Protection des données

Droits des citoyennes et citoyens

La loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) confère aux citoyennes et citoyens dont les données sont traitées par des entités cantonales ou communales vaudoises, ainsi que par des entités privées délégataires de tâches publiques cantonales ou communales, notamment les droits suivants :

  • demander à consulter ses propres données

Modèle de lettre pour demander accès à ses propres données (DOC, 37 Ko)

  • s'opposer, dans certains cas, à la communication de leurs données
  • demander que cesse un traitement illicite de données
  • demander que les effets d’un tel traitement soient supprimés ou réparés 
  • demander que le caractère illicite d’un traitement soit constaté
  • demander la rectification de données erronées
  • demander la destruction de données dont le traitement est illicite

Modèle de lettre pour une demande concernant un traitement illicite de données (DOC, 39 Ko)

Obligations des entités soumises à la LPrD

En général

Lors de tout traitement de données personnelles, les entités mentionnées à l'article 3 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) doivent s'assurer que les principes généraux en matière de protection des données personnelles, tels qu'inscrits dans la loi (art. 5 à 12 LPrD), sont respectés. Il s'agit des principes de légalité, de finalité, de proportionnalité, de transparence, d'exactitude, de sécurité, de conservation et de consentement.

La LPrD règle également, à ses articles 13 à 18, les modalités de traitement des données personnelles, telles que le devoir d'informer, la communication de données, la procédure d'appel, la communication transfrontière de données et le traitement de données par un tiers.

Dès qu'une citoyenne ou un citoyen fait valoir un droit découlant de la LPrD envers une entité soumise à cette loi, celle-ci doit rendre une décision sujette à recours dans les trente jours auprès de la Cour de droit administratif et public (CDAP) du Tribunal cantonal ou auprès de la Préposée à la protection des données. De surcroît, une copie de la décision rendue par l'entité doit être transmise à la Préposée à la protection des données.

Demande d'accès d'une citoyenne ou d'un citoyen à ses propres données

En cas de demande d'accès d'une citoyenne ou d'un citoyen à ses propres données (art. 25 LPrD), l'entité doit rendre une décision comprenant les motifs et voies de recours, selon les modèles suivants :

Modèle de lettre pour accepter la transmission des données (DOC, 49 Ko)

Modèle de lettre pour refuser la transmission des données (DOC, 50 Ko)

Modèle de lettre pour informer qu'aucune donnée n'existe (DOC, 43 Ko)

Le droit d'accès est, en règle générale, gratuit, sous réserve des exceptions prévues par la loi (art. 26 al. 5 LPrD) et par l'article 11 du règlement d'application du 29 octobre 2008 de la loi du 11 septembre 2007 sur la protection des données personnelles (RLPrD; BLV 172.65.1).

Modèle de lettre pour prélever des émoluments (DOC, 46 Ko)

Contrôle des habitants

Un guide pratique a spécialement été conçu pour le traitement de données par les contrôles des habitants des communes vaudoises, disponible ci-après :

Guide pratique - La protection des données s'invite au contrôle des habitants (PDF, 5,03 Mo)

Procédure et droit de recours des citoyennes et citoyens

Lorsque l'entité concernée rend une décision, la citoyenne ou le citoyen peut recourir dans les trente jours auprès de la Cour de droit administratif et public (CDAP) du Tribunal cantonal ou de la Préposée à la protection des données. Il est également possible de recourir auprès de ces instances lorsque l'entité concernée ne donne pas suite à la demande. Lorsque la Préposée à la protection des données est saisie du cas, elle doit tenter la conciliation. Si celle-ci échoue, elle rend une décision susceptible de recours auprès de la Cour de droit administratif et public (CDAP) du Tribunal cantonal dans un délai de trente jours. 

Modèle de lettre pour recourir auprès de la Cour de droit administratif et public suite au refus de transmission de l'entité (DOC, 41 Ko)

Modèle de lettre pour recourir auprès de la préposée à la protection des données suite au refus de transmission de l'entité (DOC, 47 Ko)

Registre des fichiers

Les entités soumises à la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) doivent déclarer leurs fichiers à la Préposée à la protection des données (art. 20 LPrD) qui est chargée de tenir un registre public et accessible en ligne (art. 19 LPrD).

Le registre est disponible pour le public sous le lien suivant : Registre des fichiers.

Formations

Les prochaines formations dispensées par l'Autorité de protection des données et de droit à l'information en matière de protection des données sont disponibles sur le site internet du Centre d'éducation permanente.

