Cadre légal

Le canton de Vaud a légiféré en matière de protection des données dès 1981 en adoptant une loi sur les fichiers informatiques et la protection des données. Les défis et les dangers se sont toutefois accrus en même temps que le prodigieux développement des moyens informatiques. De très nombreuses données – textes, images, vidéos – sont aujourd’hui traitées sous format numérique par des outils aux puissances de calcul et de stockage toujours plus importantes. Les facilités de transmission, en particulier, accroissent les possibilités d’utilisation illicite des données.

Afin d’adapter le cadre légal aux besoins actuels, ainsi que pour faire droit aux obligations internationales de la Suisse, le législateur vaudois a adopté le 11 septembre 2007 une nouvelle loi sur la protection des données personnelles.   

Cette loi est entrée en vigueur le 1er novembre 2008 et se caractérise par les éléments suivants:

1. Définitions
   Une liste de définitions figure désormais dans la loi (article 4).
2. Principes
   Les principes généraux applicables au traitement des données sont ancrés dans la loi: légalité, finalité, proportionnalité, transparence, exactitude, sécurité, conservation (chapitre 2, section 1).
3. Devoir d'informer
   Le devoir d'informer, qui découle du principe de transparence, contraint le responsable du traitement à fournir un certain nombre d'informations importantes en matière de traitement des données personnelles aux citoyennes et citoyens concernés lors de toute collecte de données personnelles (chapitre 2, section 2).
4. Communication
   Les conditions relatives à la communication des données personnelles, y compris au-delà des frontières, sont clairement posées dans la loi. Elles correspondent à ce qui est exigé par le droit communautaire (articles 15 à 17).
5. Registre des fichiers
   Le registre renfermant l'ensemble des fichiers tenus par l'administration, que les citoyennes et les citoyens pourront consulter sur le site Internet de l'Etat de Vaud, permettra notamment à ces derniers de faire valoir leur droit d'accès aux fichiers les concernant (articles 19 et 20). Ce registre est en cours d'élaboration.
   
6. Vidéosurveillance
   La nouvelle loi contient deux dispositions sur la vidéosurveillance, qui fixent les conditions à remplir pour toute installation d'un système de ce type. La loi concerne seulement la vidéosurveillance dite dissuasive, soit le dispositif auquel on recourt pour éviter la perpétration d'infractions sur le domaine public ou administratif. L'autorisation préalable du Préposé cantonal à la protection des données et à l'information est maintenant nécessaire avant toute installation de système de vidéosurveillance sur le domaine public ou le patrimoine administratif (articles 22 et 23).
   Diaporama de présentation sur la vidéosurveillance selon la  LPrD , (format pdf)
   
7. Droits de la personne concernée
   Les personnes dont les données personnelles sont traitées disposent de droits, notamment de pouvoir consulter les données qui les concernent. Elles peuvent également s'opposer, dans certains cas, à la communication de leurs données personnelles. Enfin, elles peuvent notamment exiger du responsable du traitement de corriger ou de détruire certaines de leurs données personnelles (articles 25-29).
8. Procédure
   Lorsque le responsable du traitement ne donne pas suite à la demande des citoyennes ou des citoyens, ces derniers peuvent recourir soit au Préposé, soit au Tribunal administratif. Dans le premier cas, le Préposé doit tenter la conciliation. S'il échoue, sa décision peut être portée devant le Tribunal administratif (art. 31 et 32).
9. Préposé cantonal
   L'institution d'un Préposé cantonal à la protection des données et à l'information constitue l'une des grandes nouveautés de la loi. Nommé par le Conseil d'Etat pour cinq ans, il est chargé de la surveillance des prescriptions sur la protection des données personnelles. Il peut rendre des avis préalablement à la mise en œuvre d'un fichier, ou faire recours si l'une de ses recommandations n'est pas suivie (articles 34 à 36).
10. Mise en vigueur
    Tout traitement de données personnelles doit se conformer à la nouvelle loi dans les cinq ans suivant son entrée en vigueur. Ce délai est réduit à trois ans pour les installations de vidéosurveillance.