Protection des données
Droits des citoyennes et citoyens
La loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) confère aux citoyennes et citoyens dont les données sont traitées par des entités cantonales ou communales vaudoises, ainsi que par des entités privées délégataires de tâches publiques cantonales ou communales, notamment les droits suivants :
- demander à consulter ses propres données
Modèle de lettre pour demander accès à ses propres données
- s'opposer, dans certains cas, à la communication de leurs données
- demander que cesse un traitement illicite de données
- demander que les effets d’un tel traitement soient supprimés ou réparés
- demander que le caractère illicite d’un traitement soit constaté
- demander la rectification de données erronées
- demander la destruction de données dont le traitement est illicite
Modèle de lettre pour une demande concernant un traitement illicite de données
Obligations des entités soumises à la LPrD
En général
Lors de tout traitement de données personnelles, les entités mentionnées à l'article 3 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) doivent s'assurer que les principes généraux en matière de protection des données personnelles, tels qu'inscrits dans la loi (art. 5 à 12 LPrD), sont respectés. Il s'agit des principes de légalité, de finalité, de proportionnalité, de transparence, d'exactitude, de sécurité, de conservation et de consentement.
La LPrD règle également, à ses articles 13 à 18, les modalités de traitement des données personnelles, telles que le devoir d'informer, la communication de données, la procédure d'appel, la communication transfrontière de données et le traitement de données par un tiers.
Dès qu'une citoyenne ou un citoyen fait valoir un droit découlant de la LPrD envers une entité soumise à cette loi, celle-ci doit rendre une décision sujette à recours dans les trente jours auprès de la Cour de droit administratif et public (CDAP) du Tribunal cantonal ou auprès de la Préposée à la protection des données. De surcroît, une copie de la décision rendue par l'entité doit être transmise à la Préposée à la protection des données.
Demande d'accès d'une citoyenne ou d'un citoyen à ses propres données
En cas de demande d'accès d'une citoyenne ou d'un citoyen à ses propres données (art. 25 LPrD), l'entité doit rendre une décision comprenant les motifs et voies de recours, selon les modèles suivants :
Modèle de lettre pour accepter la transmission des données
Modèle de lettre pour refuser la transmission des données
Modèle de lettre pour informer qu'aucune donnée n'existe
Le droit d'accès est, en règle générale, gratuit, sous réserve des exceptions prévues par la loi (art. 26 al. 5 LPrD) et par l'article 11 du règlement d'application du 29 octobre 2008 de la loi du 11 septembre 2007 sur la protection des données personnelles (RLPrD; BLV 172.65.1).
Modèle de lettre pour prélever des émoluments
Contrôle des habitants
Un guide pratique a spécialement été conçu pour le traitement de données par les contrôles des habitants des communes vaudoises, disponible ci-après :
Guide pratique - La protection des données s'invite au contrôle des habitants
Les dispositions du guide relatives à la communication de données à des partis politiques ne sont plus à jour (p. 28-30, 70). Pour toute question, merci de contacter l'Autorité de protection des données.
- Annexe 9.1 : Modèle de correspondance attestant qu'aucune donnée n'est détenue par le contrôle des habitants sur la personne concernée (doc, 37 Ko)
- Annexe 9.2 : Modèle de décision d'acceptation de la demande de droit d'accès avec transmission des pièces (doc, 39 Ko)
- Annexe 9.3 : Modèle de décision de refus de la transmission de données (doc, 38 Ko)
- Annexe 10.2 : Modèle de décision de refus de la confidentialité (doc, 47 Ko)
- Annexe 10.3 : Modèle de décision de levée de la confidentialité (doc, 49 Ko)
- Annexe 10.4 : Modèle de décision de refus de levée de la confidentialité (doc, 49 Ko)
Sous-traitance
Le recours à des prestations ou solutions informatiques de tiers est de plus en plus fréquent. Il constitue un cas de sous-traitance au sens de l’article 18 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV172.65), lequel prévoit que le traitement de données personnelles peut être confié à des tiers aux conditions cumulatives suivantes :
- le traitement doit être prévu par la loi ou un contrat (offrant un niveau de protection adéquat en matière de protection des données)
- le responsable du traitement est légitimé à traiter lui-même les données concernées
- aucune obligation légale ou contractuelle de garder le secret ne l’interdit
Une liste de questions à se poser avant la signature d’un contrat de sous-traitance informatique est disponible ci-après :
Check-list pour contrat de sous-traitance
Un article sur le Cloud computing - ou l’informatique en nuage - a été publié dans l’édition de juin 2022 de la revue périodique Canton-Communes. Cette contribution vise à sensibiliser les communes à certains aspects particuliers du recours à la technologie de Cloud computing (informatique en nuage) en rapport avec la protection des données personnelles et à leur fournir les outils nécessaires à la résolution de situations parfois complexes.
