indique qu'il conviendrait de rajouter un alinéa concernant le registre du sous-traitant comme prévu par la nLPD et le RGPD. Les Verte-s genevois considèrent que les institutions doivent fournir les informations demandées par le ou la préposé–e sans exception possible sous réserve de l’alinéa 4. En outre, ils estiment qu'il convient de supprimer les termes « dans la mesure du possible » figurant aux lettres a et b de l'alinéa 3. Une personne anonyme estime que les informations fournies selon l'article 43, alinéa 3 devraient être fournies d'office et non pas sur requête. Concernant les points a et b de cet alinéa, les informations devraient obligatoirement être fournies et non pas seulement « dans la mesure du possible ». Enfin, le rectorat de l'Université de Genève propose d’étendre les possibles exceptions de déclarer aux traitements visés par l’article 41, en complétant l’article 43, alinéa 4 : « Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins générales ne se rapportant pas à des personnes ou à des fins administratives internes ». 5 participantes et participant, les communes de Carouge, Laconnex, Soral, le parti le CENTRE et Mme Lücker-Babel, ne sont pas d'accord. La commune de Laconnex n'est pas d'accord avec l'alinéa 4. Elle estime que les administrations publiques communales doivent pouvoir déterminer de manière autonome, sans que cela soit tranché par l'Etat, quelles sont les activités de traitement qui sont indispensables à remplir leurs tâches administratives internes. Le parti le CENTRE et Mme Lücker-Babel estiment que les termes « dans la mesure du possible » aux lettres a et b de l'alinéa 3 constituent un réel facteur de risque. 3 participantes, la CCPDTA, les communes d'Avully et Cologny, ne sont pas du tout d'accord. La CCPDTA estime que les termes « dans la mesure du possible » ne se justifient pas car les informations doivent être transmises dans tous les cas. En outre, elle estime que 62 Les communes de Chêne-Bougeries, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les SIG, les TPG, la HES-SO, le parti Socialiste, SécuSIGE, l'UNIGE (faculté de droit), le PJ (SG) et une personne privée anonyme. Les communes d'Avusy, Bernex, Collonge-Bellerive et Meinier, l'AIG, les HUG, l'IMAD, les EPI, les Vert-e-s genevois-es, l'UDC, la SFIDP, l'UAPG, l'UNIGE (rectorat) et une personne privée anonyme. 63 26 PL 13347 142/189 les institutions doivent fournir la description « détaillée » des mesures visant à garantir la sécurité des données (art. 43, al. 3 let. b). La commune d'Avully propose de supprimer l'article 43, estimant que la tenue d'un tel registre est inutile. Ce type d'information n'est jamais à jour. Selon elle, une disposition précisant que l'institution peut être tenue de transmettre un catalogue ou un registre contenant les informations traitées suffirait. 8 participantes et participants ne se sont pas prononcés. 64 3.3.10. Proposition 10: Droit d’accès aux données personnelles, prétentions et mise en œuvre L’avant-projet reprend, en la remaniant, la notion du droit d’accès aux données personnelles déjà connue dans la LIPAD actuelle et ses modalités. On rappellera que le droit d’accès complète l’obligation d’informer du responsable du traitement ; il est la clé qui permet à la personne concernée de faire valoir les droits que lui octroie la loi. Ce droit appartient à toute personne physique ou morale de droit privé et ne dépend d’aucun intérêt particulier. Cela signifie qu’il n’y a aucune restriction liée à la nationalité, au domicile ou à l’âge, voire à la personnalité de la personne concernée ou à l’usage qu’elle compte faire de ses données. Elle n’a en outre pas à motiver sa demande. L’avant-projet de loi qui vous est soumis remanie également la disposition relative aux prétentions que peut faire valoir la personne concernée en matière d’accès aux données personnelles ainsi que la disposition qui concerne la phase non contentieuse des demandes d’accès. Désormais, les institutions statueront directement sur les prétentions de la requérante ou du requérant ; il n’y aura donc plus la phase intermédiaire de la recommandation des PPDT. Cette modification a été rendue nécessaire suite aux nouvelles compétences des PPDT (voir infra proposition 11). La proposition 10 figure aux articles 44, 45 et 49 de l’avant-projet. 77% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec les propositions. Les critiques portent principalement sur la nécessité de prévoir une communication compréhensible et adaptée aux capacités cognitives et numériques des destinataires ainsi que de reprendre en droit cantonal les exceptions prévues par le droit fédéral afin notamment d’éviter que le but du droit d’accès soit détourné. 18 participantes et participants se sont déclarés tout à fait d'accord. 65Concernant l'article 49 de l’avant-projet, l'IMAD estime que la suppression de la phase intermédiaire relative à la recommandation du PPDT et la prolongation du délai imparti au responsable de traitement pour se déterminer sont cohérents. La faculté de droit de l'UNIGE relève que les articles proposés correspondent aux nouvelles législations de protection des données. 16 participantes et participants se sont déclarés plutôt d'accord. 66 La CCPDTA remarque qu’il manque des exigences relatives à l’accessibilité et à la qualité de l’information fournie aux personnes concernées, ainsi qu’à son adaptation aux capacités cognitives et numériques des destinataires. L'AIG estime que les exceptions au droit d’accès prévues par le droit fédéral devraient être reprises dans le droit cantonal, notamment pour éviter que le but du droit d’accès soit détourné (exception prévue à l’art. 26 al. 1 lit. c nLPD). Les Vert-e-s genevois-es ont l'impression que l'article 49 est incomplet car il ne prévoirait aucune possibilité de recours à 64 La BCGE, le Centre LAVI, les communes de Chêne-Bourg, Gy et Veyrier, la CPEG et 2 personnes privées dont M. Thomas Dagonnier. 65 Les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Cologny, Plan-les-Ouates, Vandoeuvres et la Ville de Genève, l'HG, l'IMAD, les SIG, les TPG, la HES-SO Genève, le parti Socialiste, l'UDC, l'UNIGE (faculté de droit), le PJ (SG) et deux personnes privées anonymes. 66 La CCPDTA, les communes de Bernex, Carouge, Collonge-Bellerive, Gy, Meinier et Presinge, l'AIG, les HUG, les Vert-e-s genevois-es, le parti le CENTRE, la SFIDP, l'UAPG, l'UNIGE (rectorat), deux personnes privées, dont Mme M.-F. Lücker-Babel. 27 143/189 PL 13347 l'encontre de la décision en matière de protection des données, l'article 60 (objet du recours) prévoyant seulement un droit de recours pour la procédure d'accès aux documents. Ils estiment que la manière dont le PPDT peut intervenir est peu claire. Le parti le CENTRE et Mme Lücker-Babel estiment que l'article 44, alinéa 2 devrait préciser que l'information sur l'exercice de ses droits sera précise, complète, aisément accessible, compréhensible et adaptée aux capacités cognitives et numériques des destinataires (cf. l'art. 12 RGPD). Mme Lücker-Babel ajoute que les articles 44 et 47 LIPAD doivent garantir que les démarches et procédures à observer pour accéder à ses données et pour exercer ses « prétentions » seront elles aussi simples, aisément accessibles, non bureaucratiques, et adaptées aux capacités des personnes concernées. Enfin, le rectorat de l'Université de Genève ne voit pas l'utilité de notifier la décision prise au PPDT et suggère de supprimer cette notification. 3 entités, les communes de Laconnex, Soral et le SécuSIGE, ne sont pas d'accord. La commune de Laconnex estime que la mesure est excessive et devrait être réduite à une demande strictement portant les données sensibles. La commune de Soral n'est pas d'accord, mais sans commentaire. Le SécuSIGE considère que les exceptions au droit d'accès prévues par le droit fédéral devraient intégralement être reprises afin d'éviter notamment que le but du droit d'accès soit détourné (exception prévue à l'art. 26, al. 1, let. c nLPD). Il estime qu'il serait judicieux de prévoir que chaque institution institue un guichet uniquement pour les demandes faites en application des articles 44 et suivants. 1 entité, la commune d'Avully, n'est pas du tout d'accord, mais sans commentaire. 6 participantes et participants ne se sont pas prononcés. 67 3.3.11. Proposition 11: Conseillères et conseillers LIPAD et PPDT 3.3.11.A. Les conseillères et conseillers LIPAD L’avant-projet remanie les dispositions relatives aux actuels responsables LIPAD, désormais appelés conseillères et conseillers à la protection des données et à la transparence (conseillères et conseillers LIPAD). Il mentionne la fonction de conseil et de soutien de ces derniers, et le fait qu’ils doivent être associés de manière appropriée aux activités de traitement accomplies au sein de l’institution. Il adapte par ailleurs notamment les tâches que les conseillères et conseillers LIPAD sont amenés à accomplir aux nouvelles exigences en matière d’analyse d’impact et de violation de la sécurité des données. La proposition 11.A figure aux articles 50 et 51 de l’avant-projet. 80% des participantes et participants se sont déclarés tout à fait d’accord ou plutôt d’accord avec les propositions concernant la fonction de conseiller et conseillère LIPAD. Les remarques principales portent sur la nécessité de prévoir des formations continues afin d’assurer une mise à jour de leurs connaissances. Parmi les opposants, les critiques portent sur des motifs divers, à savoir les coûts engendrés pour les institutions, la lourdeur des tâches pour les petites institutions ou encore le fait que cette fonction serait inappropriée pour les entités d’une certaine importance, pour lesquelles un délégué général LIPAD serait préconisé. 17 participantes et participants se sont déclarés tout à fait d'accord. 68 L'IMAD indique que la mise en conformité à la nLPD et à la LIPAD révisée nécessite la création de plusieurs ETP dont le financement doit être garanti aux institutions concernées. Les TPG et le parti Socialiste indiquent qu'il conviendrait de préciser dans le RIPAD s'il y a des formations 67 La BCGE, le Centre LAVI, la commune de Veyrier, la CPEG, les EPI et M. Thomas Dagonnier. 68 Les communes d'Avusy, Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge et Vandoeuvres, l'IMAD, les SIG, les TPG, les Vert-e-s genevois-es, le parti Socialiste, le parti le CENTRE, l'UNIGE (faculté de droit), l'UNIGE (rectorat) et 3 personnes privées, dont M. Thomas Dagonnier. 28 PL 13347 144/189 spécifiques ou appropriées, respectivement des expériences équivalentes que les conseillers LIPAD doivent avoir pour être désignés par l'entreprise. Ils estiment qu'il faudrait également préciser que l'entreprise doit s'assurer que les connaissances soient mises à jour. En outre, les TPG relèvent que le RGPD prévoit la désignation d'un DPO (Data Protection Officer) et indiquent qu'il serait intéressant de préciser si les deux fonctions peuvent être cumulées ou non. En raison de la proximité avec la France, cette situation est plus marquée dans le canton de Genève et mérite une attention particulière. La faculté de droit de l'UNIGE relève que l'article 50 de l’avant-projet reprend un substance l'actuel 50 LIPAD, avec quelques modifications terminologiques adaptées au droit fédéral. Les responsables LIPAD sont désormais dénommés "conseillères et conseillers à la protection des données et à la transparence". 18 participantes et participants se sont déclarés plutôt d'accord. 69 La CCPDTA estime également qu'il conviendrait de préciser que les connaissances des conseillères et conseillers doivent être mises à jour dans le cadre de formations continues. Elle propose une reformulation de l'alinéa 1 en 3 alinéas: le premier alinéa concernerait le principe de la désignation, l'alinéa 2 les missions des conseillères et conseillers et l'alinéa 3 leurs formations. L'HG et le PJ relèvent une coquille à l'alinéa 3, l'instance visée à cet alinéa devant être celle de l'alinéa 2. Sur le fond, l'HG estime que la mission de concourir à l'établissement des analyses d'impact est excessive. Selon l'HG, les conseillères et conseillers LIPAD n’ont en règle générale ni le temps (ayant la plupart du temps d’autres fonctions que celle de conseiller LIPAD) ni les compétences (en informatique en particulier) pour concourir à l’établissement d’une telle étude, de sorte que le texte devrait être modifié dans le sens qu'elles ou ils offrent leur conseils et soutien dans le cadre des études d'impact. La HES-SO relève une possible contradiction entre l'article 51, al. 1 et les articles 44 et 49 APL concernant l'interlocuteur des personnes concernées et estime qu'il conviendrait de coordonner les entités compétentes. Le SécuSIGE estime qu'il faudra intégrer dans le RIPAD que l'Etat doit assurer la formation et les moyens d'informer les personnes désignées. L'UAPG est favorable aux modifications proposées pour autant que cela ne génère pas une augmentation des coûts pour l'Etat. 3 entités, le Centre LAVI, la commune de Collonge-Bellerive et la Ville de Genève, ne sont pas d'accord. Principalement, le Centre LAVI relève que les coûts engendrés devront être évalués et pris en compte dans le projet de loi, le Centre LAVI ne disposant à l’heure d’aucun budget lui permettant de répondre à ces obligations. La commune de Collonge-Bellerive considère qu'il s'agit de lourdes tâches pour les petites institutions nécessitant une formation très pointue. Quant à la Ville de Genève, elle estime que la notion de conseillère et conseiller LIPAD est inappropriée pour les entités d'une certaine importance. Pour sa part, elle souhaite continuer à disposer d'une ou d'un délégué général LIPAD. Il s'agit pour elle d'une problématique liée à l'efficacité de la mise en œuvre de ladite loi au sein de l'entité. 