Par ailleurs, l'Autorité de protection des données et de droit à l'information dispense également des formations sur demande. Pour ce faire, il suffit d’adresser un courriel à l’adresse suivante : info.ppdi(at)vd.ch.

Jurisprudence cantonale

Arrêt de la CDAP du 24 juin 2020 (GE.2020.0065) – Recours pour déni de justice suite à l’absence de réponse dans un délai de deux mois

La loi cantonale du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ne contient pas de disposition impartissant un délai à l’autorité compétente pour rendre de décision formelle tendant à faire constater que des données ont été mal saisies et à faire cesser leur traitement illicite. Le délai de deux mois n’est pas constitutif d’un déni de justice compte tenu des circonstances, notamment dans le contexte de la pandémie du Covid-19. Les recours sont rejetés. Un recours devant le Tribunal fédéral est pendant.

Arrêt de la CDAP du 16 juin 2020 (GE.2019.0214) – Recours formé par un administré contre la décision de la Police cantonale refusant de faire droit à sa demande tendant à la destruction d’un extrait du Journal des événements de police (JEP)

Vu l’écoulement du temps (10 ans) depuis les faits, il se justifie d’effectuer une nouvelle pesée d’intérêts pour déterminer si des données inscrites dans le JEP doivent être supprimées. Contrairement à ce que soutient le recourant, la mention dans le Registre des fichiers du canton de Vaud selon laquelle la « durée de conservation » des données contenues dans le JEP serait de « 5 ans » n’a qu’une portée indicative. Le recours est partiellement admis et la cause est renvoyée à l’autorité intimée pour nouvelle décision.

Arrêt de la CDAP du 3 juin 2020 (GE.2019.0162) – Recours concernant une demande d’accès à des documents officiels contenant des données personnelles

C'est à juste titre que l'autorité intimée a estimé qu'il convenait de caviarder les noms et initiales des collaborateurs de l'Etat de Vaud sur les documents auxquels le recourant demande à avoir accès, de telles données personnelles ne pouvant être communiquées qu'aux conditions de l'art. 15 al. 1 de la loi cantonale du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65). Le recours est rejeté sur ce point.

Arrêt de la CDAP du 30 janvier 2020 (GE.2018.0229) – Recours dirigé contre une décision du Conseil de Santé, refusant au demandeur l'accès au dossier médical archivé de son arrière-grand-père

Compte tenu du contenu du dossier médical (observations factuelles pour la plupart) et de l’écoulement du temps (plus de huitante ans) intervenu depuis le décès de son aïeul, l’intérêt privé de la recourante à consulter le dossier médical de son arrière-grand-père prime l’intérêt du défunt à ce que des renseignements figurant dans son dossier médical ne soient pas divulgués après son décès. Le recours est admis.

Arrêt de la CDAP du 16 janvier 2020 (GE.2017.0188) – Recours contre la publication d'un sanction disciplinaire prononcée par la Chambre des avocats (CAVO) à l'encontre d'un avocat

La publication d’une décision caviardée de la CAVO sur le site internet de l’Etat de Vaud n’est pas conforme au droit fédéral si la personne concernée reste indentifiable. Le recours est admis.

Arrêt de la CDAP du 18 décembre 2019 (GE.2019.0229) – Recours contenant des conclusions tendant à ce que le Service de la population (SPOP) rectifie des données litigieuses

La demande initiale adressée au SPOP visant uniquement à obtenir des renseignements sur les raisons pour lesquelles les données litigieuses figuraient au dossier des recourants et l’Etablissement vaudois d’accueil des migrants (EVAM), et non le SPOP, étant le responsable de traitement au sens de la LPrD, le recours pour déni de justice est irrecevable.

Arrêt de la CDAP du 11 décembre 2019 (GE.2019.0012) – Recours contre une décision de la Commission de recours de l’Université de Lausanne (CRUL)

La communication par l’UNIL des cas d’infraction à l’intégrité scientifique et les mesures prises au CHUV ne repose pas sur une base légale suffisante. Le recours est notamment admis sur ce point.