Procédure et droit de recours des citoyennes et citoyens
Lorsque l'entité concernée rend une décision, la citoyenne ou le citoyen peut recourir dans les trente jours auprès de la Cour de droit administratif et public (CDAP) du Tribunal cantonal ou de la Préposée à la protection des données. Il est également possible de recourir auprès de ces instances lorsque l'entité concernée ne donne pas suite à la demande. Lorsque la Préposée à la protection des données est saisie du cas, elle doit tenter la conciliation. Si celle-ci échoue, elle rend une décision susceptible de recours auprès de la Cour de droit administratif et public (CDAP) du Tribunal cantonal dans un délai de trente jours.
Registre des fichiers
Les entités soumises à la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) doivent déclarer leurs fichiers à la Préposée à la protection des données (art. 20 LPrD) qui est chargée de tenir un registre public et accessible en ligne (art. 19 LPrD).
Le registre est disponible pour le public sous le lien suivant : Registre des fichiers.
Formations
Les prochaines formations dispensées par l'Autorité de protection des données et de droit à l'information en matière de protection des données sont disponibles sur le site internet du Centre d'éducation permanente (CEP).
Par ailleurs, l'Autorité de protection des données et de droit à l'information dispense également des formations sur demande. Pour ce faire, il suffit d’adresser un courriel à l’adresse suivante : info.ppdi(at)vd.ch.
Audits
2022
2021
2019
Articles publiés dans le périodique Canton-Communes
- Destinataires « en copie » : un bref rappel des règles en matière de communication de données personnelles - numéro 74 - décembre 2024
- Communication de documents relatifs à l’aménagement du territoire et aux constructions - numéro 73 - septembre 2024
- Communication de données à des partis politiques par les communes vaudoises - numéro 69 - septembre 2023
- Définir une politique stricte de gestion des accès : un élément essentiel de la protection des données personnelles - numéro 66 - décembre 2022
- Le Cloud computing - numéro 64 - juin 2022
- Vidéosurveillance dissuasive par les communes : nouvelles règles ! - numéro 50 - septembre 2018
- Le règlement général de l'Union européenne sur la protection des données (RGPD) a déployé ses effets ! - numéro 49 - juin 2018
- La protection des données s'invite aux contrôles des habitants : publication d'un guide pratique pour les communes - numéro 44 - mars 2017
- Puis-je obtenir la liste d'adresses des habitants de la commune ? - numéro 39 - septembre 2015
- Vidéosurveillances dans les communes - numéro 34 - juin 2014
- Protection des données : rapport d'activité - numéro 26 - juin 2012
- Vidéosurveillance - numéro 17 - mars 2010
- Vidéosurveillance dans les communes - numéro 14 - juin 2009
- Protection des données personnelles et transparence des autorités - numéro 12 - décembre 2008
Jurisprudence cantonale
Arrêt de la CDAP du 11 juin 2024 (GE.2023.0138) – Recours contre une décision déclarant irrecevable une requête tendant à la destruction de toutes les données relatives à une intervention de police
Il n’y a pas lieu de se départir de la jurisprudence de la CDAP (GE.2015.0162). Les évènements relatés dans le journal des évènements de police dont la destruction est requise datent de 2023 et conservent un intérêt important pour les opérations des polices cantonales et communales. Le recours est rejeté sur ce point.
Arrêt de la CDAP du 5 mars 2024 (GE.2023.0217) – Recours contre une décision incidente de l’Autorité de protection des données et de droit à l’information ordonnant la recourante a lui transmettre des informations
Selon l’art. 21 al. 3 de la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21) en relation avec l’art. 38 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.64), le Préposé a un droit d’accès aux données requises « afin de tenter la conciliation ». Ce droit subsiste après la phase de conciliation permettant au Préposé d’instruire avant le prononcé de la décision. Le recours est rejeté.
Arrêt de la CDAP du 27 février 2024 (GE.2024.0057) – Recours contre une décision du Président du Tribunal d’arrondissement ordonnant la divulgation et la transmission de l’expertise psychiatrique du recourant
La transmission de documents entre autorités dans le cadre d’une procédure de protection de l’adulte régie par les art. 448 ss du Code civil du 10 décembre 1907 (CC ; RS 210) obéit à des règles spéciales faisant obstacle à l’application de la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21) et de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.64). Le recours est déclaré irrecevable. Le recours au Tribunal fédéral est déclaré irrecevable (1C_153/2024).
