Lexipedia

172.68

Loi sur la protection des données personnelles dans le cadre de l'application de l'acquis de Schengen dans le domaine pénal (LPrDS)

du 2 mai 2023

Préambule

LE GRAND CONSEIL DU CANTON DE VAUD

en exécution de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

vu l'avant-projet de loi présenté par le Conseil d'Etat

décrète

titre_i_dispositions_g_n_rales Titre I Dispositions générales

Art. 1 Champ d'application

La présente loi concerne la protection des personnes physiques à l'égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales dans le cadre de l'application de l'acquis de Schengen et dans le cadre de l'application d'accords internationaux conclus avec l'Union européenne ou avec des Etats qui sont liés à la Suisse par l'un des accords d'association à Schengen (Etats Schengen).

La présente loi ne s'applique pas aux droits des personnes concernées dans le cadre de procédures pendantes devant des tribunaux fédéraux ou cantonaux ou dans le cadre de procédures pendantes régies par le code de procédure pénaleA ou par la loi du 20 mars 1981 sur l'entraide pénale internationaleB, ni dans le cadre de la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ceux-ci sont régis par le droit de procédure applicable.

Art. 2 Définitions

Par données génétiques, on entend les informations relatives au patrimoine génétique d'une personne obtenues par une analyse génétique, y compris le profil d'ADN.

Par données biométriques, on entend les données personnelles résultant d'un traitement technique spécifique et relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique.

Par profilage, on entend toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant la situation économique, la santé, les préférences personnelles, les intérêts, le comportement, la localisation ou les déplacements de cette personne.

Par décision individuelle automatisée, on entend toute décision prise exclusivement sur la base d'un traitement de données personnelles automatisé, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l'affecte de manière significative.

Les données génétiques ou biométriques sont des données sensibles au sens de la loi du 11 septembre 2007 sur la protection des données personnellesC (LPrD).

Le Préposé, au sens de la présente loi est celui institué par la LPrDC.

Par violation de la sécurité des données, on entend toute violation de la sécurité, sans égard au fait qu'elle soit intentionnelle ou illicite, qui entraîne la perte de données personnelles, leur modification, leur effacement ou leur destruction, ou encore leur divulgation ou un accès non autorisés. La violation peut être causée par un tiers, mais son auteur peut aussi être un collaborateur qui outrepasse ses compétences ou qui fait preuve de négligence. La violation de la sécurité des données peut entraîner une perte de contrôle de la personne concernée sur ses données ou une utilisation abusive de celles-ci. Elle peut aussi engendrer une violation de la personnalité, par exemple en entraînant la divulgation d'informations que la personne souhaitait garder secrètes.

titre_ii_obligations_des_organes_traitant_des_donn_es Titre II Obligations des organes traitant des données

Art. 3 Devoir d'informer la personne concernée en cas de décision individuelle automatisée

Le responsable du traitement informe la personne concernée de toute décision individuelle automatisée prise à son égard, avant la prise de cette décision; il qualifie cette décision comme telle.

Si la personne concernée le demande, le responsable du traitement lui donne la possibilité de faire valoir son point de vue. La personne concernée peut exiger que la procédure appliquée lui soit communiquée et que la décision soit revue par une personne physique.

L'alinéa 2 du présent article ne s'applique pas lorsque la personne concernée dispose d'une voie de droit contre la décision.

Art. 4 Protection des données dès la conception et par défaut

Les responsables du traitement sont tenus de mettre en place, dès la conception du traitement, des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données et en particulier les principes fixés par la présente loi.

Les mesures techniques et organisationnelles doivent être appropriées au regard notamment de l'état de la technique, du type de traitement, de son étendue, ainsi que du risque que le traitement des données en question présente pour les droits fondamentaux des personnes concernées.

Les responsables du traitement sont tenus, par le biais de préréglages appropriés, de garantir que le traitement soit limité au minimum requis par la finalité poursuivie.

Art. 5 Principe de légalité

Une base légale formelle est nécessaire pour fonder un mode de traitement susceptible de porter atteinte aux droits fondamentaux ou un profilage.

Une base légale formelle n'est pas nécessaire si:

  1. il existe un besoin de protection de la vie ou de l'intégrité corporelle de la personne concernée ou d'un tiers, ou:
  2. la personne concernée a rendu ses données personnelles accessibles à tout un chacun, ou:
  3. la personne concernée ne s'est pas opposée expressément au traitement.

Art. 6 Registre des activités de traitement

Les responsables du traitement tiennent un registre des activités de traitement.

Les registres des responsables du traitement contiennent au moins les indications suivantes:

  1. le nom du responsable du traitement;
  2. la finalité du traitement;
  3. une description des catégories des personnes concernées et des catégories des données personnelles traitées;
  4. les catégories des destinataires;
  5. la durée de conservation des données personnelles ou, si cela n'est pas possible, les critères pour déterminer la durée de conservation;
  6. dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données;
  7. l'Etat tiers ou l'organisme international auquel des données personnelles sont communiquées ainsi que les garanties de protection des données personnelles prévues.

