L’administration cantonale vaudoise est soumise à la Loi sur la protection des données personnelles. De ce fait, il y a quelques règles à suivre lorsque des informations sur les utilisateurs (usagers, collaborateurs, etc.) sont collectées.
Les principes cités ci dessous ne sont pas exhaustifs. Pour de plus amples informations, veuillez consulter la Loi sur la protection des données personnelles ou en cas de questions contacter la Préposée à la protection des données et à l’information.
Le traitement des données doit être prévu par une loi (un règlement suffit) ou doit être nécessaire à l’accomplissement d’une tâche publique.
Le traitement des données doit être expressément prévu par une loi ou être absolument nécessaire à l’accomplissent d’une tâche légale clairement définie dans une loi.
En cas d’absence de base légale, la personne doit avoir consenti au traitement de ses données.
Donnée sensible, toute donnée personnelle se rapportant :
- aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique ;
- à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ; aux mesures et aides individuelles découlant des législations sociales ; aux poursuites ou sanctions pénales et administratives.
— Art. 4 al. 1 ch. 2 Définition, Loi sur la protection des données personnelles
Les données personnelles ne peuvent être traitées que si :
a. une base légale l’autorise ou
b. leur traitement sert à l’accomplissement d’une tâche publique.
Les données sensibles ne peuvent être traitées que si :
a. une loi au sens formel le prévoit expressément,
b. l’accomplissement d’une tâche clairement définie dans une loi au sens formel l’exige absolument, ou
c. la personne concernée y a consenti ou a rendu ses données accessibles à tout un chacun.
— Art. 5 Légalité, Loi sur la protection des données personnelles
Les données doivent être traitées dans le but pour lequel elles ont été collectées.
Les données ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu’il ressort de la loi ou de l’accomplissement de la tâche publique concernée.
— Art. 6 Finalité, Loi sur la protection des données personnelles
Le traitement envisagé doit être objectivment nécéssaire pour l’accomplissement de la tâche dévolue.
Seules les données objectivement nécessaires à l’accomplissement de la tâche doivent être collectées.
Le traitement des données personnelles doit être conforme au principe de la proportionnalité.
— Art. 7 Proportionnalité, Loi sur la protection des données personnelles
Les personnes concernées doivent savoir que des données les concernant sont traitées. De plus, elles doivent savoir dans quel but les données sont collectées.
Lorsque des données sont collectées, il faut informer sur :
La collecte des données personnelles doit être reconnaissable pour la personne concernée. — Art. 8 Transparence, Loi sur la protection des données personnelles
Le responsable du traitement informe la personne concernée de toute collecte des données personnelles la concernant.
Les informations fournies à la personne concernée sont les suivantes :
a. l’identité du responsable du traitement ;
b. la finalité du traitement pour lequel les données sont collectées ;
c. au cas où la communication des données est envisagée, les catégories des destinataires des données ;
d. le droit d’accéder aux données ;
e. la possibilité de refuser de fournir les données requises et les conséquences d’un tel refus.
Si les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit fournir par écrit à cette dernière les informations énumérées à l’alinéa précédent, au plus tard lors de l’enregistrement des données, à moins que cela ne s’avère impossible, ne nécessite des efforts disproportionnés ou que l’enregistrement ou la communication ne soient expressément prévus par la loi.
— Art. 13 Devoir d’informer, Loi sur la protection des données personnelles
Voici quelques exemples à adapter au besoin: