Lexipedia

172.65

LOI sur la protection des données personnelles

LPrD

Préambule

LOI 172.65

sur la protection des données personnelles

(LPrD)

du 11 septembre 2007

LE GRAND CONSEIL DU CANTON DE VAUD

article 15 vu l' vu le décrè [A] C Chapi

de la Constitution cantonale du 14 avril 2003 [A] projet de loi présenté par le Conseil d'Etat te onstitution du Canton de Vaud du 14.04.2003 (BLV 101.01) tre I But, champ d'application et définitions

Art. 1 But

La présente loi vise à protéger les personnes contre l'utilisation abusive des données personnelles les concernant.

Art. 2 Terminologie

La désignation des fonctions s'applique indifféremment aux femmes et aux hommes.

Art. 3 Champ d'application 4, 5,

La présente loi s'applique à tout traitement de données des personnes physiques ou morales.

Sont soumis à la présente loi les entités suivantes :

  1. le Grand Conseil ;
  2. le Conseil d'Etat et son administration ;
  3. l'Ordre judiciaire et son administration ; cbis. la Cour des comptes ;
  4. les communes, ainsi que les ententes, associations, fédérations, fractions et agglomérations de communes ;

Modifié par la loi du 05.06.2018 entrée en vigueur le 01.10.2018

Modifié par la loi du 24.05.2022 entrée en vigueur le 01.01.2023

Modifié par la loi du 02.05.2023 entrée en vigueur le 01.09.2023

  1. les personnes physiques et morales auxquelles le canton ou une commune confie des tâches publiques, dans l'exécution desdites tâches.
  2. le Ministère public ;
  3. le Conseil de la magistrature.

La présente loi ne s'applique pas :

  1. aux délibérations du Grand Conseil et des conseils généraux et communaux ;
  2. aux procédures civiles, pénales ou administratives ;
  3. aux données personnelles traitées en application de la loi fédérale sur le renseignement.

Art. 4 Définitions

On entend par :

. Donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable ;

. Donnée sensible, toute donnée personnelle se rapportant : - aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu'à une origine ethnique ; - à la sphère intime de la personne, en particulier à son état psychique, mental ou physique ; - aux mesures et aides individuelles découlant des législations sociales ; - aux poursuites ou sanctions pénales et administratives.

. Profil de la personnalité, assemblage de données qui permet d'apprécier les caractéristiques essentielles de la personnalité d'une personne physique ;

. Personne concernée, toute personne physique ou morale au sujet de laquelle les données sont traitées ;

. Traitement de données personnelles, toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données personnelles, notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

. Communication, fait de rendre des données accessibles, notamment de les transmettre, les publier, autoriser leur consultation ou fournir des renseignements ;

. Fichier, tout ensemble structuré de données personnelles accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

. Responsable du traitement, personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine le contenu, ainsi que les finalités du fichier ;

. Sous-traitant, personne physique ou morale, autorité publique ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement ;

. Procédure d'appel, mode de communication automatisé des données par lequel les destinataires décident eux-mêmes de la communication des données, moyennant une autorisation du responsable du traitement ;

. Destinataire, personne physique ou morale, de droit privé ou de droit public, qui reçoit communication de données, qu'il s'agisse ou non d'un tiers. Les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires ; article 3 12. Entités, entités décrites à l' 13. Loi au sens formel, lois au se règlements adoptés par les conseil 14. Vidéosurveillance dissuasive, , alinéa 2 de la présente loi ; ns formel adoptées par le Grand Conseil ou, sur le plan communal, s généraux et communaux ; vidéosurveillance à laquelle on recourt pour éviter la perpétration d'infractions sur un certain lieu.

Chapitre II Dispositions générales

Section I Principes

Art. 5 Légalité

Les données personnelles ne peuvent être traitées que si :

  1. une base légale l'autorise ou
  2. leur traitement sert à l'accomplissement d'une tâche publique.