Art. 7 Analyse d'impact relative à la protection des données personnelles

Lorsque le traitement envisagé est susceptible d'entraîner un risque élevé pour les droits fondamentaux de la personne concernée, Le responsable du traitement procède au préalable à une analyse d'impact relative à la protection des données personnelles. S'il envisage d'effectuer plusieurs opérations de traitements semblables, il peut établir une analyse d'impact commune.

L'existence d'un risque élevé dépend, en particulier lors de l'utilisation de nouvelles technologies, de la nature, de l'étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants:

  1. le traitement de données sensibles ou de profils de la personnalité à grande échelle;
  2. le profilage.

L'analyse d'impact contient une description du traitement envisagé, une évaluation des risques pour les droits fondamentaux de la personne concernée, ainsi que les mesures prévues pour protéger ceux-ci.

Art. 8 Consultation du Préposé

Le responsable du traitement consulte le Préposé, préalablement au traitement, lorsque l'analyse d'impact relative à la protection des données révèle que le traitement présenterait un risque élevé pour les droits fondamentaux de la personne concernée si le responsable du traitement ne prenait pas de mesures pour atténuer ce risque.

Le Préposé communique au responsable du traitement ses objections concernant le traitement envisagé dans un délai de deux mois. Ce délai peut être prolongé d'un mois, lorsqu'il s'agit d'un traitement de données complexe.

Si le Préposé a des objections concernant le traitement envisagé, il propose au responsable du traitement des mesures appropriées.

Art. 9 Annonce des violations de la sécurité des données

Le responsable du traitement annonce dans les meilleurs délais au Préposé les cas de violation de la sécurité des données entraînant vraisemblablement un risque élevé pour les droits fondamentaux de la personne concernée.

L'annonce doit au moins indiquer la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées pour y remédier.

Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données.

Le responsable du traitement informe la personne concernée lorsque cela est nécessaire pour sa protection ou lorsque le Préposé l'exige.

Le responsable du traitement peut restreindre l'information de la personne concernée, la différer ou y renoncer, dans les cas suivants:

  1. les intérêts prépondérants d'un tiers l'exigent;
  2. un intérêt public prépondérant, en particulier le maintien de la sûreté intérieure ou extérieure du canton ou de la Suisse, l'exige;
  3. l'information de la personne concernée est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire;
  4. le devoir d'informer est impossible à respecter ou nécessite des efforts disproportionnés;
  5. l'information de la personne concernée est garantie de manière équivalente par une communication publique.

Art. 10 Conseiller à la protection des données

Les responsables du traitement désignent un conseiller à la protection des données. Ils peuvent désigner un conseiller commun.

Le conseiller à la protection des données doit remplir les conditions suivantes:

  1. il dispose des connaissances professionnelles nécessaires;
  2. il n'exerce pas d'activités incompatibles avec ses tâches de conseiller à la protection des données.

Le conseiller à la protection des données exerce notamment les tâches suivantes:

  1. il conseille les responsables du traitement;
  2. il promeut l'information et la formation des collaborateurs;
  3. il concourt à l'application des prescriptions relatives à la protection des données et propose des mesures s'il apparaît que des prescriptions relatives à la protection des données ont été violées.

titre_iii_droits_des_personnes_concern_es Titre III Droits des personnes concernées

Art. 11 Prétentions et procédure

Quiconque a un intérêt légitime peut exiger du responsable du traitement:

  1. qu'il s'abstienne de procéder à un traitement illicite;
  2. qu'il supprime les effets d'un traitement illicite;
  3. qu'il constate le caractère illicite d'un traitement.

Le demandeur peut en particulier exiger que le responsable du traitement:

  1. rectifie les données personnelles, les efface ou les détruise;
  2. publie ou communique à des tiers sa décision concernant notamment la rectification, l'effacement ou la destruction des données, l'opposition à une communication ou la mention du caractère litigieux des données personnelles prévue à l'alinéa 4 du présent article.

Au lieu d'effacer ou de détruire les données personnelles, le responsable du traitement limite le traitement dans les cas suivants:

  1. l'exactitude des données est contestée par la personne concernée et leur exactitude ou inexactitude ne peut pas être établie;
  2. des intérêts prépondérants d'un tiers l'exigent;
  3. un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure du canton ou de la Suisse, l'exige;
  4. l'effacement ou la destruction des données est susceptible de compromettre une enquête, une instruction ou une procédure administrative ou judiciaire.

Si l'exactitude ou l'inexactitude d'une donnée personnelle ne peut pas être établie, il ajoute à la donnée la mention de son caractère litigieux.