Arrêt de la CDAP du 2 février 2024 (GE.2023.0162) – Recours contre une décision de l’Autorité cantonale de protection des données et de droit à l’information refusant l’accès à des documents
Dans la pondération des intérêts entre la protection de la personnalité et le principe de transparence en application de la loi du 24 septembre 2002 sur l’information (LInfo, BLV 170.21), il faut notamment tenir compte de la nature des données visées, du rôle et de la position de la personne concernée, et de la gravité des conséquences que la divulgation entraînerait pour elle. Le recours est admis.
Arrêt de la CDAP du 11 décembre 2023 (GE.2022.0175) – Recours contre le refus de communiquer les coordonnées privées des conseillers communaux
Il n’existe pas d’intérêt prépondérant à la communication des coordonnées privées de conseillers communaux au sens de l’art. 15 al. 1 let. c de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.64) au public. Le recours est rejeté.
Arrêt de la CDAP du 21 septembre 2023 (GE.2023.0056) – Recours contre une décision d’irrecevabilité de l’Autorité cantonale de protection des données et de droit à l’information
La loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.64) ne s’applique pas à la production, par l’autorité administrative, de documents requis par un juge civil, même si la requête de production avait été initialement formée par une partie. L’art. 156 du Code de procédure civile du 19 décembre 2008 (CPC, RS 272) permet au tribunal d’ordonner les mesures nécessaires à la protection des intérêts des tiers à la procédure, après les avoir informés, et ceux-ci disposent de voies de droit suffisantes. Le recours est rejeté. Le recours au Tribunal fédéral est rejeté (1C_584/2023).
Arrêt de la CDAP du 14 juillet 2023 (GE.2023.0082, GE.2023.0086, GE.2023.0087, GE.2023.0088) – Recours contre le refus d’une Municipalité de rectifier le registre communal des habitants
Une rectification n’est pas admissible lorsque la recourante n’est pas en mesure d’établir qu’une inscription est incorrecte. Seules les indications obligatoires et facultatives de l’art. 4 al. 1 de la loi du 9 mai 1983 sur le contrôle des habitants (LCH ; BLV 142.01) peuvent être inscrite au registre. Le recours, manifestement mal fondé, est rejeté.
Arrêt de la CDAP du 12 juillet 2023 (GE.2022.0282) – Recours contre le refus d’une Municipalité de transmettre des procès-verbaux de séances municipales
Les noms et adresses d’individus figurant dans des documents officiels sont des données personnelles au sens de l’art. 4 al. 1 ch. 1 et ch. 7 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.64) que la Municipalité est fondée à caviarder.
Arrêt de la CDAP du 7 juin 2023 (GE.2022.0250) – Recours contre une décision d’une Municipalité de résilier les rapports de service
L’art. 26 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.64) n’exclut pas la consultation sur place d’un dossier médical.
Arrêt de la CDAP du 13 janvier 2023 (GE.2022.0226) – Recours contre la décision de l’Autorité de protection des données et de droit à l’information (APDI) prononçant spontanément sa récusation in corpore
Les compétences multiples du Préposé définies dans la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ont été expressément voulues par le législateur, sans qu’il ne soit jamais question d’une incompatibilité entre ces différentes tâches ou d’un devoir de récusation. Le recours postérieur à un préposé extraordinaire, qui n’est pas prévu par la loi, constitue qui plus est une entorse aux règles ordinaires de compétence et ne doit être envisagé que dans des situations très particulières, dans lesquelles aucune autre solution n’apparaît possible. Le recours est admis.
Arrêt de la CDAP du 10 novembre 2022 (GE.2022.0235) – Recours à titre personnel d’un syndic contre la décision de la cheffe du Département des institutions, du territoire et du sport (DITS) autorisant la communication d’un rapport d’enquête portant sur le fonctionnement de la Municipalité, à une société privée
Renvoi pour l’essentiel à l’arrêt GE.2022.0019. Le recours est rejeté. Recours au Tribunal fédéral pendant (1C_591/2022).
Arrêt de la CDAP du 28 octobre 2022 (GE.2022.0038) – Recours d’un journaliste contre le refus d’une Municipalité de transmettre un rapport d’enquête établi par un expert externe portant sur les difficultés de fonctionnement au sein de l’administration communale
Le rapport d’enquête représente un document essentiel et déterminant pour les procédures administratives ouvertes par la Municipalité à l’encontre d’employés de son administration. Conformément à l’art. 35 al. 2 de la loi du 28 octobre 2008 sur la procédure administrative (LPA-VD; 173.36), la loi du 24 septembre 2002 sur l'information (LInfo; BLV 170.21) n’est pas applicable tant que ces procédures sont pendantes. Même si la LInfo avait été considérée comme applicable, il aurait fallu se référer à la balance des intérêts prévue par l’art. 15 al. 1 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65), le rapport d’enquête contenant des données sensibles, voire des profils de la personnalité. Le recours est rejeté.