1 entité, la commune de Carouge, n'est pas du tout d'accord, mais sans commentaire. 5 participantes et participants ne se sont pas prononcé. 70 3.3.11.B. Les PPDT Le rôle et les pouvoirs de ces derniers sont renforcés, notamment les pouvoirs de contrôle, afin qu’ils soient comparables à ceux des autorités de contrôle des autres pays européens. Les PPDT peuvent désormais prendre des décisions contraignantes à l’égard des responsables du traitement, à l’exclusion, toutefois de sanctions administratives. 69 La CCPDTA, les communes de Bernex, Cologny, Gy, Laconnex, Meinier et Soral, l'AIG, l'HG, les HUG, les EPI, la HES-SO Genève, l'UDC, le SécuSIGE, la SFIDP, l'UAPG, le PJ (SG) et Mme M.-F. Lücker-Babel. 70 La BCGE, les communes d'Avully et Veyrier, la CPEG et une personne privée anonyme. 29 145/189 PL 13347 La proposition 11.B figure aux articles 55A, 56, 56A 56B, 56C et 56E de l’avant-projet. Bien que 68% des participantes et participants se soient déclarés tout à fait d’accord ou plutôt d’accord avec la proposition, les dispositions sur les pouvoirs des PPDT sont finalement les plus critiquées de l’avant-projet. De manière plus détaillée : 16 participantes et participants se sont déclarés tout à fait d'accord. 71 14 participantes et participants se sont déclarés plutôt d'accord. 72 6 participantes et participants ne sont pas d'accord avec la proposition. 73 Le Centre LAVI relève que pour les organisations nouvellement concernées par le volet « protection des données », les articles 50, 56A à C APL impliqueront la mise en place de compétences et procédures représentant un travail ainsi que des frais importants. Elle estime en outre qu'en raison du secret spécial LAVI un certain nombre de dispositions de la LIPAD ne lui seront pas applicables. La commune de Laconnex indique que l'avis du PPDT sur les projets d'actes législatifs doit être donné dans les meilleurs délais afin d'éviter des retards excessifs dans l'entrée en vigueur des décisions législatives communales. S'agissant de l'article 56C de l’avant-projet (mesures administratives du PPDT), elle estime que le PPDT ne peut disposer que de compétences d'émettre un avis et non pas ordonner quelque mesure que ce soit. L'IMAD relève que le renforcement des pouvoirs de contrôle du PPDT rendra complexe son rapport avec les responsables de traitement et les conseillers et conseillères LIPAD. S'agissant de l'art. 56B de l’avant-projet (Pouvoirs de contrôle du PPDT), l'IMAD indique qu'il serait judicieux de préciser que le PPDT pourra renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d'importance. 3 entités, la commune d'Avully, la CPEG et SécuSIGE, ne sont pas du tout d'accord. La commune d'Avully ne commente pas sa position. La CPEG suggère d'aligner les pouvoirs du PPDT, non sur ceux des autorités de contrôles des autres pays européens, mai sur ceux du PFPDT. Quant au SécuSIGE, il est interpellé par le nouveau rôle du PPDT qui devient un « super contrôleur » avec des prérogatives beaucoup plus larges qu'actuellement. Il rejette absolument l'article 55A concernant l'autocontrôle du PPDT. Il souhaiterait ajouter un alinéa précisant quelles sont les institutions autorisées à contrôler le PPDT. Il estime par ailleurs indispensable que l'Etat garantisse les ressources et moyens nécessaires au PPDT et propose d'ajouter un article qui imposerait à l'Etat de mettre à la disposition du PPDT les moyens techniques, financiers et humains nécessaires à sa charge et proportionnés. Il s'interroge également sur la responsabilité du PPDT en cas de violation de la sécurité des données suite à l'application de mesures imposées par ce dernier au responsable de traitement. S'agissant de l'article 56B de l’avant-projet (pouvoirs de contrôle du PPDT en matière de protection des données personnelles), il estime que l'article n'est pas clair sur le type de contrôle que le PPDT peut exercer. Il estime que les institutions devraient pouvoir lui demander par exemple d'exécuter un contrôle sur un sous-traitant spécifique. S'agissant de l'article 56C (mesures administratives du PPDT), il propose d'instituer une borne sur la cessation des activités de traitement ordonnées par le PPDT, par exemple de trois ou six mois, afin d'éviter qu'une mesure de cessation se mue en une interdiction dans les faits. Il convient également selon lui de prévoir que le PPDT confirme explicitement la prolongation de la cessation de traitement, pour éviter des blocages intempestifs. 71 La CCPDTA, les communes de Chêne-Bougeries, Chêne-Bourg, Plan-les-Ouates, Presinge, Vandoeuvres et la Ville de Genève, l'HG, les SIG, la HES-SO Genève, les Vert-e-s genevois-es, l'UNIGE (faculté de droit), l'UNIGE (rectorat), le PJ (SG) et deux personnes privées. 72 Les communes de Bernex, Carouge, Collonge-Bellerive, Cologny et Meinier, l'AIG, les HUG, les TPG, le parti Socialiste, l'UDC, la SFIDP, l'UAPG et deux personnes privées, dont Mme M.-F. Lücker-Babel. 73 Le Centre LAVI, les communes d'Avusy, Laconnex, Soral et Veyrier, ainsi que l'IMAD. 30 PL 13347 146/189 5 participantes et participants n'ont pas pris position. 74 3.3.12. Proposition 12: Modifications à d’autres lois 3.3.12.A. Modification à la loi sur la Haute école spécialisée de Suisse occidentale – Genève L’avant-projet propose de compléter la loi sur la Haute école spécialisée de Suisse occidentale – Genève en introduisant une base légale spécifique relative au traitement de données personnelles, y compris sensible, et au profilage, par cette dernière, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée, en réservant les dispositions de la loi fédérale relative à la recherche sur l’être humain et celles de la LIPAD, ainsi que celles de leurs règlementations d’application respectives. L'ajout d'une base légale spécifique a été recommandé par le préposé cantonal à la protection des données et à la transparence. La proposition 12.A figure à l’article 2, alinéa 1 souligné de l’avant-projet. 13 participantes et participants se déclarent tout à fait d'accord. 75 8 participantes et participants se déclarent plutôt d'accord, mais sans commentaire. 76 2 entités ne sont pas d'accord. La commune de Carouge ne commente pas sa position. Les TPG estiment que l'article doit laisser aussi la place à des collaborations possibles entre les écoles et les institutions. Les institutions soumises à la LIPAD devraient avoir la possibilité d'avoir accès à ces données lorsqu'il s'agit de recherche et développement ou de collaboration entre elles. Ils mentionnent leurs collaborations avec les HES et indiquent qu'il est nécessaire de laisser possible ces collaborations. La commune de Cologny n'est pas du tout d'accord avec la proposition, mais ne commente pas sa position. 20 participantes et participants n'ont pas pris position. 77 3.3.12.B. Modification à la loi sur l’Université L’avant-projet propose de compléter la loi sur l’Université en introduisant une base légale spécifique relative au traitement de données personnelles, y compris sensible, et au profilage, par cette dernière, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée, en réservant les dispositions de la loi fédérale relative à la recherche sur l’être humain et celles de la LIPAD, ainsi que celles de leurs règlementations d’application respectives. L'ajout d'une base légale spécifique a été recommandé par le préposé cantonal à la protection des données et à la transparence. La proposition 12.B figure à l’article 2, alinéa 2 souligné de l’avant-projet. 74 La BCGE, les EPI, la commune de Gy, le parti le CENTRE et M. Thomas Dagonnier. 75 La CCPDTA, les communes d'Avusy, Plan-les-Ouates, Presinge et la Ville de Genève, les SIG, la HES-SO Genève, les Vert-e-s genevois-es, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et une personne privée. 76 Les communes d'Avully et Chêne-Bourg, les HUG, le parti Socialiste, l'UDC, la SFIDP, l'UNIGE (rectorat) et une personne privée. 77 La BCGE, le Centre LAVI, les communes de Bernex, Chêne-Bougeries, Collonge-Bellerive, Gy, Laconnex, Meinier, Soral, Vandoeuvres et Veyrier, la CPEG, l'AIG, l'HG, l'IMAD, les EPI, le parti le CENTRE et 3 personnes privées dont M. Thomas Dagonnier et Mme Lücker-Babel. 31 147/189 PL 13347 13 participantes et participants se sont déclarés tout à fait d'accord. 78 8 participantes et participants se sont déclarés plutôt d'accord. 79 Le rectorat de l'Université de Genève émet toutefois une réserve importante. Il estime indispensable de préciser que l'article 41, alinéa 1, lettre b de l’avant-projet ne s'applique à l'UNIGE. En effet, le rectorat indique que ses partenaires académiques, de même que les hôpitaux ou les laboratoires spécialisés avec lesquels l'UNIGE collabore n'ont pas nécessairement un statut de droit public mais relève parfois du droit privé. Il estime que limiter la communication de données personnelles sensibles à des fins de recherche (cf. art. 41 APL) aux seules entités bénéficiant d'un statut de droit public aurait pour conséquence d'exclure toute collaboration avec des institutions ou entités de droit privé. Il estime que la recherche à l'UNIGE serait ainsi considérablement entravée. Alternativement à la modification de la loi sur l’université pour y ajouter la non application de l'article 41, alinéa 1, lettre b aux activités de recherches de l'UNIGE, le rectorat propose de modifier l'article 41 de l’avant-projet. Enfin, il indique qu'il est nécessaire de bénéficier du même cadre légal pour l'enseignement et propose aussi de modifier l'alinéa 1 en ce sens par une nouvelle proposition entièrement rédigée. 2 entités ne sont pas d'accord avec la proposition. La commune de Carouge ne commente toutefois pas sa position. Quant aux TPG, ils réaffirment que l'article doit laisser aussi la place à des collaborations possibles entre les écoles et les institutions. Les institutions soumises à la LIPAD devraient avoir la possibilité d'avoir accès à ces données lorsqu'il s'agit de recherche et développement ou de collaboration entre elles. Ils mentionnent leurs collaborations avec l'UNIGE et indiquent qu'il est nécessaire de laisser possible ces collaborations. Une seule entité, la commune de Cologny, n'est pas du tout d'accord mais ne commente pas sa position. 20 participantes et participants n'ont pas pris position. 80 3.3.12.C. Modification à la loi sur les établissements publics médicaux L’avant-projet propose de compléter la loi sur les établissements publics médicaux (LEPM) en introduisant une base légale spécifique relative au traitement de données personnelles, y compris sensible, et au profilage, par les HUG, dans la mesure nécessaire à la réalisation de leur mission de recherche scientifique fondamentale et clinique, en réservant les dispositions de la loi fédérale relative à la recherche sur l’être humain, celles de la LIPAD et celles de leurs règlementations d’application respectives. Cet ajout se justifie par le fait que le PPDT a recommandé l’introduction d’une telle base légale pour la HES-SO et l’Université et que la LEPM ne contient pas, à ce jour, de disposition spécifique dans ce cadre. La proposition 12.C figure à l’article 2, alinéa 4 souligné de l’avant-projet. 14 participantes et participants se sont déclarés tout à fait d'accord. 81 78 La CCPDTA, les communes d'Avusy, Plan-les-Ouates, Presinge et la Ville de Genève, les SIG, la HES-SO Genève, les Vert-e-s genevois-es, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et une personne privée. 79 Les communes d'Avully et Chêne-Bourg, les HUG, le parti Socialiste, l'UDC, la SFIDP, l'UNIGE (rectorat) et une personne privée. 80 La BCGE, le Centre LAVI, les communes de Bernex, Chêne-Bougeries, Collonge-Bellerive, Gy, Laconnex, Meinier, Soral, Vandoeuvres et Veyrier, la CPEG, l'AIG, l'HG, l'IMAD, les EPI, le parti le CENTRE, 3 personnes privées, dont Mme M.-F. Lücker-Babel et M. Thomas Dagonnier. 81 La CCPDTA, les communes d'Avusy, Plan-les-Ouates, Presinge, Vandoeuvres et la commune de Genève, les SIG, la HES-SO Genève, les Vert-e-s genevois-es, le SécuSIGE, l'UAPG, l'UNIGE (faculté de droit), le PJ (SG) et une personne privée. 32 PL 13347 148/189 9 participantes et participants se sont déclarés plutôt d'accord. 82 Les HUG se posent la question de savoir s'il ne conviendrait pas de prévoir le pendant de cette base légale pour les missions de soins et d'enseignement des HUG. L'IMAD estime que l'article 41 de l’avant-projet s'appliquerait à ses activités de recherches, notamment par son unité de recherche et développement. 3 entités ne sont pas d'accord avec la proposition. Les communes de Carouge et Cologny ne sont pas d'accord, mais ne commentent pas leur position. Les TPG émettent la même réserve que celle qu'ils ont faite pour la modification de la LHES-SO Genève et celle de la LU ci-dessus, soit que l'article laisse la possibilité pour les institutions soumises à la LIPAD de se communiquer des données dans le cadre de collaboration entre elles. Ils mentionnent en particulier leur collaboration avec les HUG concernant la réalité virtuelle. Aucune entité ou personne privée ne s'est déclarée pas du tout d'accord avec la proposition. Et 18 participantes et participants n'ont pas pris position. 