Le Valais se met en conformité avec le droit supérieur en matière de protection des données

, le 28 juillet 2023
Le Grand Conseil valai­san a adopté le texte rela­tif à la modi­fi­ca­tion partielle de la Loi canto­nale sur l’information du public, la protec­tion des données et l’archivage. Ce nouveau texte doit permettre à l’État du Valais d’être en confor­mité avec la Convention 108+ et la Directive UE 2016/​680 et devrait entrer en vigueur dans les prochains mois.

Contexte

Suite à un long proces­sus légis­la­tif, le Grand Conseil valai­san a adopté, en date du 16 mars 2023, le texte rela­tif à la modi­fi­ca­tion partielle de la Loi canto­nale sur l’information du public, la protec­tion des données et l’archivage (ci-après : nLIPDA). Ce nouveau texte doit permettre à l’État du Valais d’être en confor­mité avec la Convention 108+ et la Directive UE 2016/​680. Il s’inspire égale­ment gran­de­ment de la nouvelle Loi fédé­rale sur la protec­tion des données, qui est elle-même forte­ment inspi­rée de la Convention 108+, du RGPD et de la Directive UE précitée.

Actuellement, le texte adopté est soumis à réfé­ren­dum, et ce jusqu’au 3 août prochain. Il peut être consulté à cette adresse. Le but de la présente contri­bu­tion est de présen­ter les prin­ci­pales modi­fi­ca­tions de ce texte, dans l’éventualité où il entre­rait en vigueur dans les prochains mois.

Sécurité des données

En appli­ca­tion de la nLIPDA, il sera désor­mais précisé que le respon­sable du trai­te­ment et le sous-trai­tant doivent assu­rer une sécu­rité adéquate des données person­nelles. En matière de sous-trai­tance, la nLIPDA renforce égale­ment les droits des admi­nis­trés, en ce sens que toute sous-trai­tance devra désor­mais faire l’objet d’un contrat écrit, pour lequel un certain nombre de condi­tions devront être remplies.

Ainsi, il ne sera plus possible de sous-trai­ter le trai­te­ment de données person­nelles à des tiers sur la base d’un simple devis. Par ailleurs, il appar­tien­dra au respon­sable du trai­te­ment de s’assurer que le sous-trai­tant est en mesure de respec­ter les prin­cipes rete­nus à l’art. 18, permet­tant la collecte et le trai­te­ment de données person­nelles sensibles. Ceci devrait permettre aux auto­ri­tés de mieux appré­hen­der le trai­te­ment de données, et la suppres­sion de celles-ci qui doit en décou­ler une fois qu’elles ne sont plus néces­saires aux fina­li­tés pour lesquelles elles sont trai­tées. Ainsi, la sécu­rité des données devrait s’en trou­ver renfor­cée, pour autant que les auto­ri­tés et leurs sous-trai­tants respectent leurs incombances.

Vidéosurveillance

Le sujet de la vidéo­sur­veillance fait débat depuis de nombreuses années. La mouture de la nLIPDA précise que les instal­la­tions de prise de vues et d’enregistrement d’images dans l’espace public commu­nal à des fins de sécu­rité et d’ordre public néces­sitent des dispo­si­tions dans un règle­ment commu­nal ou inter­com­mu­nal (art. 28a LIPDA). Dans cette optique, le bureau du sous­si­gné est en train de prépa­rer des dispo­si­tions types, ainsi qu’un cane­vas expli­ca­tif, pour l’adoption d’articles rela­tifs à la vidéo­sur­veillance dans les règle­ments commu­naux. Les communes devront cepen­dant réali­ser des analyses d’impact rela­tives à la protec­tion des données en vue de la modi­fi­ca­tion de leurs règle­ments commu­naux, ce afin de pouvoir démon­trer la néces­sité de l’installation d’appareils de prise de vue et d’enregistrement d’images dans l’espace public. Un impor­tant travail des communes sera ainsi néces­saire pour se mettre en conformité.

Pour ce qui concerne l’espace public canto­nal, de telles instal­la­tions néces­si­te­ront une loi canto­nale. Ainsi, pour être conforme à la LIPDA, Le Grand Conseil devrait adop­ter une loi rela­tive à la vidéo­sur­veillance, sur propo­si­tion du Conseil d’Etat. Un tel projet de loi avait été aban­donné il y a de cela plusieurs années, face à la levée de boucliers de certaines auto­ri­tés. Aujourd’hui, il est ainsi temps de remettre l’ouvrage sur le métier, ce afin de permettre aux auto­ri­tés étatiques, qui souhai­te­raient avoir recours à la vidéo­sur­veillance, d’être en confor­mité avec la nouvelle nLIPDA.

Violation de la sécu­rité des données

En matière de nouveau­tés qui méritent d’être rele­vées, la nouvelle LIPDA prévoit une obli­ga­tion d’annonce des viola­tions de la sécu­rité des données person­nelles (art. 30a nLIPDA), tel que cela ressort de la nLPD et du RGPD. La diffé­rence impor­tante est que, dans le cas de la LIPDA, le respon­sable du trai­te­ment devra annon­cer immé­dia­te­ment ces viola­tions au Préposé, et non dans des délais plus longs prévus par la LPD ou le RGPD. Une annonce immé­diate permet­tra au Préposé de docu­men­ter ces viola­tions de la sécu­rité des données, et ainsi accom­pa­gner les auto­ri­tés dans la suite de la procé­dure, de concert avec le Ministère public et la Police canto­nale. Les annonces de viola­tion de la sécu­rité des données person­nelles feront l’objet d’un registre tenu par le Préposé (art. 37 al. 1 let. i nLIPDA).