Arrêt de la CDAP du 19 novembre 2019 (AC.2018.0374) – Recours contre l’ordre d’une Municipalité de retirer une caméra de vidéosurveillance installée par un privé et dont le champ d’enregistrement englobe en partie le domaine public

La vidéosurveillance du domaine public par des particuliers est soumise à la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1). Toutefois, cette dernière n’attribue pas aux cantons et aux communes la compétence de statuer sur la conformité d’un système de vidéosurveillance au regard de ladite législation. La loi cantonale du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) n’est quant à elle pas applicable au traitement de données personnelles effectué par des particuliers. En l’absence de disposition cantonale ou communale traitant de la vidéosurveillance du domaine public par des particuliers, une décision d’ordonner le retrait d’une caméra installée par des privés doit être frappée de nullité. Au surplus, les art. 2 al. 2 let. c et d et 42 al. 1 ch. 2 de la loi du 28 février 1956 sur les communes (LC ; BLV 175.11), invoqués par l’autorité intimée dans la présente cause, ne sauraient être considérés comme suffisants pour fonder la décision litigieuse. Le recours est admis.

Arrêt de la CDAP du 26 février 2019 (GE.2018.0075) Recours contre le refus d’accorder un accès en ligne étendu au Registre foncier (RF)

La situation d’un mandataire juridique agréé par une association n’équivaut pas celle des avocats et agents d’affaires brevetés lorsqu’il est question d’accès en ligne étendu au RF selon l’art. 28 de l’ordonnance du 23 septembre 2011 sur le registre foncier (ORF ; RS 211.432.1). Cela notamment en raison de la différence de surveillance appliquée à ces métiers, et du degré de soumission au secret professionnel. Le recours est rejeté.

Arrêt de la CDAP du 14 février 2019 (GE.2018.0007) – Rejet de demande de révision de l’arrêt GE.2015.0162

Une demande de révision doit se baser sur des faits ou moyens de preuves nouveaux et pertinents dont on ne pouvait se prévaloir dans une procédure antérieure, ce qui n’est pas le cas en l’espèce. Demande rejetée.

Arrêt de la CDAP du 7 février 2019 (GE.2018.0246) – Recours pour absence de réponse en matière de droit d’accès

L’exercice d’un droit d’accès pour le compte d’un tiers n’est pas un droit strictement personnel. Une personne sous curatelle de portée générale n’ayant pas l’exercice des droits civils ne peut dès lors pas ester en justice en son propre nom. Elle ne peut pas non plus agir comme représentante d’un tiers en procédure. Recours déclaré irrecevable. Recours au TF déclaré irrecevable (arrêts 1C_110/2019 et 1C_111/2019 du 26 février 2019).

Arrêt de la CDAP du 31 janvier 2019 (GE.2018.0245) – Recours contre le refus de transmettre un fichier contenant la liste des personnes invitées à une réception officielle

Suite à sa demande initiale, les catégories et fonctions des personnes invitées ont été transmises au recourant. Ce dernier souhaite toutefois accéder à la liste nominative des personnes invitées ainsi qu’à leur adresse, ce qui lui a été refusé.

La communication d’un fichier demandée en vertu de la LInfo contenant des données personnelles au sens de l’art. 4 al. 1 ch. 1 de la LPrD doit être soumise aux conditions de l’art. 15 al. 1 LPrD. En l’espèce, le requérant ne justifiant pas d’un intérêt privé prépondérant à la communication des données, la décision de refus de transmettre ne viole pas le droit cantonal, et le recours doit être rejeté. Recours au TF pendant : 1C_136/2019.

Arrêt de la CDAP du 12 novembre 2018 (GE.2017.0217)  – Recours contre le refus de consultation d'un dossier pénal archivé

Les principes de liberté d'information et de publicité de la justice n'autorisent pas un tiers à consulter un dossier pénal archivé en l'absence d'intérêt digne de protection. Le recourant ne faisant valoir aucun intérêt digne de protection, il ne dispose pas d'un droit propre à la consultation.

Arrêt de la CDAP du 16 mars 2018 (GE.2017.0181) – Recours contre le refus de transmission des valeurs par l’Etablissement d’assurance contre l'incendie et les éléments naturels du Canton de Vaud (ECA)


Les polices d’assurance de l’ECA constituent des documents officiels au sens de la LInfo contenant des données personnelles au sens de la LPrD. Dès lors que la communication de certaines données est prévue par une base légale au sens de l’art. 5 al. 1 LPrD, comme l'exige l'art. 15 al. 1 let. a LPrD, et qu’aucun intérêt public ou privé ne s’oppose à leur communication, la transmission des données doit être admise.