83 3.3.13. Remarques générales de certaines participantes et certains participants Une remarque finale et générale de l'archiviste de l'IMAD porte les exceptions aux articles 8 et 9 de la convention 208+ révisée réservées par l'article 11 §2 de ladite convention et la loi sur les archives cantonales (LArch). Elle suggère d'ajouter un article dans la LIPAD pour clarifier cet aspect. Une personne privée, Thomas Dagonnier estime que l'accès aux documents et données électroniques pourrait être amélioré, notamment en précisant l'article 24, alinéa 2 LIPAD pour que l'accès comprenne « la consultation sur place des documents et l'obtention de copies », mais tout en laissant le choix du format de la copie (papier ou électronique). Il suggère également de modifier l'article 25, alinéa 3 LIPAD qu'il estime trop restrictif car ne permettrait pas selon lui de demander accès à une vidéo conservée uniquement électroniquement. Enfin sa dernière remarque concerne les notions de brouillions et de documents inachevés qui devraient à son sens être adaptées pour n'exclure que les documents sur lesquels une personne travaille. 4. Consultation des documents Conformément au principe de transparence, le dossier soumis à consultation (soit l'avantprojet de loi; le tableau comparatif; la liste des entités consultées) et, après expiration du délai de consultation, les avis exprimés par les participantes et participants à la consultation, ainsi que le présent rapport rendant compte des résultats de la consultation sont rendus publics. Ces documents sont publiés sous forme électronique sur le site Internet de l'Etat de Genève. 5. Annexes Sont annexés au présent rapport, le tableau Excel des prises de positions intégrales des différentes entités et personnes ayant répondu à la consultation, ainsi que la détermination de l’ACG du 4 mai 2023 accompagnée de son tableau comparatif. *** 82 Les communes d'Avully et Chêne-Bourg, les HUG, l'IMAD, le parti Socialiste, l'UDC, la SFIDP, l'UNIGE (rectorat) et une personne privée. 83 La BCGE, le Centre LAVI, les communes de Bernex, Chêne-Bougeries, Collonge-Bellerive, Gy, Laconnex, Meinier, Soral et Veyrier, la CPEG, l'AIG, l'HG, les EPI, le parti le CENTRE et 3 personnes privées, dont Mme M.F. Lücker-Babel et M. Thomas Dagonnier. 33 149/189 PL 13347 ANNEXE 5 PL 13347 150/189 151/189 PL 13347 PL 13347 152/189 153/189 PL 13347 PL 13347 154/189 155/189 PL 13347 PL 13347 156/189 2 1 Champ d’application Elle s’applique également, sous réserve des alinéas 4 et 5 : a) aux personnes morales et autres organismes de droit privé sur lesquels une ou plusieurs des institutions visées à l’alinéa 1 exercent une maîtrise effective par le biais, alternativement : 1° d’une participation majoritaire à leur capital social, 2° d’un subventionnement à hauteur d’un montant égal ou supérieur à 50% de leur budget de fonctionnement, mais au minimum de 50 000 francs, La présente loi s’applique aux institutions publiques suivantes (ci-après : institutions publiques), sous réserve des alinéas 3 et 5 : a) les pouvoirs exécutif, législatif et judiciaire cantonaux, ainsi que leurs administrations et les commissions qui en dépendent; b) les communes, ainsi que leurs administrations et les commissions qui en dépendent; c) les institutions, établissements et corporations de droit public cantonaux et communaux, ainsi que leurs administrations et les commissions qui en dépendent; d) les groupements formés d’institutions visées aux lettres a à c. Art. 3 Teneur actuelle e) les groupements formés d'institutions visées aux lettres a, b et d. c) la Cour des comptes; La présente loi s’applique aux institutions publiques suivantes (ci-après : institutions publiques), sous réserve des alinéas 3 et 5 : 1 Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les lettres d et e), lettre e (nouvelle teneur), al. 6 (nouveau) Art. 1 Modifications La loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001 (LIPAD – A 2 08), est modifiée comme suit : Projet de modification Projet de loi modifiant la loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD – A 2 08) Tableau comparatif 157/189 PL 13347 ANNEXE 6 Définitions Dans la présente loi et ses règlements d’application, on entend par : a) données personnelles (ou données), toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable; b) données personnelles sensibles, les données personnelles sur : 1° les opinions ou activités religieuses, philosophiques, politiques, syndicales ou culturelles, 2° la santé, la sphère intime ou l'appartenance ethnique, 3° des mesures d'aide sociale, 4° des poursuites ou sanctions pénales ou administratives; Art. 4 3° de la délégation en leur sein de représentants en position d’exercer un rôle décisif sur la formation de leur volonté ou la marche de leurs affaires; b) aux personnes physiques ou morales et organismes chargés de remplir des tâches de droit public cantonal ou communal, dans les limites de l’accomplissement desdites tâches. 3 Le traitement de données personnelles par les institutions publiques n'est pas soumis à la présente loi lorsqu'il : a) se limite à la prise de notes à usage personnel; b) est effectué par le Conseil supérieur de la magistrature, les juridictions et les autres autorités judiciaires en application des lois de procédure pénale, civile, administrative ou d'entraide judiciaire ou d'autres lois régissant leurs activités, aux fins de trancher les causes dont ils sont ou ont été saisis ou de remplir les tâches de surveillance dont ils sont ou ont été investis, sous réserve de l’article 39, alinéa 3; c) intervient dans le cadre des débats du Conseil d'Etat, du Grand Conseil, des commissions parlementaires, des exécutifs communaux, des conseils municipaux et des commissions des conseils municipaux. 4 Le traitement de données personnelles par une personne physique et morale de droit privé n’est pas non plus soumis à la présente loi. 5 Le droit fédéral est réservé. b) données personnelles sensibles, les données personnelles sur : 1° les opinions ou activités religieuses, philosophiques, politiques ou syndicales, 2° la santé, la sphère intime ou l’origine raciale ou ethnique, 3° des mesures d'aide sociale, 4° des poursuites ou sanctions pénales ou administratives. 5° les données génétiques, Dans la présente loi et ses règlements d’application, on entend par : Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i ancienne devenant la lettre n) Le traitement de données personnelles effectué par la Banque cantonale de Genève n’est pas soumis à la présente loi. 6 PL 13347 158/189 h) organe, tout membre ou tout mandataire d'une institution visée à l’article 3 et assumant, pour le compte de celle-ci, la diffusion active des informations prévue à l’article 18, le traitement des demandes d’accès aux documents régies par la présente loi, ou celui de données personnelles; i) numéro d’identification personnel commun, le numéro commun à deux ou plusieurs institutions constitué d’une suite de chiffres, comprenant cas échéant des lettres et signes, qui est destiné à identifier des personnes physiques ou morales recensées auprès de ces institutions. e) traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données; f) communication, le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant; g) personne concernée, la personne physique ou morale au sujet de laquelle des données sont traitées; d) fichier, tout système destiné à réunir, sur quelque support que ce soit, des données personnelles d’un segment de population déterminé, et structuré de manière à permettre de relier les informations recensées aux personnes qu’elles concernent; c) profil de la personnalité, un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique; j) violation de la sécurité des données personnelles, toute atteinte à la sécurité des données personnelles entraînant de manière accidentelle ou illicite leur perte, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces dernières; k) anonymisation, traitement de données personnelles consistant à supprimer définitivement toutes les données identifiantes ou tout moyen de retrouver les données originales; i) sécurité des données personnelles, ensemble des mesures organisationnelles et techniques permettant d’assurer la confidentialité, et l’intégrité des données personnelles; g) responsable du traitement, institution publique au sens de l’article 3 qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles; h) sous-traitant, institution publique, organisme ou personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement; f) personne concernée, la personne physique ou morale au sujet de laquelle des données personnelles sont traitées; 6° les données biométriques identifiant une personne physique de façon unique; c) profilage, toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects d'une personne, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements; d) traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, l’enregistrement, la conservation, l’utilisation, l’extraction, la consultation, la modification, la communication, le rapprochement ou l’interconnexion, la limitation, l’effacement, la destruction ou l’archivage; e) communication, le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant; 159/189 PL 13347 Art. 26 Exceptions 1 Les documents à la communication desquels un intérêt public ou privé prépondérant s’oppose sont soustraits au droit d’accès institué par la présente loi. 2 Tel est le cas, notamment, lorsque l’accès aux documents est propre à : a) mettre en péril la sécurité de l’Etat, la sécurité publique, les relations internationales de la Suisse ou les relations confédérales; b) mettre en péril les intérêts patrimoniaux légitimes ou les droits immatériels d’une institution; 2 Tel est le cas, notamment, lorsque l’accès aux documents est propre à : Art. 26, al. 2 lettre d (nouvelle teneur) Art. 20A Cour des comptes (nouveau) 1 La Cour des comptes informe sur ses activités, notamment par le biais de la publication de ses rapports et d’autres documents qu’elle considère d’intérêt public. Dans ce cadre, elle veille à la protection du secret professionnel, de fonction, fiscal, ou d’affaires des personnes entendues et de tout autre secret prévu par la loi. 2 Sans préjudice de l’application des lois régissant ses activités, la Cour des comptes ne peut donner d’informations susceptibles de permettre l’identification de l’auteure ou de l’auteur d’une communication ou d’une personne qu’elle a entendue. 3 Elle veille au respect des règles professionnelles prohibant la transmission d’informations ou la transmission de documents en matière d’audit, d’évaluation ou de révision. 4 Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la divulgation de certaines informations. Art. 13A Huis clos (nouveau) Les délibérations et autres séances de la Cour des comptes se tiennent à huis clos. Section 4A Cour des comptes (nouvelle) du chapitre I du titre II m) décision individuelle automatisée, toute décision prise exclusivement sur la base d’un traitement automatisé de données, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative. PL 13347 160/189 4 Les institutions et les tiers dont l’article 26 vise à protéger les intérêts doivent être consultés avant qu’une suite favorable ne soit donnée à une demande d’accès susceptible de compromettre ces intérêts, et un bref délai leur être imparti pour faire part de leur éventuelle opposition à la communication du document. Art. 28 Procédure d’accès aux documents 1 La demande d’accès n’est en principe soumise à aucune exigence de forme. Elle n’a pas à être motivée, mais elle doit contenir des indications suffisantes pour permettre l’identification du document recherché. En cas de besoin, l’institution peut demander qu’elle soit formulée par écrit. 2 L’institution traite rapidement les demandes d’accès. 3 En cas de doute sur la réalisation d'une des exceptions prévues à l'article 26, la personne qui est saisie de la demande d'accès doit en référer au responsable désigné conformément aux mesures d'organisation et de procédure prévues à l'article 50. c) entraver notablement le processus décisionnel ou la position de négociation d’une institution; d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes prévues par la loi; e) rendre inopérantes les restrictions au droit d’accès à des dossiers qu’apportent les lois régissant les procédures judiciaires et administratives; f) rendre inopérantes les restrictions légales à la communication de données personnelles à des tiers; g) porter atteinte à la sphère privée ou familiale; h) révéler des informations sur l’état de santé d’une personne; i) révéler des informations couvertes par des secrets professionnels, de fabrication ou d’affaires, le secret fiscal, le secret bancaire ou le secret statistique; j) révéler d’autres faits dont la communication donnerait à des tiers un avantage indu, notamment en mettant un concurrent en possession d’informations auxquelles il n’aurait pas accès dans le cours ordinaire des choses; k) révéler l’objet ou le résultat de recherches scientifiques en cours ou en voie de publication; l) révéler des délibérations et votes intervenus à huis clos ou compromettre les intérêts ayant justifié le huis clos d’une séance. 