Les données sensibles ne peuvent être traitées que si :

  1. une loi au sens formel le prévoit expressément,
  2. l'accomplissement d'une tâche clairement définie dans une loi au sens formel l'exige absolument, ou
  3. la personne concernée y a consenti ou a rendu ses données accessibles à tout un chacun.

Art. 6 Finalité

Les données ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu'il ressort de la loi ou de l'accomplissement de la tâche publique concernée.

Art. 7 Proportionnalité

Le traitement des données personnelles doit être conforme au principe de la proportionnalité.

Art. 8 Transparence

La collecte des données personnelles doit être reconnaissable pour la personne concernée.

Art. 9 Exactitude

Les entités soumises à la présente loi s'assurent que les données personnelles traitées sont exactes.

Art. 10 Sécurité

Le responsable du traitement prend les mesures appropriées pour garantir la sécurité des fichiers et des données personnelles, soit notamment contre leur perte, leur destruction, ainsi que tout traitement illicite.

Art. 11 Conservation

Les données personnelles doivent être détruites ou rendues anonymes dès qu'elles ne sont plus nécessaires à la réalisation de la tâche pour laquelle elles ont été collectées.

Demeurent réservées les dispositions légales spécifiques à la conservation des données, en particulier à leur archivage, ou effectuées à des fins historiques, statistiques ou scientifiques.

Art. 12 Consentement

Lorsque le traitement de données personnelles requiert le consentement de la personne concernée, cette dernière ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profil de la personnalité, son consentement doit être au surplus explicite.

Section II Traitement des données personnelles

Art. 13 Devoir d'informer

Le responsable du traitement informe la personne concernée de toute collecte des données personnelles la concernant.

Les informations fournies à la personne concernée sont les suivantes :

  1. l'identité du responsable du traitement ;
  2. la finalité du traitement pour lequel les données sont collectées ;
  3. au cas où la communication des données est envisagée, les catégories des destinataires des données ;
  4. le droit d'accéder aux données ;
  5. la possibilité de refuser de fournir les données requises et les conséquences d'un tel refus.

Si les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit fournir par écrit à cette dernière les informations énumérées à l'alinéa précédent, au plus tard lors de l'enregistrement des données, à moins que cela ne s'avère impossible, ne nécessite des efforts disproportionnés ou que l'enregistrement ou la communication ne soient expressément prévus par la loi.

Art. 14 Restriction du devoir d'information

Le responsable du traitement peut différer, restreindre, voire refuser l'information, dans la mesure où :

  1. la loi le prévoit expressément ;
  2. un intérêt public ou privé prépondérant l'exige ;
  3. l'information ou la communication du renseignement risque de compromettre une instruction pénale ou une autre procédure d'instruction, ou
  4. l'information requise ne peut objectivement être fournie.

Dès que le motif justifiant la restriction du devoir d'information disparaît, le responsable du traitement doit fournir l'information, à moins que cela ne soit impossible ou ne nécessite des efforts disproportionnés.

Art. 15 Communication

Les données personnelles peuvent être communiquées par les entités soumises à la présente loi lorsque : article 5 a. une disposition légale au sens de l' b. le requérant établit qu'il en a beso c. le requérant privé justifie d'un int concernée à ce que les données ne soien d. la personne concernée a expressément le prévoit ; in pour accomplir ses tâches légales ; érêt prépondérant à la communication primant celui de la personne t pas communiquées ; donné son consentement ou les circonstances permettent de présumer ledit consentement ;

  1. la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas formellement opposée à leur communication ; ou
  2. le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes ; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des données.

L'alinéa 1 est également applicable aux informations transmises sur demande en vertu de la loi sur l'information[B].

Les autorités peuvent communiquer spontanément des données personnelles dans le cadre de l'information au public, en vertu de la loi sur l'information [B] , à condition que la communication réponde à un intérêt public ou privé prévalant sur celui de la personne concernée. [B] Loi du 24.09.2002 sur l'information (BLV 170.21)

Art. 16 Procédure d'appel

Les données peuvent être rendues accessibles au moyen d'une procédure d'appel entre les entités article 15 soumise à la loi aux conditions de l' ne peuvent être rendus accessibles au Les données sensibles ou les profils de la personnalité moyen d'une procédure d'appel que si une loi au sens formel ou un règlement le prévoit.