Arrêts de la CCST du 30 janvier 2018 (CCST.2017.0016 et CCST.2017.0018) – Requêtes contre l’introduction de l’art. 11a al. 1, 4 et 6 dans le RCLPFES

Le devoir incombant aux membres du Conseil et aux directeurs d’Etablissement médico-sociaux (EMS) reconnus d'intérêt public d'annoncer leurs mandats externes aux autres membres du Conseil, tel que prévu à l’art. 11a du règlement du 8 octobre 2008 précisant les conditions à remplir par les établissements sanitaires privés pour être reconnus d'intérêt public au sens de la loi du 5 décembre 1978 sur la planification et le financement des établissements sanitaires d'intérêt public (RCLPFES ; BLV 810.01.3), repose sur une base légale suffisante, répond a un intérêt public et est conforme au principe de la proportionnalité.

Arrêts de la CCST du 19 décembre 2017 (CCST.2017.0015 et CCST.2017.0017) –  Requêtes contre l’introduction de l’art. 7 al. 2 dans le RCCMS

La transmission des certificats de salaire des directeurs d’Etablissement médico-sociaux (EMS) au chef du Service des assurances sociales et de l'hébergement (SASH), telle que prévue à l’art. 7 al. 2 du règlement du 7 mai 2008 fixant les normes relatives à la comptabilité, au contrôle et à l'analyse des établissements médico-sociaux, des lits de type C des hôpitaux et des centres de traitement et de réadaptation, reconnus d'intérêt public, ainsi que des homes non médicalisés (RCCMS ; BLV 810.31.1), repose sur une base légale suffisante, répond a un intérêt public et est conforme au principe de la proportionnalité.

Arrêt de la CDAP du 16 décembre 2016 (GE.2016.0084) – Déni de justice et recours contre le refus d’octroyer la confidentialité des données

La communication de renseignements relatifs au mari et père décédé des recourants en relation avec une procédure de divorce par l'office de la population à une avocate en Italie constitue un traitement illicite de données dans la mesure où celle-ci porte sur le décès de la personne concernée, son lieu de naissance et le nom de son conjoint. Dès lors que les données litigieuses ont été utilisées en Italie dans une procédure de divorce, on ne pouvait attendre du responsable du traitement qu'il supprime les effets du traitement illicite ou qu'il en répare les conséquences. Demeure réservée une éventuelle action en responsabilité en application de la loi du 16 mai 1961 sur la responsabilité de l'Etat, des communes et de leurs agents (LRECA ; BLV 170.11). C'est à tort que l'office de la population a refusé aux recourants l'accès au dossier de leur mari et père. En revanche, la décision communale refusant la demande de confidentialité relative aux données des recourants et à celles de leur mari et père est confirmée.

Arrêt de la CDAP du 22 mars 2016 (GE.2015.0207) – Recours contre le refus d’autoriser le fonctionnement d’un système de vidéosurveillance dissuasif vingt-quatre heures sur vingt-quatre et sept jours sur sept dans une piscine

Même si la seule présence de caméras peut être vécue comme intrusive par les individus concernés, la durée de vidéosurveillance peut être étendue si la preuve d’une nécessité concrète est apportée. En l’espèce, la gravité et la répétition des actes constatés par la recourante rendent nécessaire une vidéosurveillance permanente, même pendant la journée.

Arrêt de la CDAP du 12 février 2016 (GE.2015.0162) – Recours contre le refus de destruction des données personnelles contenues dans des bases de données de la Police cantonale

Les faits relatés dans le journal des événements de police (JEP) ou dans la base de données SINAP ne portant pas sur des crimes, délits ou contraventions ne sont pas couverts par la loi du 1 décembre 1980 sur les dossiers de la police judiciaire (LDPJu ; BLV 133.17).

L'implication - à tort ou à raison - dans une procédure impliquant l'intervention de la police entre dans la définition de données sensibles. La conservation des données qui concernent le recourant, excepté celles ayant trait à une décision de séquestre d'arme, ne se justifie plus, compte tenu du temps écoulé et de la nature des événements relatés.

Arrêt de la CDAP du 22 mai 2015 (GE.2013.0017) – Recours contre le refus de destruction de données personnelles par un Centre social régional (CSR)

En l’espèce, le courrier électronique doit être considéré comme une décision sujette à recours, quand bien même il ne satisfait pas aux exigences formelles prévues par la loi et n'a pas été notifié régulièrement au recourant. Le recours est rejeté pour le reste.