La procédure est régie par la loi du 28 octobre 2008 sur la procédure administrativeD (LPA).

titre_iv_surveillance Titre IV Surveillance

Art. 12 Enquête du Préposé

Le Préposé ouvre d'office ou sur dénonciation une enquête contre le responsable du traitement ou le sous-traitant si des indices font penser qu'un traitement de données personnelles pourrait être contraire à des dispositions de protection des données.

Il peut renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d'importance.

Le responsable du traitement ou le sous-traitant fournit au Préposé tous les renseignements et les documents qui lui sont nécessaires pour l'enquête.

Si la personne concernée est l'auteur de la dénonciation, le Préposé l'informe des suites données à celle-ci et du résultat d'une éventuelle enquête.

Art. 13 Pouvoirs du Préposé

Lorsque le responsable du traitement ou le sous-traitant ne respecte pas son obligation de collaborer, le Préposé peut, dans le cadre de la procédure d'enquête, ordonner notamment:

  1. l'accès à tous les renseignements, documents, registres des activités et données personnelles nécessaires pour l'enquête;
  2. l'accès aux locaux et aux installations;
  3. l'audition de témoins;
  4. des expertises.

Il peut également ordonner des mesures provisionnelles pour la durée de l'enquête.

Art. 14 Mesures administratives

Si des dispositions de protection des données sont violées, le Préposé peut ordonner la mise en conformité, la suspension ou la cessation de tout ou partie du traitement ainsi que l'effacement ou la destruction de tout ou partie des données personnelles.

Il peut suspendre ou interdire la communication de données personnelles à l'étranger si elle est contraire aux dispositions légales applicables en matière de communication de données personnelles à un Etat tiers ou à un organisme international.

Lorsque le responsable du traitement ou le sous-traitant a pris, durant l'enquête, les mesures nécessaires au rétablissement d'une situation conforme aux prescriptions de protection des données, le Préposé peut se limiter à prononcer un avertissement.

Les parties à la procédure d'enquête, y compris les responsables de traitement, ont qualité pour recourir, y compris contre les décisions sur l'effet suspensif ou les mesures provisionnelles.

titre_v_assistance_administrative Titre V Assistance administrative

Art. 15 Assistance administrative internationale

Le Préposé peut échanger des informations ou des données personnelles avec une autorité d'un Etat Schengen chargée de la protection des données personnelles pour l'accomplissement de leurs tâches légales respectives en matière de protection des données, pour autant que les conditions suivantes soient réunies:

  1. la réciprocité en matière d'assistance administrative est garantie;
  2. les informations et les données personnelles échangées ne sont utilisées que dans le cadre de la procédure liée à la protection des données personnelles à la base de la demande d'assistance administrative;
  3. l'autorité destinataire s'engage à ne pas divulguer les secrets professionnels, d'affaires ou de fabrication;
  4. les informations et les données personnelles ne sont communiquées à des tiers qu'avec l'accord préalable de l'autorité qui les a transmises;
  5. l'autorité destinataire s'engage à respecter les charges et les restrictions d'utilisation exigées par l'autorité qui lui a transmis les informations et les données personnelles.

Pour motiver sa demande d'assistance administrative ou pour donner suite à une demande d'assistance administrative de l'autorité requérante, le Préposé peut communiquer notamment les indications suivantes:

  1. le nom du service responsable du traitement, du sous-traitant ou de tout autre organe tiers participant au traitement;
  2. les catégories de personnes concernées;
  3. l'identité des personnes concernées lorsque sa communication est indispensable à l'accomplissement des tâches légales du Préposé ou d'une autorité d'un Etat Schengen chargée de la protection des données;
  4. les données personnelles ou les catégories de données personnelles traitées;
  5. les finalités des traitements;
  6. les destinataires ou les catégories de destinataires;
  7. les mesures techniques et organisationnelles.

Avant de transmettre à une autorité d'un Etat Schengen chargée de la protection des données des informations susceptibles de contenir des secrets professionnels, de fabrication ou d'affaires, il informe les personnes détentrices de ces secrets et les invite à prendre position, à moins que cela ne s'avère impossible ou ne nécessite des efforts disproportionnés.

titre_vi_dispositions_suppl_tives_et_transitoires Titre VI Dispositions supplétives et transitoires

Art. 16 Dispositions supplétives

A défaut de disposition spéciale prévue par la présente loi, la loi cantonale sur la protection des données personnellesC (LPrD) s'applique; l'applicabilité d'autres lois est réservée.

La loi sur la procédure administrativeD (LPA) s'applique en outre spécifiquement à la procédure à suivre concernant l'application des articles 11 à 14 de la présente loi.

Art. 17 Exécution et entrée en vigueur

Le Conseil d'Etat est chargé de l'exécution de la présente loi. Il en publiera le texte conformément à l'article 84, alinéa 1, lettre a), de la Constitution cantonale et en fixera, par voie d'arrêté, l'entrée en vigueur.