Arrêt de la CDAP du 29 juillet 2022 (GE.2021.0070) – Recours concernant une demande de consultation de contrats de prestations conclus entre le Département de la santé et de l’action sociale (DSAS) et des établissements médicaux privés
Un refus total d’accès fondé sur l’art. 16 al. 2 let. a de la loi du 24 septembre 2002 sur l'information (LInfo; BLV 170.21) n’apparait pas suffisamment motivé en l’espèce. Seul un refus partiel au sens de l’art. 17 LInfo pourrait le cas échéant se justifier, à condition que l’autorité concernée définisse clairement, avec motifs à l’appui, les informations concernées. La loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) constitue une loi spéciale par rapport à la LInfo. Des données personnelles peuvent en principe être communiquées dans le respect de l’art. 15 al. 1 LPrD. Le recours est admis.
Arrêt de la CDAP du 30 juin 2022 (GE.2022.0114) – Recours pour déni de justice et retard injustifié, demande en constatation du caractère illicite du traitement des données et requête en réparation du tort moral
La décision de l’autorité intimée a été notifiée par pli recommandé au recourant, qui ne l’a pas retirée. C’est donc à tort que le recourant se plaint d’un déni de justice formel. Le recourant n’ayant pas contesté la décision en temps utile, elle est entrée en force. La conclusion du recourant tendant à ce que soit constaté le traitement du caractère illicite de ses données est donc irrecevable. Les actions fondées sur la loi du 16 mai 1961 sur la responsabilité de l'Etat, des communes et de leurs agents (LRECA; BLV 170.11) relevant des tribunaux civils et non d’une décision d’une autorité administrative, les conclusions du recourant tendant au versement d’indemnités à titre de réparation du dommage et de tort moral sont également irrecevables. Le recours, manifestement mal fondé, est rejeté.
Arrêt de la CDAP du 20 juin 2022 (GE.2022.0019) – Recours à titre personnel d’un syndic contre la décision de la cheffe du Département des institutions et du territoire (DIT) autorisant la communication d’un rapport d’enquête portant sur le fonctionnement de la municipalité à une société privée
Le rapport litigieux contenant des données personnelles du recourant, sa transmission doit être analysée à la lumière de l’art. 15 al. 1 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65). L’intérêt de la société privée à obtenir le rapport prime l’intérêt du recourant à ce que le rapport d’enquête reste confidentiel (art. 15 al. 1 let. c LPrD). Le recours est rejeté. Le recours au Tribunal est rejeté (1C_388/2022, 1C_591/2022).
Arrêt de la CDAP du 13 juin 2022 (PS.2022.0023) – Recours d’un administré ayant notamment refusé de remettre une autorisation de renseigner complémentaire contre la décision confirmant la suppression du droit au revenu d’insertion (RI) à titre de sanction
L’art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051) institue une obligation pour le demandeur d'aide sociale d'autoriser l’autorité d’application du RI à demander des informations à des tiers, ce qui inclut l'autorisation de la communication à ces tiers du fait qu'il est demandeur d'aide sociale, soit d’une donnée sensible au sens de l'art. 4 al. 1 ch. 2 de la loi 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65). Pour être valable, le consentement requis par la LASV doit être éclairé, librement consenti et explicite (art. 12 LPrD). En l’espèce, l’autorité d’application du RI est en droit d’exiger du requérant la signature d’une autorisation de renseigner complémentaire large, comprenant une liste des principales banques, caisses d’épargnes et organes de crédits actifs en Suisse. Le recours est rejeté.
Arrêt de la CDAP du 9 juin 2022 (GE.2022.0101) – Recours contre une décision déclarant irrecevable une requête tendant à la destruction de toutes les données relatives à une intervention de police
Après une transaction entre les parties contenant une modification de la décision attaquée, une nouvelle décision administrative naît, laquelle peut être l’objet d’un réexamen aux conditions posées par l’art. 64 de la loi du 28 octobre 2008 sur la procédure administrative (LPA-VD; BLV 173.36). Tel n’est pas le cas en l’espèce. Le recours est rejeté. Arrêt annulé par le Tribunal fédéral (1C_358/2022). Nouvel arrêt de la CDAP (GE.2022.0167).