3 En cas de doute sur la réalisation d'une des exceptions prévues à l'article 26, la personne qui est saisie de la demande d'accès doit en référer à la conseillère ou au conseiller à la protection des données et à la transparence désigné conformément aux mesures d'organisation et de procédure prévues à l'article 50. Art. 28, al. 3 (nouvelle teneur) d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes ou d’investigations prévues par la loi; 161/189 PL 13347 3 Le préposé cantonal recueille de manière informelle l’avis des institutions et personnes concernées. La consultation sur place des documents faisant l’objet d’une requête de médiation ne peut lui être refusée, à charge pour lui de veiller à leur absolue confidentialité et de prendre, à l’égard tant des parties à la procédure de médiation que des tiers et du public, toutes mesures nécessaires au maintien de cette confidentialité aussi longtemps que l’accès à ces documents n’a pas été accordé par une décision ou un jugement définitifs et exécutoires. 4 Les institutions et les tiers dont l’article 26 vise à protéger les intérêts doivent être consultés avant qu’une suite favorable ne soit donnée à une demande d’accès susceptible de compromettre ces intérêts, et un bref délai leur être imparti pour faire part de leur éventuelle opposition à la communication du document. 5 A défaut, le préposé cantonal formule, à l’adresse du requérant ainsi que de l’institution ou des institutions concernées, une recommandation écrite sur la Art. 30 Procédure de médiation ou de préavis 1 Le préposé cantonal est saisi par une requête écrite de médiation sommairement motivée, à l’initiative : a) d’un requérant dont la demande d’accès à un document n’est pas satisfaite; b) d’une institution ou d’un tiers opposé à une communication de documents susceptible de compromettre des intérêts protégés. 2 Le délai pour saisir le préposé cantonal est de 10 jours à compter de la confirmation écrite de l’intention de l’institution prévue à l’article 28, alinéas 5 et 6. Si une institution tarde à se déterminer sur une demande d’accès à un document, le requérant ou l’opposant à la demande d’accès peuvent saisir le préposé cantonal. 6 Lorsqu’une institution entend rejeter une demande d’accès, elle en informe le requérant en lui indiquant qu’il peut saisir le préposé cantonal. Elle lui confirme son intention par écrit en indiquant le délai figurant à l’article 30, alinéa 2. 7 La consultation sur place d’un document est gratuite. La remise d’une copie intervient contre paiement d’un émolument. Dans les limites fixées par le Conseil d’Etat, la remise d’une copie d’un document se prêtant à une commercialisation peut intervenir au prix du marché. 5 Lorsqu’une institution entend donner accès à un document nonobstant l’opposition d’une autre institution ou d’un tiers, elle leur indique qu’ils peuvent saisir le préposé cantonal préalablement à toute communication. Elle confirme son intention par écrit en indiquant le délai figurant à l’article 30, alinéa 2, et en informe le préposé cantonal. A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse de la requérante ou du requérant ainsi que de l’institution ou des institutions concernées, une recommandation écrite sur la communication du document considéré. 5 Art. 30, al. 5 (nouvelle teneur) PL 13347 162/189 La procédure de médiation est gratuite. Art. 33 Principe 1 Les institutions ont le droit d’obtenir des éditeurs de produits de presse périodiques édités ou diffusés dans le canton la rectification de toute présentation de faits ayant trait à l’accomplissement de leurs tâches publiques lorsque l’inexactitude ou l’omission qui l’affecte est propre à induire en erreur les destinataires de la publication. 2 Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa 2. 3 La rectification consiste dans la publication gratuite dans le média considéré, à bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et clair soumis par l’organe compétent, dans des conditions d’insertion et de Art. 31 Droit à l’information 1 Les médias et les journalistes indépendants appelés à suivre régulièrement les affaires genevoises peuvent demander à recevoir à titre régulier et gratuit les documents faisant l’objet de délibérations publiques devant le Grand Conseil et les conseils municipaux ainsi que les informations mentionnées au chapitre II du titre II, dans la mesure où ces documents et informations ne sont pas rendus accessibles à un large public par le recours aux technologies modernes de diffusion de l’information. 2 Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à l’article 50, alinéa 2, pour les affaires respectives des institutions visées par cette disposition. 3 Les institutions, compte tenu de leurs ressources, offrent aux médias et aux journalistes les facilités nécessaires à l’accomplissement de leur travail d’information, dans le respect du principe de l’égalité de traitement et dans les limites imposées par des contraintes objectives. 4 La publicité d’une séance n’implique le droit pour les journalistes d’y effectuer des prises de vues et de sons et de la retransmettre que dans la mesure où le déroulement des débats ne s’en trouve pas perturbé et sous réserve des directives décrétées par l’institution considérée pour sauvegarder des intérêts légitimes prépondérants. 6 communication du document considéré. L’institution concernée rend alors dans les 10 jours une décision sur la communication du document considéré. 2 Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa 3. 3 La rectification consiste dans la publication gratuite dans le média considéré, à bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et Art. 33, al. 2 et 3 (nouvelle teneur) 2 Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à l’article 50, alinéa 3, pour les affaires respectives des institutions visées par cette disposition. Art. 31, al. 2 (nouvelle teneur) L’institution concernée rend alors dans les 10 jours une décision sur la communication du document considéré. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal. 163/189 PL 13347 Art. 36 4 Qualités des données personnelles Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. Demeure réservée l’utilisation du numéro AVS pour l’accomplissement de tâches prévues par des législations ayant entre elles un lien matériel étroit impliquant une application coordonnée. 3 L’article 41 est réservé. Les institutions publiques ne peuvent traiter des données personnelles que si, et dans la mesure où, l'accomplissement de leurs tâches légales le rend nécessaire. 2 Des données personnelles sensibles ou des profils de la personnalité ne peuvent être traités que si une loi définit clairement la tâche considérée et si le traitement en question est absolument indispensable à l'accomplissement de cette tâche ou s’il est nécessaire et intervient avec le consentement explicite, libre et éclairé de la personne concernée. 1 Art. 36 Base légale (nouvelle teneur avec modification de la note) 3 Finalité et reconnaissabilité Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités. Conservation, destruction, effacement et anonymisation 4 Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi. Sur décision de l’institution publique concernée, la destruction de données personnelles peut être différée durant 2 ans au maximum à des fins d’évaluation de politiques publiques. Exactitude 5 Quiconque traite des données personnelles doit s’assurer qu’elles sont exactes et prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données personnelles inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées. 6 Lorsqu’une institution publique constate que des données personnelles qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1, ou d’une autre base légale, sont inexactes, incomplètes ou obsolètes, elle en informe l’institution concernée, à moins que cette information ne soit contraire à une loi ou un règlement. Art. 35 Principes (nouvelle teneur avec modification de la note) Licéité 1 Tout traitement de données personnelles doit être licite. Bonne foi et proportionnalité 2 Il doit être conforme aux principes de la bonne foi et de la proportionnalité. Art. 35 Base légale clair soumis par l’institution compétente, dans des conditions d’insertion et de présentation comparables à celles ayant entouré la présentation des faits en question. La publication comporte la précision que le texte rectificatif émane de l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou non de sa présentation des faits et de l’indication de ses sources. présentation comparables à celles ayant entouré la présentation des faits en question. La publication comporte la précision que le texte rectificatif émane de l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou non de sa présentation des faits et de l’indication de ses sources. PL 13347 164/189 Les institutions publiques veillent, lors de tout traitement de données personnelles, à ce que ces dernières soient : a) pertinentes et nécessaires à l'accomplissement de leurs tâches légales; b) exactes et si nécessaire mises à jour et complétées, autant que les circonstances permettent de l’exiger. 2 Lorsqu’une institution publique constate que des données personnelles qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1, sont inexactes, incomplètes ou obsolètes, elle en informe cette dernière, à moins que cette information ne soit contraire à une loi ou à un règlement. 1 Art. 36A Consentement (nouveau) 1 En dérogation à l’article 36, les institutions publiques peuvent traiter des données personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, si la personne concernée a consenti au traitement en l'espèce. Le responsable du traitement doit être en mesure de démontrer l’existence d’un tel consentement. 2 La personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. Le consentement doit être exprès en cas de traitement de données personnelles sensibles, de traitement de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, ou de profilage. 3 Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre effective du retrait du consentement peut toutefois requérir un délai raisonnable pour des raisons techniques. 4 Dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, les institutions publiques peuvent traiter des 2 Les traitements de données personnelles sensibles, les activités de profilage et les traitements de données personnelles dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée ne peuvent avoir lieu que si : a) une loi au sens formel le prévoit expressément; ou b) le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel. 3 L’article 36A est réservé. 4 Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. L'usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946. Les institutions publiques ne peuvent traiter des données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire. 1 165/189 PL 13347 Art. 36C Sous-traitance (nouveau) 1 Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu’un contrat ou la loi le prévoie et que les conditions suivantes soient réunies : a) seuls sont effectués les traitements que le responsable du traitement est en droit de réaliser ; b) aucune obligation légale ou contractuelle de garder le secret ne l’interdit. 2 La sous-traitance de données personnelles fait l’objet d’un contrat de droit privé ou public en la forme écrite, prévoyant pour chaque étape du traitement le respect des prescriptions de la présente loi et du règlement d'application de la loi sur l'information du public, l'accès aux documents et la protection des données personnelle, du 21 décembre 2011, ainsi que la possibilité d’effectuer des audits sur le site du sous-traitant, ou, à défaut, d'obtenir les résultats d'audits de tiers indépendants, respectivement de participer sans frais à l'élaboration de ces audits. Les cas où la loi prévoit en détail les modalités de la sous-traitance sont réservés. 3 Le contrat prévoit spécifiquement que le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données. 4 Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en cascade) n’est possible qu’avec l’accord préalable écrit du responsable du traitement et moyennant le respect, à chaque niveau de substitution, de toutes les prescriptions du présent article. Art. 36B Traitement conjoint (nouveau) Lorsque deux institutions publiques ou plus déterminent conjointement les finalités et les moyens du traitement de données personnelles, elles sont responsables conjointes du traitement et doivent définir de manière transparente leurs obligations respectives dans la déclaration au sens de l’article 43. données personnelles si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. 5 Les institutions publiques peuvent également traiter des données personnelles, y compris sensibles ou dont les finalités ou les modalités de traitement sont susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée, et procéder à du profilage, en dérogation à l’article 36, si la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement. PL 13347 166/189 Les mesures organisationnelles et techniques doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées. 3 Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement. Art. 37B Analyse d’impact (nouveau) Art. 37A Sécurité des données personnelles (nouvelle teneur) 1 Les institutions publiques doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. 2 Les mesures doivent permettre d’éviter la violation de la sécurité des données personnelles. 