Arrêt de la CDAP du 16 avril 2015 (GE.2014.0110) – Protection des données personnelles dans le cadre de pourparlers contractuels entre une commune et un tiers

Le traitement de données en relation avec le transfert d'un droit distinct et permanent sur le patrimoine communal sert à l'accomplissement d'une tâche publique au sens de l'art. 5 al. 1 let. b LPrD. En l’espèce, la Municipalité n'a pas violé son obligation d'informer le tiers quant à la collecte de données et il existe une base légale communale pour procéder au traitement des données litigieuses. La collectivité publique qui envisage la conclusion d'un contrat peut faire valoir un intérêt public ou privé prépondérant à la collecte de données à l'insu, dans un premier temps en tout cas, de son cocontractant. Le droit à la consultation des données litigieuses est en revanche admis, de même que la remise d'une copie du rapport d'enquête litigieux. Aucun intérêt privé ou public prépondérant justifiant une restriction à cet égard n’est avéré.

Arrêt de la CDAP du 17 juillet 2014 (GE.2014.0120) – Recours contre le refus d’établir une attestation de résidence "sur mesure"

Des attestations "sur mesure" ne peuvent être établies que dans des circonstances exceptionnelles. En l'occurrence, le recourant ne démontre pas l'existence de telles circonstances, en disant vouloir se protéger d'un Etat "criminel", sans donner son identité ni aucune information supplémentaire.

Arrêt de la CDAP du 6 mai 2014 (GE.2014.0019) – Recours contre le refus d’autoriser le fonctionnement d’un système de vidéosurveillance dissuasif vingt-quatre heures sur vingt-quatre et sept jours sur sept dans un bâtiment administratif communal

En application du principe de la proportionnalité, et compte tenu du fait que la Municipalité n'a pas à faire face à une situation particulièrement préoccupante en matière de vols ou de déprédations dans ces locaux, l’utilisation d’un système de vidéosurveillance n’est admise qu’en dehors des heures d'ouverture de bureau usuelles.

Arrêt de la CDAP du 7 avril 2014 (PS.2013.0082) – Recours contre une sanction émise par un CMS suite au refus des recourants, bénéficiaires de l’aide sociale, de signer le formulaire d’autorisation de renseigner

Le formulaire soumis aux recourants ne viole pas la LPrD (confirmation de jurisprudence). En refusant de le signer, les recourants ont violé l’obligation de renseigner découlant de l'art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051). Ils se sont ainsi exposés aux sanctions prévues à l'art. 45 LASV. La sanction infligée en l’espèce ne viole pas le principe de proportionnalité.

Arrêt de la CDAP du 10 mars 2014 (GE.2013.0137) – Recours contre le refus de communiquer au Préposé à la protection des données et à l’information l'identité d’une personne ayant pris des renseignements fiscaux au sujet d'un tiers

Le devoir d'informer le contribuable de l'identité de la personne qui a demandé à avoir accès à ses données fiscales n’est prévu ni dans la LPrD, ni dans les dispositions fiscales. S'agissant d'un silence qualifié, on ne se trouve pas en présence d'une lacune improprement dite que le juge devrait combler. Recours admis sous l’angle de la loi vaudoise du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21).

Arrêt de la CDAP du 3 décembre 2013 (GE.2013.0094) – Recours contre une décision de licenciement avec effet immédiat suite à la consultation de données fiscales d’une collègue

Les informations relatives à la situation financière sont des données personnelles "délicates", justifiant une protection plus large. La consultation non autorisée de ces informations constitue une atteinte grave à la personnalité, qui a mené, à juste titre, à un licenciement immédiat avec justes motifs.

Arrêt de la CDAP du 27 novembre 2013 (GE.2013.0202) – Recours contre le refus de destruction d’un courrier d’avertissement

La LPrD ne peut s’appliquer à un courrier contenant des données personnelles tant qu’une enquête pénale, dans laquelle celle-ci constitue une pièce essentielle, est en cours.

Arrêt de la CDAP du 28 octobre 2013 (PS.2013.0068) – Recours contre une sanction émise par un CMS suite au refus de la recourante, bénéficiaire de l’aide sociale, de signer le formulaire d’autorisation de renseigner

L'art. 38 al. 1 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051) constitue la base légale formelle au sens de l’art. 5 al. 2 let. a LPrD pour le traitement de données sensibles par l'autorité d'application. Le bénéficiaire de l'aide sociale a l'obligation d'informer l'autorité, de manière complète et détaillée, de l'évolution de sa situation financière, sans pouvoir se référer à la protection de sa sphère privée pour s'y opposer.