Les données ne peuvent être rendues accessibles à des personnes privées au moyen d'une procédure d'appel que si une loi au sens formel ou un règlement le prévoit. Les données sensibles ou les profils de la personnalité ne peuvent être rendus accessibles que si une loi au sens formel le prévoit expressément.

Art. 17 Communication transfrontière de données

La communication vers un pays tiers de données personnelles faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement, ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat.

L'alinéa précédent n'est pas applicable :

  1. si la personne concernée a donné son consentement, qui doit dans tous les cas être explicite ;
  2. si la communication de données est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures pré-contractuelles prises à la demande de la personne concernée ;
  3. si la communication est nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers ;
  4. si la communication est, en l'espèce, indispensable soit à la sauvegarde d'un intérêt public, soit à la constatation, l'exercice ou la défense d'un droit en justice ;
  5. si la communication est, en l'espèce nécessaire pour protéger la vie ou l'intégrité corporelle de la personne concernée ;
  6. si la communication intervient d'un registre public qui, en vertu de dispositions légales ou réglementaires, est destiné à l'information du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier ;
  7. si des garanties suffisantes, notamment contractuelles, permettent d'assurer un niveau de protection adéquat à l'étranger.

Art. 18 Traitement des données par un tiers

Le traitement de données peut être confié à un tiers aux conditions cumulatives suivantes :

  1. le traitement par un tiers est prévu par la loi ou par un contrat ;
  2. le responsable du traitement est légitimé à traiter lui-même les données concernées ;
  3. aucune obligation légale ou contractuelle de garder le secret ne l'interdit.

Modifié par la loi du 05.06.2018 entrée en vigueur le 01.10.2018

Le tiers est responsable de la sécurité des données qu'il traite.

Chapitre III Fichiers

Art. 19 Registre des fichiers

Le Préposé cantonal à la protection des données et à l'information (ci-après : le Préposé) tient un registre des fichiers, qui est public et accessible en ligne.

Le Conseil d'Etat édicte les règles applicables à la tenue du registre [C] . [C] Règlement du 29.10.2008 d'application de la loi du 11.09.2007 sur la protection des données personnelles ( BLV 172.65.1)

Art. 20 Annonce

Les entités soumises à la présente loi sont tenues d'informer sans délai le Préposé lors de tout projet visant à constituer un nouveau fichier contenant des données personnelles.

Le Conseil d'Etat fixe les renseignements à fournir lors de l'annonce de fichier.

Art. 21 Mise en service

Les fichiers peuvent être opérationnels dès que le Préposé a été informé de leur constitution.

Art. 21a Exceptions

N'ont pas à être déclarés, s'ils ne contiennent pas de données sensibles ou ne constituent pas un profil de la personnalité :

  1. les fichiers renfermant uniquement des informations accessibles au public ;
  2. les fichiers d'enregistrement de la correspondance ;
  3. les fichiers d'adresses ;
  4. les fichiers éphémères dont la durée de vie n'excède pas un an.

Chapitre IV Vidéosurveillance

Section I Dispositions générales et procédure d'autorisation 4

Art. 22

Principes 4 article 3 1 Les entités citées à l' avec ou sans système d'en réalisation d'une tâche p 4 Modifié par la loi du 0 , alinéa 2 peuvent installer un système de vidéosurveillance dissuasive, registrement, sur le domaine public ou leur patrimoine affecté à la ublique, moyennant le respect des principes et prescriptions de la présente loi. 5.06.2018 entrée en vigueur le 01.10.2018

bis Les buts d'un système de vidéosurveillance dissuasive sont de garantir la sécurité des personnes et des biens, d'éviter la perpétration d'infractions sur un certain lieu et de contribuer à la poursuite et à la répression d'infractions.

L'installation du système de vidéosurveillance doit constituer le moyen le plus adéquat pour atteindre le but poursuivi. Toutes les mesures doivent être prises pour limiter les atteintes aux personnes concernées.