3 Le Conseil d’Etat détermine, par voie réglementaire, les exigences minimales en matière de sécurité des données personnelles. 4 Les institutions publiques sont tenues de contrôler périodiquement le respect des mesures de sécurité mises en place au sens du présent article. 2 Les institutions publiques prennent, par le biais de directives ainsi que de clauses statutaires ou contractuelles appropriées, les mesures nécessaires pour assurer la disponibilité, l’intégrité et la confidentialité des données personnelles qu’elles traitent ou font traiter. 3 Les institutions publiques sont tenues de contrôler le respect des directives et clauses visées à l’alinéa 2. S’il implique l’exploitation de ressources informatiques et le traitement de données personnelles, ce contrôle doit s’exercer conformément à des procédures spécifiques que les instances mentionnées à l’article 50, alinéa 2, doivent adopter à cette fin, après consultation du préposé cantonal. 2 1 Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données personnelles, en particulier les principes fixés à l’article 35. Il le fait dès la conception du traitement. Art. 37 Protection des données personnelles dès la conception et par défaut (nouveau, l’art. 37 ancien devenant l’art. 37A) 1 Sécurité des données personnelles Les données personnelles doivent être protégées contre tout traitement illicite par des mesures organisationnelles et techniques appropriées. Art. 37 Le responsable du traitement demeure responsable des données personnelles qu’il fait traiter au même titre que s’il les traitait lui-même. 6 S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est possible que si l’Etat concerné dispose d’une législation assurant un niveau de protection adéquat conformément à la liste établie par le Conseil fédéral. 5 167/189 PL 13347 Lorsqu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune. 2 L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants : a) traitements de données personnelles sensibles à grande échelle ; b) profilage; c) surveillance systématique de grandes parties du domaine public. 3 L’analyse d’impact contient notamment : a) une description du traitement envisagé ; b) une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée ; ainsi que c) les mesures prévues pour protéger la personnalité et les droits fondamentaux de la personne concernée. 4 Lorsque l'analyse d'impact est requise selon l'alinéa 1 du présent article, elle est jointe au projet d'acte législatif pour avis de la préposée cantonale ou du préposé cantonal au sens de l'article 56A, alinéa 2, lettre e, de la présente loi. 5 Lorsque l'analyse d'impact requise à l'alinéa 1 du présent article n’est pas liée à un projet d'acte législatif, elle est soumise à la préposée cantonale ou au préposé cantonal pour avis avant le début du traitement. Art. 37C Violation de la sécurité des données personnelles (nouveau) 1 Lorsqu’il constate une violation de la sécurité des données personnelles, le responsable du traitement prend immédiatement les mesures appropriées afin de mettre fin à la violation et d’en minimiser les effets, et en informe immédiatement sa conseillère ou son conseiller à la protection des données et à la transparence au sens de l’article 50. 2 Le responsable du traitement consigne dans un document interne la nature de la violation, le type de données personnelles concernées et les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier. 3 Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son conseiller à 1 PL 13347 168/189 Lors de la collecte, le responsable du traitement communique à la personne concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie; il lui communique au moins les éléments suivants : a) le responsable du traitement; b) la finalité du traitement; c) le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données personnelles sont transmises; d) les catégories de données personnelles traitées. 3 Lorsque des données personnelles sont communiquées à l’étranger, le responsable du traitement communique également à la personne concernée le nom de la corporation ou de l’établissement de droit public auquel elles sont communiquées Les institutions publiques doivent pouvoir indiquer la source des données qu’elles détiennent. 3 2 2 Sont réservés les cas dans lesquels le caractère reconnaissable de la collecte compromettrait l'engagement, le déroulement ou l'aboutissement d'enquêtes menées légalement sur le respect de conditions ou d'obligations légales. 1 Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles la concernant, que cette collecte soit effectuée auprès d’elle ou non. Art. 38 Devoir d’informer lors de la collecte de données personnelles (nouvelle teneur avec modification de la note) 1 Collecte La collecte de données personnelles doit être faite de manière reconnaissable pour la personne concernée. Art. 38 la protection des données et à la transparence, les cas de violation de la sécurité des données personnelles entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. 4 Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données personnelles. 5 Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé cantonal l’exige. 6 Il peut restreindre l’information de la personne concernée, la différer ou y renoncer, dans les cas suivants : a) les intérêts prépondérants d’un tiers l’exigent; b) un intérêt public prépondérant l’exige, en particulier la sécurité intérieure ou l’ordre public; c) un devoir légal de garder un secret l’interdit; d) la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative; e) l’information est impossible à fournir ou exige des efforts disproportionnés; f) l’information de la personne concernée peut être garantie de manière équivalente par une communication publique. 169/189 PL 13347 Art. 39 Communication Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur) Art. 38B Droits de la personne concernée en cas de décision individuelle automatisée (nouveau) 1 Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative. 2 A la demande de la personne faisant l’objet d’une décision individuelle automatisée, le responsable du traitement lui communique la logique et les critères à la base de celle-ci. Cette demande ne suspend pas le délai visé à l’alinéa 3. 3 Toute personne faisant l’objet d’une décision individuelle automatisée peut former une réclamation, dans les 30 jours à compter de sa notification, auprès de son auteure ou auteur. 4 La décision sur réclamation ne peut pas être rendue de manière automatisée. 5 Les dispositions de la législation spéciale qui prévoient déjà une procédure de réclamation sont réservées. Art. 38A Exceptions au devoir d’informer lors de la collecte de données personnelles (nouveau) 1 Le responsable du traitement est délié du devoir d’information au sens de l’article 38 si l’une des conditions suivantes est remplie : a) la personne concernée dispose déjà des informations au sens de l’article 38; b) le traitement des données personnelles est prévu par la loi; c) l’information n’est pas possible ou exige un effort disproportionné. 2 Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si un intérêt public ou privé prépondérant le justifie, en particulier dans les cas prévus à l’article 46. et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7. 4 Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui communique les informations mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication. PL 13347 170/189 A une autre institution publique soumise à la loi Sans préjudice, le cas échéant, de son devoir de renseigner les instances hiérarchiques supérieures dont elle dépend, une institution publique ne peut communiquer des données personnelles en son sein ou à une autre institution publique que si, cumulativement : a) l’institution requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait aux exigences prévues aux articles 35 à 38B; L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. L'organe requis est tenu de s’assurer du respect des conditions posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer le responsable sous la surveillance duquel il est placé, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. 4 A une corporation ou un établissement de droit public suisse non soumis à la loi La communication de données personnelles à une corporation ou un établissement de droit public suisse non soumis à la présente loi n'est possible que si, cumulativement : a) l’entité requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait à des exigences légales assurant un niveau de protection adéquat de ces données; b) la communication des données considérées n’est pas contraire à une loi ou un règlement. 5 L’organe requis est tenu de s’assurer du respect des conditions posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en informer le responsable sous la surveillance duquel il est placé, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. S’il y a lieu, il assortit la communication de charges et conditions. 3 Les institutions publiques communiquent aux autorités judiciaires les données personnelles que celles-ci sollicitent aux fins de trancher les causes dont elles sont saisies ou de remplir les tâches de surveillance dont elles sont investies, sauf si le secret de fonction ou un autre secret protégé par la loi s’y oppose. 2 L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. S’il y a lieu, elle assortit la communication de charges et conditions. 5 2 1 A une autre institution publique soumise à la loi Sans préjudice, le cas échéant, de son devoir de renseigner les instances hiérarchiques supérieures dont elle dépend, une institution publique ne peut communiquer des données personnelles en son sein ou à une autre institution publique que si, cumulativement : a) l’institution requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait aux exigences prévues aux articles 35 à 38; b) la communication des données considérées n’est pas contraire à une loi ou un règlement. 1 171/189 PL 13347 A une corporation ou un établissement de droit public étranger La communication de données personnelles à une corporation ou un établissement de droit public étranger n’est possible que si, cumulativement : a) l’entité requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait à des exigences légales assurant un niveau de protection de ces données équivalant aux garanties offertes par la présente loi; b) la communication des données considérées n’est pas contraire à une loi ou un règlement. 7 En l’absence du niveau de protection des données requis par l’alinéa précédent, la communication n'est possible que si elle n’est pas contraire à une loi ou un règlement et si, alternativement : a) elle intervient avec le consentement explicite, libre et éclairé de la personne concernée ou dans son intérêt manifeste; b) elle est dictée par un intérêt public important manifestement prépondérant reconnu par l’organe requis et que l’entité requérante fournit des garanties fiables suffisantes quant au respect des droits fondamentaux de la personne concernée; c) le droit fédéral ou un traité international le prévoit. 9 A une tierce personne de droit privé La communication de données personnelles à une tierce personne de droit privé n’est possible, alternativement, que si : a) une loi ou un règlement le prévoit explicitement; b) un intérêt privé digne de protection du requérant le justifie sans qu’un intérêt prépondérant des personnes concernées ne s’y oppose. 10 Dans les cas visés à l’alinéa 9, lettre b, l’organe requis est tenu de consulter les personnes concernées avant toute communication, à moins que cela n’implique un travail disproportionné. A défaut d’avoir pu recueillir cette détermination, ou en cas d’opposition d’une personne consultée, l’organe requis sollicite le préavis du préposé cantonal. La communication peut être assortie de charges et conditions, notamment pour garantir un niveau de protection adéquat des données. 8 L’organe requis est tenu de consulter le préposé cantonal avant toute communication. S’il y a lieu, il assortit la communication de charges ou conditions. 6 10 Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est tenue de consulter les personnes concernées avant toute communication, à moins que cela n’implique un travail disproportionné. A défaut d’avoir pu recueillir cette détermination, ou en cas d’opposition d’une personne consultée, l’institution publique requise sollicite le préavis de la préposée cantonale ou du préposé cantonal. La communication peut être assortie de charges et conditions, notamment pour garantir un niveau de protection adéquat des données. 