Le coronavirus a donné un coup d’accélérateur à la numérisation de la société. Cette tendance concerne non seulement le travail, mais aussi l’administration publique. Les annonces de vols de données se multiplient, par exemple chez Swisscom ou en lien avec le certificat de vaccination suisse. En ce qui me concerne, je dois fournir de plus en plus souvent des données à mon sujet (p. ex. pour le traçage des contacts). Certaines prestations sont en outre accessibles uniquement par voie numérique. Or je n’ai aucun contrôle sur ce qui se passe avec mes données, ne sais pas à qui elles sont transmises et dans quelle mesure elles sont sûres. Comment la question estelle réglée juridiquement ?
L’art. 13 de la Constitution stipule que toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications. Il précise en outre qu’elle a le droit d’être protégée contre l’emploi abusif des données qui la concernent. La loi sur la protection des données (LPD) définit quelques règles fondamentales pour le traitement des données par les autorités. Maintes réglementations restent toutefois facultatives et leur violation n’entraîne guère de conséquences. En vertu de l’art. 8 LPD, vous disposez d’un droit d’accès à tes données. Autrement dit, vous pouvez exiger qu’elles vous soient communiquées.
La collecte de données à mon sujet ne constitue qu’un aspect. Mais comment savoir d’où viennent ces données, à quelle fin elles sont utilisées ou si elles sont transmises à des tiers ?
Le détenteur d’un fichier doit vous informer sur l’origine des données et le but de leur utilisation. Il est aussi tenu de vous renseigner sur les bases juridiques, les catégories de données personnelles, de participants au fichier et de destinataires des données. Or ces informations ne sont presque jamais communiquées. Il faut souvent les demander, et les données ne sont pas complètes.
La Confédération a récemment confié le traitement des données relatives au certificat de vaccination suisse à une entreprise tierce privée. Qui est tenu de me renseigner sur mes données ? La Confédération ou l’entreprise ? Et la Confédération ne devrait-elle pas gérer elle-même les données sensibles, et donc ne pas les remettre à des entreprises privées ?
Si la Confédération confie le mandat à une entreprise privée, elle demeure tenue en tant que mandante de fournir les renseignements demandés. La Confédération doit également veiller à ce que l’entreprise tierce respecte la loi sur la protection des données, et s’assurer que la sécurité des données est garantie. Les incidents que vous mentionnez montrent que ce principe n’est pas appliqué.
Lorsqu’un vol de données ne peut être évité, comment puis-je ensuite m’y opposer en tant qu’individu ? Est-il possible d’exiger que les données soient effacées, d’intenter une action en justice ou de demander des dommages et intérêts si mes données sont utilisées à mauvais escient ou tombent entre de mauvaises mains ?
Vous pouvez agir en justice pour atteinte à la personnalité au sens des art. 28 et 28a du Code civil. Vous avez également la possibilité de demander que les données soient effacées ou qu’elles ne soient pas transmises à des tiers. Ou vous pouvez déposer une plainte pénale conformément à l’article 35 de la LPD. Mais la protection a presque toujours lieu a posteriori et non à titre provisionnel.
En tant que membre, tu bénéficies gratuitement d’une assistance juridique pour toute question liée aux rapports de travail et à l’activité professionnelle.