Le Conseil d'Etat précise les conditions précitées.

Art. 22a Autorisation

Préalablement à son exploitation, l'installation de vidéosurveillance doit faire l'objet d'une demande d'autorisation du responsable du traitement. Il en va de même pour toute modification ultérieure du système.

L'autorité compétente peut demander l'avis du Préposé avant de statuer. Le Préposé reçoit une copie de la décision.

Si un système ne remplit plus les conditions légales, l'autorisation est retirée.

Le Préposé publie une liste des installations de vidéosurveillance dissuasive qui ont été autorisées.

Le Conseil d'Etat précise dans un règlement la procédure d'autorisation.

Art. 22b Autorités compétentes

Lorsque la demande émane d'une entité cantonale, l'autorité compétente est le chef du département dont dépend l'entité concernée.

Lorsque la demande émane d'une entité communale, l'autorité compétente est le préfet du district.

Lorsque la demande émane d'un établissement de droit public cantonal ou d'une personne morale à laquelle le canton a confié des tâches publiques, l'autorité compétente est l'organe suprême de l'établissement.

Art. 22c Recours

Le Préposé a la qualité pour recourir contre une décision d'autorisation auprès du Tribunal cantonal.

Le responsable du traitement a la qualité pour recourir contre une décision de refus d'autorisation auprès du Tribunal cantonal.

Modifié par la loi du 05.06.2018 entrée en vigueur le 01.10.2018

Art. 23 Indications

Le responsable du traitement doit indiquer de manière visible l'existence du système de vidéosurveillance aux abords directs de ce dernier.

Cette information inclut les coordonnées du responsable du traitement et mentionne le droit d'accès aux images concernées.

Art. 23a Durée de conservation des images

A moins qu'une autorité n'ordonne leur conservation dans le cadre d'une procédure pénale, les images enregistrées doivent être détruites automatiquement après un délai de sept jours, ou en cas d'atteinte aux personnes ou aux biens, après cent jours au maximum.

Art. 23b Délégation

L'exploitation d'une installation de vidéosurveillance peut être déléguée à un tiers aux conditions de article 18 l' 2 ar 3 lé La délégation fait l'objet d'une décision d'autorisation en application de la procédure prévue aux ticles 22a et 22b. Le responsable du traitement procède à des contrôles réguliers afin de s'assurer que les conditions gales sont respectées.

Art. 23c

Autorisation cadre 4 article 3 1 Si les besoins spécifiques d'une entité mentionnée à l' l'autorité compétente peut délivrer une autorisation de p l'entité bénéficiaire d'installer et d'exploiter, aux con , alinéa 2, lettres a à cbisle justifient, rincipe, dite autorisation cadre, permettant à ditions définies par l'autorisation cadre, plusieurs installations de vidéosurveillance.

Pour toute installation d'un système de vidéosurveillance, l'entité cantonale au bénéfice d'une autorisation cadre en informe l'autorité compétente et le Préposé.

Le Conseil d'Etat précise dans un règlement les conditions d'octroi d'une autorisation cadre.

Art. 23d Sécurité des données

Le responsable du traitement prend les mesures de sécurité appropriées afin de protéger les données enregistrées ou en transfert sur les réseaux informatiques et d'éviter tout traitement illicite de celles-ci. Il limite notamment l'accès aux données et aux locaux qui les contiennent.

Il doit installer et maintenir un système de journalisation automatique permettant de contrôler les accès aux images.

Modifié par la loi du 05.06.2018 entrée en vigueur le 01.10.2018

Art. 23e Traitement des données

L'accès aux images est limité aux personnes désignées par le responsable de traitement, ainsi qu'à celles qui peuvent se prévaloir d'un droit d'accès à leurs propres données, au sens du chapitre VI.

Le responsable de traitement définit la procédure à suivre pour les opérations techniques de gestion des systèmes et des données informatiques liées à la vidéosurveillance.

En vue d'obtenir des moyens de preuve, les images enregistrées peuvent être analysées en cas de