Délégué à la protec­tion des données

Afin d’épauler les auto­ri­tés canto­nales et commu­nales dans leurs tâches en matière de protec­tion des données, le Parlement a adopté un article visant à rendre obli­ga­toire la dési­gna­tion d’un délé­gué à la protec­tion des données (art. 30c nLIPDA).

Le délé­gué à la protec­tion des données aura pour tâches de conseiller le respon­sable du trai­te­ment, de promou­voir l’information et la forma­tion des colla­bo­ra­teurs, de concou­rir à l’application des pres­crip­tions rela­tives à la protec­tion des données person­nelles, ainsi qu’être le point de contact pour les personnes concer­nées et les auto­ri­tés de surveillance. La loi donne la possi­bi­lité d’engager tant un colla­bo­ra­teur interne à l’autorité, ou de manda­ter une personne externe pour exer­cer cette acti­vité, voir même que plusieurs auto­ri­tés se regroupent pour recru­ter un délé­gué à la protec­tion des données de manière conjointe. L’on ne peut que se réjouir de l’adoption d’une telle dispo­si­tion, qui permet­tra assu­ré­ment de renfor­cer la protec­tion des données, en ce sens que les auto­ri­tés pour­ront être épau­lées par des spécia­listes du domaine dans le cadre du trai­te­ment de données.

Transparence

Les règles en matière de trans­pa­rence souf­fraient de certaines impré­ci­sions. La nLIPDA y apporte certaines réponses.

En premier lieu, un nouvel art. 12a nLIPDA a été ajouté, et précise la procé­dure à suivre pour formu­ler une demande d’accès à des docu­ments offi­ciels. Une telle demande sera ainsi soumise à la forme écrite, y compris élec­tro­nique, et n’a pas à être moti­vée. Cette préci­sion a son impor­tance, certains respon­sables du trai­te­ment souhai­tant régu­liè­re­ment connaître les moti­va­tions des requé­rants pour l’obtention de documents.

En second lieu, dans le cadre de cette nLIPDA, une nouvelle préro­ga­tive a été octroyée à la Commission canto­nale de protec­tion des données et de trans­pa­rence. En effet, selon le nouvel art. 54a nLIPDA, la commis­sion peut être saisie par une des parties ou le Préposé dans le cas où la média­tion n’a pas abouti, ou que l’accord trouvé n’est pas respecté. Il est consi­déré, selon le message accom­pa­gnant la nouvelle LIPDA, que la média­tion n’a pas abouti si aucun accord n’est trouvé et que l’autorité ne suit pas la recom­man­da­tion du Préposé, si le deman­deur ou le tiers inté­ressé n’est pas satis­fait de la recom­man­da­tion du Préposé, ou dans l’éventualité où l’accord trouvé n’est pas respecté. Dans ce cadre, la Commission pourra rendre une déci­sion sur la demande d’accès. Ainsi, en matière de trans­pa­rence, une avan­cée est faite étant donné que la Commission aura désor­mais un pouvoir décisionnel.

L’instauration d’un délai à l’adresse des auto­ri­tés pour donner suite aux recom­man­da­tions du Préposé aurait été souhai­table. Il arrive en effet que des auto­ri­tés ne traitent pas les recom­man­da­tions du Préposé dans des délais accep­tables, engen­drant un travail chro­no­phage de relances. Cependant, la nouvelle mouture de la LIPDA ne prévoit pas un tel méca­nisme. Néanmoins, il pour­rait être envi­sa­geable de consi­dé­rer que la média­tion a échoué lorsque l’autorité ne se prononce pas sur les recom­man­da­tions rendues par le Préposé dans un délai raison­nable, et alors saisir la Commission pour que celle-ci puisse rendre une décision.

Mise en application

Ces modi­fi­ca­tions légis­la­tives permet­tront assu­ré­ment de renfor­cer la protec­tion des données et la trans­pa­rence en Valais. Une fois le délai réfé­ren­daire passé, il y aura lieu de prépa­rer le Règlement de la nLIPDA, ce en vue de son entrée en vigueur qui devrait inter­ve­nir dans les mois à venir. Par ailleurs, notre auto­rité est en train de travailler sur l’élaboration de diffé­rents modèles à desti­na­tion des parti­cu­liers et des auto­ri­tés. Ceux-ci devraient permettre une mise en place la plus effi­cace possible de cette nouvelle loi.

Finalement, comme toute loi, celle-ci est perfec­tible. Néanmoins, elle repré­sente déjà une impor­tante avan­cée pour les droits liés à la protec­tion des données et à la trans­pa­rence, ce qui permet­tra de se confor­mer au droit supé­rieur. Par ailleurs, la pratique permet­tra certai­ne­ment de combler certains manque­ments de la loi.

En dernier lieu, je tiens à remer­cier mon colla­bo­ra­teur, Monsieur Wilfried Boundel, qui a large­ment contri­bué à la rédac­tion de la présente contri­bu­tion en s’attelant à compi­ler en un seul docu­ment toutes les nouveau­tés de la loi.



Proposition de citation : Lauris Loat, Le Valais se met en conformité avec le droit supérieur en matière de protection des données, 28 juillet 2023 in www.swissprivacy.law/243


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law