Arrêt de la CDAP du 27 mai 2013 (GE.2013.0019) – Recours contre le refus de consulter une dénonciation écrite

En l’espèce, la dénonciation s'est avérée partiellement fondée, puisque le contrôle qu'elle a généré a effectivement révélé certains manquements de la part des exploitants. La protection de la sphère privée du dénonciateur s'oppose dès lors à la consultation, de même que l'intérêt public s'oppose à ce qu'un accès général et systématique aux dénonciations soit octroyé.

Arrêt de la CDAP du 1er mars 2013 (GE.2012.0139) – Recours contre le refus d’autoriser le fonctionnement d’un système de vidéosurveillance dissuasif pendant les heures de cours dans une école

En l’espèce, le fait d'utiliser la vidéosurveillance pendant les heures de cours est nécessaire pour atteindre le but d'intérêt public visé. Cette mesure respecte également le principe de proportionnalité au sens étroit dès lors que les élèves et les enseignants ne sont filmés qu'à l'extérieur des bâtiments scolaires.

Arrêt de la CDAP du 3 octobre 2012 (GE.2011.0175) – Demande d’accès à ses propres données

Le droit d’accès est réputé respecté lorsque les autorités compétentes transmettent toutes les informations requises au préposé à la protection des données et à la l’information (PPDI) et si elles confirment qu’il n’existe pas d’autres données personnelles concernant les recourants.

Arrêt de la CDAP du 1er mai 2012 (GE.2011.0181) – Recours contre le refus de communiquer un rapport d'enquête à un fonctionnaire communal blanchi d’une accusation de harcèlement

Un règlement communal ne constitue pas une base légale formelle suffisante permettant de restreindre la consultation d’un rapport d’enquête administrative au sens de l’art. 27 let. a LPrD.

Arrêt du tribunal fédéral du 29 août 2011 (2C_116/2011, 2C_117/2011 et 2C_118/2011) publié par la CDAP (GE.2009.0170) - Recours contre la décision de retrait de l’autorisation A des chauffeurs de taxis

Contrairement à ce qui a été invoqué par un des recourants, les art. 25 ss de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) permettent aux recourants d’avoir accès à leurs données personnelles récoltées via GPS auprès de la Société concessionnaire ou de l’autorité concédante.

Arrêt de la CDAP du 23 août 2011 (GE.2011.0044) – Données personnelles publiées sur internet

Une anonymisation minutieuse suffit pour garantir la protection de la sphère privée des personnes dont les publications, contenant des données personnelles, sont rendues accessibles au public sur internet.

Arrêt de la CDAP du 2 mai 2011 (GE.2011.0034) – Demande de destruction et de rectification de données personnelles

Les relations faites d'appels à la Centrale d'alarme et d'engagement (CAE) dans le journal des événements de police (JEP) constituent des données sensibles au sens de la LPrD. Les extraits du JEP peuvent être consultés par les personnes concernées, pour autant que les données relatives à des tiers soient préalablement anonymisées. La destruction est exclue en l’espèce. Lorsque ni l'exactitude ni l'inexactitude d'une donnée ne peut être établie, il convient d'y adjoindre la mention de son caractère litigieux.

Arrêt de la CDAP du 4 avril 2011 (PS.2010.0079) – Recours contre le refus de signer le formulaire d’autorisation de renseigner

L'art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051)  institue une obligation pour le demandeur d'autoriser la demande d'informations à des tiers par l'autorité d'application du revenu d’insertion, ce qui inclut l'autorisation de la communication à ces tiers du fait qu'il est demandeur d'aide sociale, soit d’une donnée sensible au sens de la LPrD.

Arrêt de la CDAP du 4 janvier 2011 (GE.2010.0121) – Recours contre le refus de transmettre une copie d'une demande de levée du secret professionnel

La conservation d’une demande de levée du secret médical, contenant notamment des indications sur l’état psychique d’un ancien patient, adressée par un médecin au Conseil de santé, constitue un traitement de données sensibles au sens de la LPrD. Le droit d’accès à ses propres données peut être restreint ou refusé dans certains cas. En l’espèce, des intérêts privés et publics l’emportent sur l'intérêt personnel du requérant à prendre connaissance de la demande.

Arrêt de la CDAP du 3 novembre 2010 (PS.2010.0041) – Recours contre le refus de signer le formulaire d’autorisation de renseigner

L'art. 38 al. 1 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051) constitue la base légale formelle au sens de l’art. 5 al. 2 let. a LPrD pour le traitement de données sensibles par l'autorité d'application. Pour être valable, le consentement doit notamment être éclairé et librement consenti (art. 12 LPrD), ce qui est le cas en l’espèce.