Arrêt de la CDAP du 5 avril 2022 (GE.2020.0121) – Recours d’un administré contre le refus de la Police cantonale de détruire les pièces relatives au séquestre de son arme dans la base de données SINAP
Aucune base légale formelle au sens de l’art. 5 al. 2 let. a de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ne prévoit expressément le traitements des données personnelles concernées par l’autorité intimée. Le calendrier de conservation établi par celle-ci en collaboration avec les Archives cantonales vaudoises ne saurait être assimilé à une base légale formelle. La conservation de ces données doit dès lors être examinée au regard des tâches dévolues à l’autorité intimée, de l’intérêt public et du principe de proportionnalité. En l’espèce, la question de savoir si le séquestre de l’arme du recourant doit figurer dans l’une ou l’autre des banques de données fédérales prévues dans la loi fédérale du 29 juin 1997 sur les armes, les accessoires d’armes et les munitions (LArm; RS 514.54) peut rester indécise, l’intérêt public à la conservation de ces données l’emportant sur l’intérêt privé du recourant à leur destruction. Le recours est rejeté. Arrêt confirmé par le Tribunal fédéral (1C_273/2022).
Arrêt de la CDAP du 1er avril 2022 (GE.2021.0171) – Recours d’un administré contre le refus de la Municipalité de lui transmettre l’ensemble des informations requises concernant la gestion du port de la Commune
Il incombe à l’autorité intimée de vérifier, pour chacune des informations sollicitées, le travail nécessaire pour y répondre favorablement ainsi que l’atteinte portée à des intérêts privés prépondérants. En l’espèce, il apparait que la demande du recourant n’aurait pas occasionné de travail manifestement disproportionné. L’absence d’atteinte à des intérêts privés prépondérants du fait du caviardage des données personnelles, tel que requis par le recourant, commandait que la Municipalité fournisse les informations sollicitées en vertu de l’art. 17 de la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21). Le recours est admis.
Arrêt de la CDAP du 8 décembre 2021(GE.2021.0091) – Recours d'un conducteur responsable d'un accident de la circulation qui s'oppose à la transmission du rapport de police à l'assureur responsabilité civile du véhicule qu'il conduisait
Le Ministère public vaudois est soumis à la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) et statue en tant qu’autorité administrative lorsqu’il est saisi d’une demande d’accès au dossier d’une procédure pénale close. En l’espèce, il existe un intérêt privé prépondérant (art. 15 let. c LPrD) de l’assureur à la communication. Le recours est rejeté.
Arrêt de la CDAP du 3 novembre 2021 (GE.2021.0145) – Recours d’un administré contre le refus de la Municipalité de Morges de lui transmettre les documents déposés par des concurrents
Sur la base de la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21), un administré demande à avoir accès à tous les documents déposés par des concurrents à l’appui de leur demande d’exploiter un service de taxi. La Municipalité motive à juste titre sous l’angle de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) son refus de transmettre les documents litigieux par l’existence d’un intérêt privé prépondérant, à savoir le secret commercial et le secret professionnel.
Arrêt de la CDAP du 29 septembre 2021 (GE.2021.0076) – Recours contre le refus de la Municipalité de transmettre une copie d'une ou plusieurs pétitions non anonymisée
Même si l’art. 10 de la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21) n’exige pas de motivation, il n’est pas contradictoire de se référer aux art. 16 LInfo et 15 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) en exigeant du demandeur de faire valoir un intérêt public ou privé prépondérant pour admettre la communication d’un document non anonymisé. Considérant que l’intéressé ne fait valoir aucun intérêt propre et personnel et que les pétitionnaires bénéficient de la garantie que l’exercice de leur droit ne leur porte pas préjudice, le recours est rejeté.
Arrêt de la CDAP du 12 août 2021 (GE.2020.0238) – Recours d’un fonctionnaire communal contre un avertissement reçu par la Municipalité pour avoir manqué à ses devoirs professionnels
La consultation et l’utilisation à des fins privées de données de consommation de gaz par un fonctionnaire des Services industriels, dans le but de s’assurer que son bailleur lui facture correctement les frais de chauffage, constituent une utilisation abusive de données personnelles prohibée par la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ainsi qu’une violation de ses obligations contractuelles notamment celles de diligence, de conscience et de fidélité. Le recours est rejeté.