8 L’institution publique requise est tenue de consulter la préposée cantonale ou le préposé cantonal avant toute communication. S’il y a lieu, elle assortit la communication de charges ou conditions. En l’absence du niveau de protection des données requis par l’alinéa 6, la communication n'est possible que si elle n’est pas contraire à une loi ou un règlement et si, alternativement : a) elle intervient avec le consentement exprès, libre et éclairé de la personne concernée ou dans son intérêt manifeste; b) elle est dictée par un intérêt public important manifestement prépondérant reconnu par l’institution publique requise et que l’entité requérante fournit des garanties fiables suffisantes quant au respect des droits fondamentaux de la personne concernée; 7 PL 13347 172/189 c) les données collectées à ces seules fins ne soient communiquées à aucune autre institution, entité ou personne; d) les résultats de ce traitement ne soient le cas échéant publiés que sous une forme excluant la possibilité d'identifier les personnes concernées; e) le préposé cantonal en soit préalablement informé avec les précisions utiles sur le traitement qu’il est prévu de faire des données personnelles et sa nécessité; f) le traitement portant sur des données personnelles sensibles ou impliquant l’établissement de profils de la personnalité fasse préalablement l’objet b) ces données soient détruites ou rendues anonymes dès que le but du traitement spécifique visé le permet; Dans le cadre de l'accomplissement de leurs tâches légales, les institutions publiques sont en droit de traiter des données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d'évaluation de politiques publiques, pour leur propre compte ou celui d’une autre institution publique en ayant la mission légale, aux conditions cumulatives que : a) le traitement de données personnelles soit nécessaire à ces fins; 1 a) les données personnelles sont rendues anonymes dès que la finalité du traitement le permet; b) l'institution publique ne communique les données personnelles sensibles à des personnes privées que sous une forme ne permettant pas d'identifier les personnes concernées; c) le destinataire ne communique les données personnelles à des tiers qu'avec le consentement de l'institution qui les lui a transmises; d) les résultats du traitement sont publiés sous une forme ne permettant pas d'identifier les personnes concernées. Les institutions publiques soumises à la présente loi sont en droit de traiter des données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d’évaluation de politiques publiques, indépendamment des buts pour lesquels elles ont été collectées, si les conditions suivantes sont réunies: Art. 41 Traitement à des fins générales ne se rapportant pas à des personnes (nouvelle teneur avec modification de la note) Art. 41 1 Art. 40 (abrogé) Art. 40 Destruction 1 Les institutions publiques détruisent ou rendent anonymes les données personnelles dont elles n'ont plus besoin pour accomplir leurs tâches légales, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi. 2 Sur décision de l'instance dirigeante de l'institution publique concernée, la destruction de données personnelles peut être différée durant deux ans au maximum à des fins d'évaluation de politiques publiques. Ces données sont dès lors soustraites à communication, sauf si elles sont accessibles au regard de la loi sur les archives publiques, du 1er décembre 2000, ou du titre II de la présente loi. Traitement à des fins générales 11 Outre aux parties, l'institution publique requise communique sa décision aux personnes consultées ainsi qu’à la préposée cantonale ou au préposé cantonal. 11 Outre aux parties, l'organe requis communique sa décision aux personnes consultées. 12 L’accès de proches aux données de personnes décédées est régi par l’article 48. 173/189 PL 13347 Art. 42 Vidéosurveillance 1 Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches au sens de l’article 35, la création et l’exploitation d’un système de vidéosurveillance ne sont licites que si, cumulativement : a) la vidéosurveillance est propre et nécessaire à garantir la sécurité des personnes et des biens se trouvant dans ou à proximité immédiate de lieux publics ou affectés à l’activité d’institutions publiques, en prévenant la commission d’agressions ou de déprédations et en contribuant à l’établissement des infractions commises le cas échéant; b) l’existence d’un système de vidéosurveillance est signalée de manière adéquate au public et au personnel des institutions; c) le champ de la surveillance est limité au périmètre nécessaire à l’accomplissement de celle-ci; d) dans l’accomplissement de leurs activités à leur poste de travail, les membres du personnel des institutions publiques n’entrent pas dans le champ de vision des caméras ou, à défaut, sont rendus d’emblée non identifiables par un procédé technique approprié. 2 L’éventuel enregistrement de données résultant de la surveillance doit être détruit en principe dans un délai de 7 jours. Ce délai peut être porté à 3 mois en cas d’atteinte avérée aux personnes ou aux biens et, en cas d’ouverture d’une information pénale, jusqu’à l’issue de la procédure. 3 Les responsables des institutions prennent les mesures organisationnelles et techniques appropriées afin de : a) limiter le visionnement des données, enregistrées ou non, à un cercle restreint de personnes dûment autorisées, dont la liste doit être régulièrement tenue à jour et communiquée au préposé cantonal; b) garantir la sécurité des installations de surveillance et des données éventuellement enregistrées. 4 En dérogation à l’article 39, la communication à des tiers de données obtenues au moyen d’un système de vidéosurveillance ne peut avoir lieu que s’il s’agit de renseigner : d’une autorisation du Conseil d’Etat, qui doit requérir le préavis du préposé cantonal et assortir au besoin sa décision de charges ou conditions. 2 Les compétences et les règles de fonctionnement de la Cour des comptes sont réservées, de même que celles de l’office cantonal de la statistique. Les articles 35, alinéa 3, 36, alinéa 2, et 39 ne sont pas applicables. Art. 42, al. 1, phrase introductive (nouvelle teneur) Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches au sens de l’article 36, la création et l’exploitation d’un système de vidéosurveillance ne sont licites que si, cumulativement : 1 2 PL 13347 174/189 Catalogue des fichiers Principes Le catalogue des fichiers est public et rendu facilement accessible. Art. 44 3 2 Les fichiers éphémères ne recensant ni données personnelles sensibles ni profils de la personnalité sont exemptés de l’enregistrement au catalogue des fichiers. 1 Le préposé cantonal dresse et tient à jour un catalogue des fichiers des institutions publiques, comportant les précisions utiles sur les informations traitées, la base légale de leur traitement, leur état de validité ou la fréquence de leur mise à jour et de leur épuration, et leur accessibilité. Art. 43 a) les instances hiérarchiques supérieures dont l’institution dépend; b) les autorités judiciaires, soit aux conditions de l’article 39, alinéa 3, soit aux fins de dénoncer une infraction pénale dont la vidéosurveillance aurait révélé la commission. Art. 44 (nouvelle teneur) 2 Les institutions publiques déclarent leurs activités de traitement à la préposée cantonale ou au préposé cantonal, en fournissant au moins les indications suivantes : a) le responsable du traitement; b) la dénomination, la base légale et la finalité du traitement; c) une description des catégories des personnes concernées et des catégories des données personnelles traitées; d) les catégories des destinataires; e) le cas échéant, l’identité et les coordonnées des autres responsables du traitement et la répartition des responsabilités. 3 Les institutions publiques fournissent également les indications suivantes à la préposée cantonale ou au préposé cantonal, sur requête de ces derniers : a) dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation; b) dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données personnelles selon l’article 37A; c) en cas de communication de données personnelles à l’étranger, le nom de la corporation ou de l’établissement de droit public étranger destinataire et, le cas échéant, l'application d'une des exceptions prévues à l’article 39, alinéa 7 ; d) le cas échéant, l’identité et les coordonnées des sous-traitants. 4 Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins administratives internes qui ne présentent manifestement pas de risques pour les droits des personnes concernées. Art. 43 Registre des activités de traitement (nouvelle teneur avec modification de la note) 1 La préposée cantonale ou le préposé cantonal dresse et tient à jour un registre public des activités de traitement des institutions publiques. Elle ou il le rend facilement accessible. 175/189 PL 13347 Toute personne physique ou morale de droit privé justifiant de son identité peut demander par écrit aux responsables désignés en vertu de l’article 50, alinéa 1, si des données la concernant sont traitées par des organes placés sous leur responsabilité. 2 Sous réserve de l'article 46, le responsable doit lui communiquer : a) toutes les données la concernant contenues dans un fichier, y compris les informations disponibles sur l’origine des données; b) sur demande, les informations relatives au fichier considéré contenues dans le catalogue des fichiers. Art. 47, al. 2, lettres a , d et e (nouvelle teneur) Art. 47 Prétentions Art. 45 (nouvelle teneur) 1 La personne qui fait valoir son droit d’accès doit justifier de son identité. 2 Les renseignements sont, en règle générale, fournis par écrit sur un support physique ou électronique. En accord avec le responsable du traitement, la personne concernée peut également consulter ses données personnelles sur place. 3 Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil d’Etat peut prévoir des exceptions, notamment si la communication de l’information implique un travail disproportionné. 4 A moins que des circonstances exceptionnelles le justifient, les renseignements sont fournis dans un délai de 30 jours. Toute personne physique ou morale de droit privé peut demander par écrit au responsable du traitement, en s’adressant à sa conseillère ou à son conseiller à la protection des données et à la transparence au sens de l’article 50, si des données personnelles la concernant sont traitées. 2 La personne concernée reçoit les informations nécessaires à la mise en œuvre de ses droits en matière de protection des données personnelles. A sa demande, elle reçoit notamment les informations suivantes : a) le responsable du traitement; b) les données personnelles traitées; c) la finalité du traitement; d) la durée de conservation des données personnelles, ou, si cela n’est pas possible, les critères pour fixer cette dernière; e) les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée; f) le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que l'application d'une des exceptions prévues à l’article 39, alinéa 7. 3 L’institution publique qui fait traiter des données personnelles par un sous-traitant demeure tenue de communiquer les données personnelles et de fournir les informations demandées. 4 Nul ne peut renoncer par avance à son droit d’accès. 1 Art. 45 Modalités La communication de ces données et informations doit être faite sous une forme intelligible et, en règle générale, par écrit et gratuitement. 3 La satisfaction d’une demande impliquant un travail disproportionné peut être subordonnée au paiement préalable d’un émolument. 1 PL 13347 176/189 3 S’il fait intégralement droit aux prétentions du requérant, il l’en informe. 1 Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au responsable chargé de la surveillance de l’organe dont relève le traitement considéré. 2 Le responsable saisi traite la requête avec célérité. S’il y a lieu, il la transmet au responsable compétent au regard des procédures adoptées au sein de son institution en application de l’article 50. Art. 49 Phases non contentieuses Toute personne physique ou morale de droit privé peut, à propos des données la concernant, exiger des institutions publiques qu’elles : a) s’abstiennent de procéder à un traitement illicite; b) mettent fin à un traitement illicite et en suppriment les effets; c) constatent le caractère illicite du traitement; d) s’abstiennent de les communiquer à des personnes de droit privé à des fins d’exploitation commerciale. 2 Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles : a) détruisent celles qui ne sont pas pertinentes ou nécessaires; b) rectifient, complètent ou mettent à jour celles qui sont respectivement inexactes, incomplètes ou dépassées; c) fassent figurer, en regard de celles dont ni l’exactitude ni l’inexactitude ne peuvent être prouvées, une mention appropriée, à transmettre également lors de leur communication éventuelle; d) s'abstiennent de communiquer celles qui ne répondent pas aux exigences de qualité visées à l'article 36; e) publient leur décision prise suite à sa requête ou la communiquent aux institutions publiques ou tiers ayant reçu de leur part des données ne répondant pas aux exigences de qualité visées à l'article 36. 3 Les prétentions en dommages-intérêts et en indemnité pour tort moral fondées sur la loi sur la responsabilité de l’Etat et des communes, du 24 février 1989, sont réservées. 1 3 L’institution concernée statue par voie de décision dans les 30 jours sur les prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal. 2 Le responsable du traitement saisi traite la requête avec célérité. S’il y a lieu, il la transmet à la conseillère ou au conseiller à la protection des données et à la transparence compétent au regard des procédures adoptées au sein de son institution en application de l’article 50. 