Arrêt de la CDAP du 7 septembre 2010 (GE.2010.0048) – Recours contre le refus d’accès à l’intégralité d’un dossier du Service de la protection de la jeunesse (SPJ)

Sur la base des principes de la LPrD, le recourant doit pouvoir consulter les données le concernant détenues par le Service de protection de la jeunesse (SPJ) figurant dans des courriers ou courriels transmis par son ex-épouse ou par des proches de celle-ci. Il appartient à l’autorité intimée de caviarder les informations concernant des tiers. L'appréciation doit en revanche être différente s’agissant du journal et des notes des collaborateurs, des échanges de courriers et de courriels entre les différents intervenants professionnels, ainsi que des procès-verbaux des séances de réseau et des pièces relatives à la préparation de ces séances, lesquels doivent être soustraits à la consultation.

Arrêt de la CDAP du 20 juillet 2010 (GE.2010.0073) – Recours contre le refus de communication d’un enregistrement téléphonique

Le maintien de la sécurité publique constitue un intérêt publique prépondérant permettant de refuser la consultation des déclarations d’appels à la Centrale d'engagement et de transmission (CET ; numéro 117).

Arrêt de la CDAP du 21 juin 2010 (GE.2010.0030) – Recours contre le refus de consulter et de détruire des données personnelles contenues dans le journal de police

Lorsque la consultation d’un document contenant des données personnelles de tiers impliqués est demandée, il appartient à l’autorité intimée de les caviarder au préalable. Après avoir consulté les données le concernant, le recourant pourra, s'il le juge opportun, agir en application de l'art. 29 LPrD. En l'espèce, le report dans le journal des interventions de la police se justifie à des fins de contrôle de l'activité de la police. Seule peut dès lors entrer en ligne l'hypothèse d'une rectification des données figurant dans le journal, mais non leur destruction.

Arrêt de la CDAP du 21 juin 2010 (GE.2010.0047) – Recours contre le refus de détruire des données personnelles

Les données personnelles doivent être détruites ou rendues anonymes dès qu’elles ne sont plus nécessaires à la réalisation de la tâche pour laquelle elles ont été collectées. La conservation par la police d’un arrêt, de documents, de correspondances et de pièces relatifs à une cause contenant des données sensibles ne peut se faire que si l’une des conditions de l’art. 5 LPrD est remplie, ce qui n’est pas le cas en l’espèce.

Arrêt de la CDAP du 29 janvier 2010 (GE.2009.0140) – Recours contre le refus de détruire des données personnelles

Lorsque des données personnelles ne sont plus nécessaires à la réalisation de la tâche pour laquelle elles ont été collectées, elles doivent être détruites ou anonymisées. La conservation, par le Service du personnel de l’Etat de Vaud (SPEV), d’une liste des recours tendant initialement à contester le contenu d’un avenant et par la suite retirés ne se justifie pas. Il en va de même de la conservation, par les autorités d’engagement et les chefs de service, de la liste des personnes ayant retiré leur recours.

Arrêt de la CDAP du 19 août 2009 (PS.2008.0070) – Recours contre une sanction émise par un CMS suite au refus de signer la procuration générale

Le recours est devenu sans objet, le Service de prévoyance et d’aide sociales (SPAS) ayant annulé sa décision en cours de procédure au vu de la jurisprudence rendue par la cour de céans sur une affaire similaire (PS.2008.0073 ; voir ci-dessous).

Arrêt de la CDAP du 20 février 2009 (PS.2008.0073) – Recours contre une sanction émise par un CMS suite au refus de signer la procuration générale

Le consentement exigé à l’art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051), qui impose une obligation de renseigner, doit être interprété à la lumière de l’art. 12 LPrD. Pour être valable, un tel consentement doit être éclairé et librement consenti après avoir été dûment informé. Tel n'est pas le cas en l'espèce.

Arrêt de la CDAP du 11 février 2009 (GE.2008.0099) – Recours contre le refus de communiquer les pièces du dossier dans le cadre d’une procédure tendant à l’octroi de prestations

Le recours est irrecevable, faute de compétence de la CDAP.