Arrêt de la CDAP du 21 mai 2021 (GE.2020.0229) – Recours d’un administré contre une décision du Conseil de santé (Direction générale de la santé) concernant la demande d’accès à des documents
Une demande d’accès aux pièces d’un dossier détenu par une autorité et concernant le demandeur ne doit pas se fonder sur la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21), comme l’invoque l'intéressé, mais bien plutôt sur la loi vaudoise du 29 mai 1985 sur la santé publique (LSP; BLV 800.01) en tant qu'il requiert l'accès à des données médicales, respectivement sur la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) pour le reste. La LPrD constitue une loi spéciale par rapport à la LInfo et le droit d’accès aux données médicales est régi par la LSP (art. 27 al. 2 LPrD). L'autorité intimée a en substance invité le recourant à s'adresser directement aux professionnels de santé et autres autorités compétentes qui détenaient les documents le concernant auxquels il souhaitait avoir accès, étant notamment précisé qu'il ne lui appartenait pas d'intervenir dans ce cadre auprès de tiers. Le recours est rejeté.
Arrêt de la CDAP du 14 décembre 2020 (GE.2020.0038) – Recours d’un administré contre une décision de la Municipalité refusant de lui transmettre l’intégralité du dossier relatif aux échanges entre l’autorité et un expert à propos du déploiement de la 5G
Dans le cadre d’une demande basée sur la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21) tendant, entre autres, à l’accès au nom d’un expert ayant échangé avec le Service des énergies, la Municipalité doit, dans son examen des intérêts prépondérants à la communication (art. 16 LInfo), effectuer la pesée d’intérêts entre l’intérêt public non négligeable à connaître l’identité d’une personne ayant assumé la fonction d’expert sur mandat des autorités et l’intérêt privé relatif à la sphère privé dudit expert, sur la base de l’art. 15 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65). Le recours est partiellement admis et la décision attaquée est annulée et réformée.
Arrêt de la CDAP du 23 septembre 2020 (GE.2020.0021) – Recours contre un refus d’octroi de la bourgeoisie communale au motif d’une intégration insuffisante au vu d’évènements inscrits dans le journal des évènements de police
Dans le cadre d’une procédure de naturalisation, l’Association Sécurité Riviera commet une violation de l’art. 11 al. 1 de la loi du 19 décembre 2017 sur le droit de cité vaudois (LDCV ; BLV 141.11), en refusant de transmettre des données sensibles relatives à des sanctions pénales à l’autorité communale compétente.
Arrêt de la CASSO du 16 septembre 2020 (AI 236/20 - 318/2020) – Recours pour déni de justice suite à une demande d’accès à « toutes les décisions rendues par la caisse de compensation et l’office OAI (en original) », des « attestations des cotisations AVS pay[é]es », des « attestations de rentes AVS/AI » et des « attestations indemnités journalières »
La CASSO estime que la Caisse cantonale vaudoise de compensation AVS, établissement cantonal de droit public, statue, dans le domaine de l’AVS/AI et des prestations complémentaires – sur lesquels porte la demande de consultation des données personnelles, dans l’accomplissement de tâches de droit public que la Confédération lui a confiées. Partant, la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ne s’appliquerait pas à cette requête, qui serait soumise à la loi sur la protection des données (LPD; RS 235.1). Le recours est irrecevable. À noter toutefois que dans l’arrêt 1C_125/2015 du 17 juillet 2015, le Tribunal fédéral a considéré que les organes cantonaux et communaux, soit l'ensemble des autorités et services de l'administration cantonale, sont soumis à la LPrD et non à la LPD, même s’ils sont chargés de l’exécution de tâches de la Confédération.
Arrêt de la CDAP du 24 juin 2020 (GE.2020.0065) – Recours pour déni de justice suite à l’absence de réponse dans un délai de deux mois
loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ne contient pas de disposition impartissant un délai à l’autorité compétente pour rendre de décision formelle tendant à faire constater que des données ont été mal saisies et à faire cesser leur traitement illicite. Le délai de deux mois n’est pas constitutif d’un déni de justice compte tenu des circonstances, notamment dans le contexte de la pandémie du Covid-19. Les recours sont rejetés. Le Tribunal fédéral a confirmé cette décision (arrêt du Tribunal fédéral du 9 octobre 2020 (1C_395/2020) publié par la CDAP (GE.2020.0065))
Arrêt de la CDAP du 16 juin 2020 (GE.2019.0214) – Recours formé par un administré contre la décision de la Police cantonale refusant de faire droit à sa demande tendant à la destruction d’un extrait du Journal des événements de police (JEP)
Vu l’écoulement du temps (10 ans) depuis les faits, il se justifie d’effectuer une nouvelle pesée d’intérêts pour déterminer si des données inscrites dans le JEP doivent être supprimées. Contrairement à ce que soutient le recourant, la mention dans le Registre des fichiers du canton de Vaud selon laquelle la « durée de conservation » des données contenues dans le JEP serait de « 5 ans » n’a qu’une portée indicative. Le recours est partiellement admis et la cause est renvoyée à l’autorité intimée pour nouvelle décision.