1 Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au responsable du traitement dont relève le traitement considéré. Art. 49 (nouvelle teneur) Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles : a) effacent ou détruisent celles qui ne sont pas nécessaires ; d) s’abstiennent de communiquer celles qui ne répondent pas aux exigences de qualité visées à l’article 35 ; e) publient leur décision prise suite à sa requête ou la communiquent aux institutions ou tiers ayant reçu de leur part des données ne répondant pas aux exigences de qualité visées à l'article 35; 2 177/189 PL 13347 2 Les mesures d'organisation générales et les procédures visées à l'alinéa 1 sont adoptées, après consultation du préposé cantonal, par les instances suivantes : a) le bureau du Grand Conseil pour le pouvoir législatif cantonal, les commissions parlementaires, les services administratifs et les commissions qui dépendent du pouvoir législatif; b) le Conseil d’Etat pour le pouvoir exécutif cantonal, l’administration cantonale et les commissions qui en dépendent, ainsi que pour les groupements d’institutions visés à l’article 3, alinéa 1, lettre d; c) la présidence du conseil supérieur de la magistrature pour ce conseil; d) la commission de gestion du pouvoir judiciaire pour elle-même, les juridictions et autres autorités judiciaires, ainsi que pour les services administratifs et les commissions non juridictionnelles qui dépendent du pouvoir judiciaire; e) les bureaux ou, à défaut, les présidents des conseils municipaux pour les conseils municipaux et les commissions des conseils municipaux, sauf délégation à l’exécutif communal; f) les exécutifs communaux pour les autres institutions communales, leurs administrations et les commissions qui en dépendent; 1 Des responsables ayant une formation appropriée et les compétences utiles doivent être désignés et des procédures adéquates être mises en place au sein des institutions publiques, pour y garantir une correcte application de la présente loi. Art. 50 Responsables et procédures S’il n’entend pas faire droit intégralement aux prétentions du requérant ou en cas de doute sur le bien-fondé de celles-ci, il transmet la requête au préposé cantonal avec ses observations et les pièces utiles. 5 Le préposé cantonal instruit la requête de manière informelle, puis il formule, à l’adresse de l’institution concernée et du requérant, une recommandation écrite sur la suite à donner à la requête. 6 L’institution concernée statue alors par voie de décision dans les 10 jours sur les prétentions du requérant. Elle notifie aussi sa décision au préposé cantonal. 4 2 Plusieurs institutions publiques peuvent désigner ensemble une conseillère ou un conseiller LIPAD. Art. 50 Conseillères et conseillers à la protection des données et à la transparence et procédures (nouvelle teneur de la note), al. 1 (nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens devenant les al. 3 à 6), al. 3, phrase introductive (nouvelle teneur), lettre e (nouvelle, les lettres e à i anciennes devenant les lettres f à j), al. 4 et 6 (nouvelle teneur) 1 Des conseillères et conseillers à la protection des données et à la transparence (ciaprès : conseillères et conseillers LIPAD) ayant une formation appropriée et les compétences utiles sont désignés et des procédures sont mises en place au sein des institutions publiques, pour y garantir une correcte application de la présente loi. PL 13347 178/189 La liste des responsables désignés en application de l’alinéa 1 est publique. a) de toute création de fichier; b) de toute requête de communication et de toute intention de destruction de données personnelles, à moins que ces opérations ne soient prévues explicitement par une loi, un règlement ou une décision du Conseil d'Etat; c) de toute information ou consultation qu’ils adressent directement au préposé cantonal. 2 Les responsables désignés détiennent, à l'égard des organes placés sous leur surveillance, la compétence : Art. 51 Compétences 1 Les organes informent le responsable sous la surveillance duquel ils sont placés notamment : 5 g) les instances directrices supérieures des établissements et corporations de droit public cantonaux et communaux, pour ces institutions, leurs administrations et les commissions qui en dépendent; h) les instances directrices supérieures des personnes morales et autres organismes de droit privé visés à l’article 3, alinéa 2, lettre a, pour ces institutions; i) les institutions visées à l’article 3, alinéa 2, lettre b, pour les activités relevant de l’accomplissement des tâches de droit public cantonal ou communal qui leur sont confiées. 3 Sur préavis du préposé cantonal, le Conseil d'Etat prescrit par substitution les mesures d'organisation générales et les procédures nécessaires à une correcte application du titre III de la présente loi, si une instance visée à l'alinéa 2, lettres e à i, n'en adopte pas en temps utile après avoir été mise en demeure de le faire. 4 Les institutions adoptent des systèmes adéquats de classement des informations qu’elles diffusent ainsi que des documents qu’elles détiennent, afin d’en faciliter la recherche et l’accès. Elles et ils ont une fonction de conseil et de soutien et sont associés de manière appropriée aux activités de traitement accomplies au sein de l’institution publique. 2 Art. 51 (nouvelle teneur) 1 Les conseillères et conseillers LIPAD sont les interlocutrices et interlocuteurs privilégiés des personnes concernées et de la préposée cantonale ou du préposé cantonal pour tout ce qui a trait au traitement des données personnelles et à la transparence de l'institution qui les a désignés. La liste des conseillères et conseillers LIPAD désignés en application du présent article est publique. 6 Les mesures d'organisation générales et les procédures visées à l'alinéa 1 sont adoptées, après consultation de la préposée cantonale ou du préposé cantonal, par les instances suivantes : e) la Cour des comptes pour elle-même; 4 Le Conseil d’Etat prescrit par substitution les mesures et les procédures nécessaires à une correcte application du titre III de la présente loi, si une instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après avoir été mise en demeure de le faire. 3 179/189 PL 13347 Art. 52 Coordination Afin de garantir une application coordonnée des principes applicables en matière d’information relative aux activités des institutions et de ceux régissant la a) d'exiger d'eux tous renseignements utiles sur le traitement des données personnelles ou celui des demandes d’accès aux documents régies par la présente loi, qu'ils effectuent ou sont appelés à effectuer; b) de leur donner les instructions utiles sur le traitement des données personnelles nécessaires à l'accomplissement de leurs tâches légales ou des demandes d’accès aux documents; c) de prendre par voie d'évocation les décisions d'application de la présente loi entrant ordinairement dans leur sphère de compétence. 3 Les responsables désignés répertorient les fichiers existants au sein des institutions dont les organes sont placés sous leur responsabilité, avec les précisions utiles mentionnées à l’article 43, alinéa 1. Ils en communiquent la liste ainsi détaillée au préposé cantonal ainsi que ses mises à jour régulières, aux fins d'enregistrement dans le catalogue des fichiers. Ils consignent dans un procèsverbal les interventions qu'ils sont amenés à effectuer en vertu de l'alinéa 2. Art. 52, al. 2 et 3 (nouveaux) Elles et ils accomplissent en particulier les tâches suivantes : a) donner aux membres de l’institution publique les instructions utiles sur le traitement des données personnelles nécessaires à l’accomplissement de leurs tâches légales ou des demandes d’accès aux documents; b) concourir à l’établissement de l’analyse d’impact relative à la protection des données; c) communiquer à la préposée cantonale ou au préposé cantonal les activités de traitement des institutions publiques au sens de l’article 43, ainsi que leurs mises à jour régulières; d) annoncer à la préposée cantonale ou au préposé cantonal les violations de la sécurité des données personnelles qui leur ont été communiquées par le responsable du traitement. 4 Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de l’institution à laquelle elles ou ils appartiennent, la compétence : a) d’exiger d’eux tous renseignements utiles sur le traitement des données personnelles ou celui des demandes d’accès aux documents régies par la présente loi, qu’ils effectuent ou sont appelés à effectuer; b) de prendre par voie d’évocation les décisions d’application de la présente loi entrant ordinairement dans leur sphère de compétence. 5 Les membres des institutions publiques informent leur conseillère ou conseiller LIPAD, notamment : a) de tout nouveau traitement de données personnelles; b) de toute requête de communication et de toute intention de destruction de données personnelles, à moins que ces opérations ne soient prévues explicitement par une loi, un règlement ou une décision du Conseil d'Etat; c) de toute information ou consultation qu’ils adressent directement à la préposée cantonale ou au préposé cantonal. 3 PL 13347 180/189 Le préposé cantonal surveille l’application de la présente loi. Compétences 2 En matière d’information du public et d’accès aux documents Il est chargé, en application du titre II de la présente loi : a) de traiter les requêtes de médiation relatives à l’accès aux documents; b) d’informer d’office ou sur demande sur les modalités d’accès aux documents; c) de centraliser les normes et directives que les institutions édictent pour assurer l’application de l’article 50; d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la mise en œuvre de la présente loi; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de transparence. En matière de protection des données personnelles 3 Il est chargé, en vertu du titre III de la présente loi : a) d’émettre les préavis et formuler les recommandations requis en vertu de la présente loi; b) de collecter et centraliser les avis et informations que les organes des institutions publiques ou les responsables désignés au sein de ces dernières doivent lui fournir, et, s'il y a lieu, de prendre position dans l'exercice de ses compétences; 1 Art. 56 protection des données personnelles, il est institué la fonction de préposé cantonal à la protection des données et à la transparence. 2 Elle ou il est chargé, en application du titre II de la présente loi : a) de traiter les requêtes de médiation relatives à l’accès aux documents; b) d’informer d’office ou sur demande sur les modalités d’accès aux documents; c) de centraliser les normes et directives que les institutions édictent pour assurer l’application de l’article 50; d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la mise en œuvre de la présente loi; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de transparence. Art. 56 Compétences de la préposée cantonale ou du préposé cantonal en matière d’information du public et d’accès aux documents (nouvelle teneur avec modification de la note) 1 La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière d’information du public et d’accès aux documents. Art. 55A Autocontrôle (nouveau) La préposée cantonale ou le préposé cantonal s'assure, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application en son sein des dispositions de la présente loi. La préposée cantonale ou le préposé cantonal se concerte avec l'archiviste d’Etat lorsque l’application de la présente loi implique celle de la loi sur les archives publiques, du 1er décembre 2000. 3 Elle ou il entretient des contacts réguliers avec la commission consultative. 2 181/189 PL 13347 c) de conseiller les instances compétentes des institutions publiques sur les mesures d'organisation et les procédures à prescrire en leur sein; d) d’assister les responsables désignés au sein des institutions publiques dans l'accomplissement de leurs tâches; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles; f) de dresser, mettre à jour et rendre accessible au public le catalogue des fichiers des institutions publiques; g) de dresser, mettre à jour et rendre accessible au public la liste des responsables désignés au sein des institutions publiques; h) de renseigner d'office ou sur demande les personnes concernées sur leurs droits; i) d’exercer le droit de recours et de participation aux procédures prévu à l’alinéa 5 et à l'article 62, ainsi que dans les autres cas prévus dans la loi. 4 Le préposé cantonal peut exiger des responsables désignés au sein des institutions publiques tous renseignements utiles sur le traitement des données qui y est effectué. Il a le droit d’accéder aux fichiers qu’elles tiennent et aux données personnelles qu’elles traitent, sauf disposition légale contraire. 5 S’il constate la violation de prescriptions sur la protection des données, il recommande au responsable compétent d’y remédier à bref délai. Si la recommandation est rejetée ou n’est pas suivie, il peut porter l’affaire, pour prise de position, auprès des instances mentionnées à l’article 50, alinéa 2, puis recourir contre la prise de position de ladite instance, laquelle est assimilée à une décision au sens de l’article 4 de la loi sur la procédure administrative, du 12 septembre 1985. Coordination 6 Le préposé cantonal se concerte avec l'archiviste d’Etat lorsque l’application de la présente loi implique celle de la loi sur les archives publiques, du 1er décembre 2000. 7 Il entretient des contacts réguliers avec la commission consultative. Art. 56A Compétences de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau) 1 La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière de protection des données personnelles, notamment en procédant à des contrôles auprès des institutions publiques. 