Arrêt de la CDAP du 27 octobre 2008 (GE.2008.0133) – Recours contre le refus de détruire des données personnelles

La conservation d'une correspondance adressée par la Police cantonale (PolCant) au Juge cantonal chargé des dossiers de police judiciaire contenant des données personnelles est une atteinte à la liberté personnelle devant reposer sur une base légale, répondre à un intérêt public et être conforme au principe de la proportionnalité, afin d’être justifiée. En l’espèce, l’adjonction d’une mention rectificative sur le document litigieux est satisfaisante.

Arrêt de la CDAP du 10 juillet 2007 (GE.2006.0208) – Recours contre le refus de détruire un rapport de police

Tout justiciable dispose du droit à la rectification, respectivement à la suppression, des données personnelles incorrectes le concernant contenues dans un rapport lié à un contrôle effectué par la Police cantonale (PolCant) et détenu par le Service de la population (SPOP).  En l’espèce, le rapport de police précisait que la recourante œuvrait en qualité de masseuse et prostituée, alors même qu'aucune des personnes interpellées n'a été interrogée à son sujet et qu'elle-même a toujours nié se livrer à la prostitution. Aucune circonstance ne justifiait l'établissement d'un rapport de police aussi peu nuancé et c'est à juste titre que la recourante a requis la correction de ce document qui figure dans son dossier en mains du SPOP.

Arrêt de la CDAP du 7 décembre 2006 (GE.2005.0225) – Facturation de frais de photocopie

La communication de renseignements n'occasionne pas un volume de travail considérable lorsqu'il s'agit simplement de copier et d’envoyer le dossier, excepté si celui-ci a une ampleur extraordinaire. Le dossier du recourant doit en l’espèce lui être transmis par écrit et gratuitement.

Arrêt de la CDAP du 29 avril 2005 (GE.2004.0148) – Recours contre le refus de communiquer des données personnelles

L’autorité intimée est tenue de donner des renseignements écrits sur les données informatisées qu’elle détient au sujet du recourant, de même qu’elle a l’obligation, si le recourant lui en fait la demande, de lui transmettre une copie des pièces non informatisées.

Arrêt de la CDAP du 23 mai 2002 (GE.2000.0143) – Recours contre le refus de détruire des données personnelles figurant dans le registre d'écrou

La conservation des données personnelles constitue une atteinte à la liberté précitée; elle doit donc reposer sur une base légale, répondre à un intérêt public et être conforme au principe de la proportionnalité. En l'espèce, le registre d'écrou doit être complété en application de ce dernier principe et de la présomption d'innocence par la mention que l'intéressé a été libéré des fins de l'action pénale.

Arrêt de la CDAP du 18 novembre 1999 (GE. 1999.0083) – Recours contre le refus de communiquer l’adresse à un tiers

Lorsqu'un tiers demande à connaître l'adresse d'une personne qui souhaite tenir cette donnée confidentielle, le contrôle des habitants doit procéder à une pesée d'intérêts. En l'espèce, le secret doit être partiellement levé.

Arrêt de la CDAP du 1er octobre 1997 (GE.1997.0018) – Recours contre le refus de communiquer des renseignements à un tiers

Il n’existe pas de droit d'accès aux renseignements recueillis par un détective privé sous l’angle de l’ancienne loi du 20 septembre 1983 instituant le contrôle des entreprises privées de surveillance, de protection, de recherches et de renseignements (RSV 3.11 lit. E). Selon le droit fédéral de protection des données, une éventuelle atteinte doit être soumise au juge civil.

Arrêt de la CDAP du 4 mars 1993 (GE.1992.0124) – Recours contre le refus de détruire une photo-radar

L'autorité peut prendre en photo, sur la voie publique, le conducteur et les passagers d'un véhicule automobile. Aucune disposition du droit public en vigueur ne permet d'exiger la destruction de ces photos.

Par ailleurs, L'Autorité cantonale de la transparence et de la protection des données de l'Etat de Fribourg tient une liste non exhaustive d'arrêts cantonaux en matière de protection des données. Vous pouvez la consulter à l'adresse http://www.unifr.ch/ius/euroinstitut_fr/forschung/datenbank_datenschutz/liste_kantone.

Jurisprudence fédérale

Une sélection d'arrêts du Tribunal administratif fédéral, du Tribunal fédéral et d'autres institutions est également mise à disposition par l'Autorité cantonale de la transparence et de la protection des données de l'Etat de Fribourg à l'adresse http://www.fr.ch/atprd/fr/pub/protection_des_donnees/jurisprudence.htm.

Mis à jour le 04.08.2020

Partager la page