Arrêt de la CDAP du 3 juin 2020 (GE.2019.0162) – Recours concernant une demande d’accès à des documents officiels contenant des données personnelles
C'est à juste titre que l'autorité intimée a estimé qu'il convenait de caviarder les noms et initiales des collaborateurs de l'Etat de Vaud sur les documents auxquels le recourant demande à avoir accès, de telles données personnelles ne pouvant être communiquées qu'aux conditions de l'art. 15 al. 1 de la loi cantonale du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65). Le recours est rejeté sur ce point.
Arrêt de la CDAP du 30 janvier 2020 (GE.2018.0229) – Recours dirigé contre une décision du Conseil de Santé, refusant au demandeur l'accès au dossier médical archivé de son arrière-grand-père
Compte tenu du contenu du dossier médical (observations factuelles pour la plupart) et de l’écoulement du temps (plus de huitante ans) intervenu depuis le décès de son aïeul, l’intérêt privé de la recourante à consulter le dossier médical de son arrière-grand-père prime l’intérêt du défunt à ce que des renseignements figurant dans son dossier médical ne soient pas divulgués après son décès. Le recours est admis.
Arrêt de la CDAP du 16 janvier 2020 (GE.2017.0188) – Recours contre la publication d'un sanction disciplinaire prononcée par la Chambre des avocats (CAVO) à l'encontre d'un avocat
La publication d’une décision caviardée de la CAVO sur le site internet de l’Etat de Vaud n’est pas conforme au droit fédéral si la personne concernée reste indentifiable. Le recours est admis.
Arrêt de la CDAP du 18 décembre 2019 (GE.2019.0229) – Recours contenant des conclusions tendant à ce que le Service de la population (SPOP) rectifie des données litigieuses
La demande initiale adressée au SPOP visant uniquement à obtenir des renseignements sur les raisons pour lesquelles les données litigieuses figuraient au dossier des recourants et l’Etablissement vaudois d’accueil des migrants (EVAM), et non le SPOP, étant le responsable de traitement au sens de la LPrD, le recours pour déni de justice est irrecevable.
Arrêt de la CDAP du 11 décembre 2019 (GE.2019.0012) – Recours contre une décision de la Commission de recours de l’Université de Lausanne (CRUL)
La communication par l’UNIL des cas d’infraction à l’intégrité scientifique et les mesures prises au CHUV ne repose pas sur une base légale suffisante. Le recours est notamment admis sur ce point.
Arrêt de la CDAP du 19 novembre 2019 (AC.2018.0374) – Recours contre l’ordre d’une Municipalité de retirer une caméra de vidéosurveillance installée par un privé et dont le champ d’enregistrement englobe en partie le domaine public
La vidéosurveillance du domaine public par des particuliers est soumise à la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1). Toutefois, cette dernière n’attribue pas aux cantons et aux communes la compétence de statuer sur la conformité d’un système de vidéosurveillance au regard de ladite législation. La loi cantonale du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) n’est quant à elle pas applicable au traitement de données personnelles effectué par des particuliers. En l’absence de disposition cantonale ou communale traitant de la vidéosurveillance du domaine public par des particuliers, une décision d’ordonner le retrait d’une caméra installée par des privés doit être frappée de nullité. Au surplus, les art. 2 al. 2 let. c et d et 42 al. 1 ch. 2 de la loi du 28 février 1956 sur les communes (LC ; BLV 175.11), invoqués par l’autorité intimée dans la présente cause, ne sauraient être considérés comme suffisants pour fonder la décision litigieuse. Le recours est admis.
Arrêt de la CDAP du 26 février 2019 (GE.2018.0075) – Recours contre le refus d’accorder un accès en ligne étendu au Registre foncier (RF)
La situation d’un mandataire juridique agréé par une association n’équivaut pas celle des avocats et agents d’affaires brevetés lorsqu’il est question d’accès en ligne étendu au RF selon l’art. 28 de l’ordonnance du 23 septembre 2011 sur le registre foncier (ORF ; RS 211.432.1). Cela notamment en raison de la différence de surveillance appliquée à ces métiers, et du degré de soumission au secret professionnel. Le recours est rejeté.
Arrêt de la CDAP du 14 février 2019 (GE.2018.0007) – Rejet de demande de révision de l’arrêt GE.2015.0162
Une demande de révision doit se baser sur des faits ou moyens de preuves nouveaux et pertinents dont on ne pouvait se prévaloir dans une procédure antérieure, ce qui n’est pas le cas en l’espèce. Demande rejetée.