2 Elle ou il a la charge, en vertu du titre III de la présente loi : PL 13347 182/189 Art. 56B Pouvoirs de contrôle de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau) 1 La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur dénonciation, un contrôle auprès d’une institution publique ou d’un sous-traitant, afin de vérifier qu’ils respectent les dispositions de protection des données personnelles. Elle ou il décide librement des contrôles qu’elle ou il opère et de la suite à donner à une dénonciation. 2 La préposée cantonale ou le préposé cantonal peut notamment demander des renseignements, exiger la production de documents, procéder à des inspections et se faire présenter des traitements de données. Elle ou il peut recourir, au besoin, à des expertes et experts dans les domaines techniques. 3 Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au préposé cantonal. Les autres secrets institués par la loi sont réservés. 4 Si la personne concernée est à l’origine de la dénonciation, la préposée cantonale ou le préposé cantonal l’informe des suites données à celle-ci. a) d’émettre les préavis requis en vertu de la présente loi; b) de collecter et de centraliser les avis et informations que les institutions publiques, ou leurs conseillères et conseillers LIPAD, doivent lui fournir, et, s'il y a lieu, de prendre position dans l'exercice de ses compétences; c) de conseiller les instances compétentes des institutions publiques sur les mesures d'organisation et les procédures à prescrire en leur sein; d) d’assister les conseillères et conseillers LIPAD dans l'accomplissement de leurs tâches; e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles; f) de dresser, de mettre à jour et de rendre accessible au public le registre des activités de traitement des institutions publiques; g) de dresser, de mettre à jour et de rendre accessible au public la liste des conseillères et conseillers LIPAD désignés au sein des institutions publiques; h) de renseigner d'office ou sur demande les personnes concernées sur leurs droits; i) d’exercer le droit de recours prévu à l'article 62, ainsi que dans les autres cas prévus dans la loi. 183/189 PL 13347 Art. 56D Procédure (nouveau) Art. 56C Mesures administratives de la préposée cantonale ou du préposé cantonal (nouveau) 1 Si des dispositions de protection des données ne sont pas respectées, la préposée cantonale ou le préposé cantonal peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction de tout ou partie des données personnelles. 2 Elle ou il peut suspendre ou interdire la communication de données personnelles à l’étranger si elle est contraire aux conditions de l’article 39 ou à des dispositions d’autres lois cantonales concernant la communication de données personnelles à l’étranger. 3 Elle ou il peut notamment ordonner à l’institution publique : a) de se conformer à son devoir d'informer lors de la collecte des données personnelles (art. 38); b) de répondre de manière appropriée à la demande de la personne concernée qui exerce ses droits en vertu de la présente loi, notamment son droit d'accès, son droit de rectification ou son droit d'opposition; c) de lui fournir les informations prévues en matière de communications transfrontières de données personnelles (art. 38, al. 3); d) de déclarer un traitement de données personnelles au registre des activités de traitement (art. 43); e) de prendre des mesures organisationnelles et techniques en matière de protection des données personnelles (art. 37A); f) de prendre des mesures de protection des données personnelles dès la conception et par défaut (art. 37); g) de procéder à une analyse d'impact relative à la protection des données personnelles ou de la compléter (art. 37B); h) de lui transmettre les informations pertinentes en lien avec une violation de la sécurité des données personnelles (art. 37C); i) d’informer les personnes concernées à la suite d'une violation de la sécurité des données personnelles (art. 37C); j) de désigner une conseillère ou un conseiller LIPAD (art. 50). 4 Si une institution publique ne donne pas suite à l’ordre de la préposée cantonale ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale ou le préposé cantonal peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures nécessaires. PL 13347 184/189 La procédure est régie par la loi sur la procédure administrative, du 12 septembre 1985. 2 L’institution publique visée par une décision de la préposée cantonale ou du préposé cantonal a qualité pour recourir contre celle-ci. Art. 59, lettre a (nouvelle teneur) La commission consultative a pour attributions : a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de donner son avis sur tout objet touchant aux domaines de la protection des données, de la transparence et de l’archivage; Art. 68, al. 8 (nouveau) Art. 59 Attributions La commission consultative a pour attributions : a) sur requête des instances visées à l’article 50, alinéa 2, d’étudier et donner son avis sur tout objet touchant aux domaines de la protection des données, de la transparence et de l’archivage; b) d’encourager une politique dynamique et coordonnée en matière de protection des données, de transparence et d’archives; c) de donner son préavis avant toute destruction d’archives historiques; d) de prendre position sur le rapport annuel du Conseil d’Etat sur l’application de la législation relative aux archives publiques; e) de prendre position sur le rapport annuel du préposé cantonal. Art. 68 Dispositions transitoires 1 Les institutions disposent d’un délai de 2 ans à compter de l’entrée en vigueur de la présente loi pour adopter et mettre en œuvre des systèmes de classement de l’information et des documents qu’elles détiennent qui soient adaptés aux exigences de la présente loi. 2 Sous réserve d’exceptions définies par les organes désignés à l’article 50, alinéa 2, il n’est pas obligatoire que ces systèmes de classement concernent aussi les informations et documents antérieurs à leur mise en œuvre. Art. 56E Collaboration entre les autorités cantonales, fédérales et étrangères chargées de la protection des données (nouveau) 1 Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé cantonal doit collaborer avec les autorités cantonales, fédérales et étrangères chargées de la protection des données personnelles. 2 La communication de données personnelles dans le cadre de l’entraide administrative est accordée lorsque les conditions fixées par l’article 39 sont remplies. 1 185/189 PL 13347 Sans préjudice de l’application de l’article 26, alinéa 5, un émolument peut être perçu pour la recherche d’informations ou de documents ne devant pas être répertoriés obligatoirement dans les systèmes de classement prévus par la présente loi. 4 Le pouvoir judiciaire dispose d’un délai de 2 ans à compter de l’entrée en vigueur de la présente loi pour adopter et mettre en œuvre les mesures de publication des arrêts et décisions des juridictions, du conseil supérieur de la magistrature et des autres autorités judiciaires prévues à l’article 20, alinéas 4 et 5. Il n’est pas obligatoire que ces mesures s’appliquent aussi aux arrêts et décisions antérieurs à leur mise en œuvre. Modifications du 9 octobre 2008 5 Les institutions publiques disposent d’un délai de 2 ans à compter de l’entrée en vigueur de la loi 9870, du 9 octobre 2008, pour répertorier leurs fichiers et en communiquer la liste au préposé cantonal avec les mentions requises par l’article 43, alinéa 1. Modifications du 20 septembre 2013 6 En dérogation à l’article 53, alinéa 1, la première période de fonction du préposé cantonal et du préposé adjoint après l’entrée en vigueur de la loi 11036, du 20 septembre 2013, s’étendra du 1er janvier 2014 au 30 juin 2018. Modification du 27 avril 2018 7 En dérogation à l’article 53, alinéa 1, la deuxième période de fonction du préposé cantonal et du préposé adjoint après l’entrée en vigueur de la loi 11036, du 20 septembre 2013, est prolongée jusqu'au 30 novembre 2023. 3 Modifications à d’autres lois Art. 1 (nouvelle teneur) La présente loi a pour but d’instituer les numéros d’identification personnels communs au sens de l’article 4, lettre n, de la loi sur l’information du public, l’accès 1 La loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit : Art. 2 Modifications du … (à compléter) Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté avant l’entrée en vigueur de la loi … (à compléter), du … (à compléter), pour autant que les finalités du traitement restent inchangées et que de nouvelles données personnelles ne soient pas collectées. 8 PL 13347 186/189 Art. 2D Traitement de données personnelles (nouveau) 1 L'employeur traite les données personnelles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, dans la mesure nécessaire à la réalisation des tâches qui lui sont assignées par la présente loi. 2 L’employeur peut traiter des données personnelles sensibles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, notamment pour : a) déterminer les effectifs nécessaires ; b) recruter du personnel afin de garantir les effectifs nécessaires ; c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi que, pendant les rapports de travail, pour déterminer la capacité de travail ; d) gérer le traitement et les diverses prestations alloués aux membres du personnel, établir les dossiers du personnel et gérer les communications adressées aux assurances sociales ; e) promouvoir le développement professionnel des membres du personnel; f) mettre en place et optimiser les conditions de travail pour prévenir les maladies et accidents professionnels du personnel et veiller à préserver sa santé ; g) assurer une planification, un pilotage et un contrôle au moyen d'analyses de données, de comparaisons, de rapports et de plans de mesures ; h) gérer des actes de procédure ou des décisions d’autorités concernant les rapports de travail. 3 Lors de recrutements, l’employeur peut, avec l’accord de la personne candidate, lui faire passer des tests de personnalité ou utiliser le profilage. Les résultats de ces tests ou du profilage doivent être détruits dans un délai de 12 mois. 4 L’employeur peut traiter les données visées à l’alinéa 1 dans un système d’information. 5 Les modalités relatives au traitement des données sont fixées par règlement. 2 La loi générale relative au personnel de l'administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, du 4 décembre 1997 (LPAC - B 5 05), est modifiée comme suit : aux documents et la protection des données personnelles, du 5 octobre 2001, utilisés par les institutions publiques au sens de l’article 3 de ladite loi. 187/189 PL 13347 La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du 29 août 2013 (LHES-SO-GE – C 1 26), est modifiée comme suit : La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme suit : 6 La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est modifiée comme suit : Art. 11A, phrase introductive (nouvelle teneur) Dans le cadre des activités du service visant à traiter les demandes de chèque annuel de formation et conformément à l’article 36, alinéa 1, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, le service est autorisé à : 5 La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA – C 2 08), est modifiée comme suit : Art. 7A Traitement de données personnelles (nouveau) 1 L’université est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. 2 Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d’application respectives, demeurent réservées. 4 Art. 6A Traitement de données personnelles (nouveau) 1 La HES-SO Genève est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée. 2 Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30 septembre 2011 et de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d'application respectives, demeurent réservées. 3 PL 13347 188/189 La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit : Art. 3 Entrée en vigueur Le Conseil d'Etat fixe la date d'entrée en vigueur de la présente loi. 1 Art. 4A Traitement de données personnelles (nouveau) Les établissements sont en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de leur mission de recherche médicale fondamentale et clinique. 2 Les dispositions de la loi fédérale relative à la recherche sur l'être humain, du 30 septembre 2011 et de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d'application respectives, demeurent réservées. 8 La loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM – K 2 05), est modifiée comme suit : Art. 122B, al. 2 (nouvelle teneur) 2 Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées à celles permettant de connaître le statut vaccinal d’une personne relatif à la maladie concernée. 7 Art. 34 (nouvelle teneur) Le rapport de révision des états financiers individuels et consolidés de l’Etat de Genève contient l’opinion du réviseur au sens de l’article 31 et recommande l’approbation des états financiers avec ou sans réserves, ou leur renvoi au Conseil d’Etat. Il est joint aux états financiers publiés et approuvés par le Conseil d’Etat. Les communications écrites complémentaires ne peuvent pas faire l’objet d’une demande d’accès aux documents au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001. Il en va de même s'agissant des documents relatifs à d'autres entités reçus par la Cour des comptes dans le cadre de la révision des états financiers individuels et consolidés de l'Etat de Genève. 189/189 PL 13347