Arrêt de la CDAP du 7 février 2019 (GE.2018.0246) – Recours pour absence de réponse en matière de droit d’accès
L’exercice d’un droit d’accès pour le compte d’un tiers n’est pas un droit strictement personnel. Une personne sous curatelle de portée générale n’ayant pas l’exercice des droits civils ne peut dès lors pas ester en justice en son propre nom. Elle ne peut pas non plus agir comme représentante d’un tiers en procédure. Recours déclaré irrecevable. Recours au TF déclaré irrecevable (arrêts 1C_110/2019 et 1C_111/2019 du 26 février 2019).
Arrêt de la CDAP du 31 janvier 2019 (GE.2018.0245) – Recours contre le refus de transmettre un fichier contenant la liste des personnes invitées à une réception officielle
Suite à sa demande initiale, les catégories et fonctions des personnes invitées ont été transmises au recourant. Ce dernier souhaite toutefois accéder à la liste nominative des personnes invitées ainsi qu’à leur adresse, ce qui lui a été refusé.
La communication d’un fichier demandée en vertu de la LInfo contenant des données personnelles au sens de l’art. 4 al. 1 ch. 1 de la LPrD doit être soumise aux conditions de l’art. 15 al. 1 LPrD. En l’espèce, le requérant ne justifiant pas d’un intérêt privé prépondérant à la communication des données, la décision de refus de transmettre ne viole pas le droit cantonal, et le recours doit être rejeté. Recours au TF pendant : 1C_136/2019.
Arrêt de la CDAP du 12 novembre 2018 (GE.2017.0217) – Recours contre le refus de consultation d'un dossier pénal archivé
Les principes de liberté d'information et de publicité de la justice n'autorisent pas un tiers à consulter un dossier pénal archivé en l'absence d'intérêt digne de protection. Le recourant ne faisant valoir aucun intérêt digne de protection, il ne dispose pas d'un droit propre à la consultation.
Arrêt de la CDAP du 18 mai 2018 (GE.2018.0043) – Recours d’une personne sous curatelle générale contre le refus de l’Office des curatelles de lui faire parvenir divers documents et informations concernant sa situation patrimoniale
La relation entre l’Office des curatelles et tutelles professionnelles (OCTP), respectivement le curateur, et le recourant, sous curatelle de portée générale, est réglée de manière particulière et exhaustive par des dispositions spéciales (art. 449b du code civil suisse du 10 décembre 1907 [CC ;RS 210] notamment). L’art. 25 de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65) ne s’applique dès lors pas à cette relation. Le recours est rejeté.
Arrêt de la CDAP du 16 mars 2018 (GE.2017.0181) – Recours contre le refus de transmission des valeurs par l’Etablissement d’assurance contre l'incendie et les éléments naturels du Canton de Vaud (ECA)
Les polices d’assurance de l’ECA constituent des documents officiels au sens de la LInfo contenant des données personnelles au sens de la LPrD. Dès lors que la communication de certaines données est prévue par une base légale au sens de l’art. 5 al. 1 LPrD, comme l'exige l'art. 15 al. 1 let. a LPrD, et qu’aucun intérêt public ou privé ne s’oppose à leur communication, la transmission des données doit être admise.
Arrêts de la CCST du 30 janvier 2018 (CCST.2017.0016 et CCST.2017.0018) – Requêtes contre l’introduction de l’art. 11a al. 1, 4 et 6 dans le RCLPFES
Le devoir incombant aux membres du Conseil et aux directeurs d’Etablissement médico-sociaux (EMS) reconnus d'intérêt public d'annoncer leurs mandats externes aux autres membres du Conseil, tel que prévu à l’art. 11a du règlement du 8 octobre 2008 précisant les conditions à remplir par les établissements sanitaires privés pour être reconnus d'intérêt public au sens de la loi du 5 décembre 1978 sur la planification et le financement des établissements sanitaires d'intérêt public (RCLPFES ; BLV 810.01.3), repose sur une base légale suffisante, répond a un intérêt public et est conforme au principe de la proportionnalité.
Arrêts de la CCST du 19 décembre 2017 (CCST.2017.0015 et CCST.2017.0017) – Requêtes contre l’introduction de l’art. 7 al. 2 dans le RCCMS
La transmission des certificats de salaire des directeurs d’Etablissement médico-sociaux (EMS) au chef du Service des assurances sociales et de l'hébergement (SASH), telle que prévue à l’art. 7 al. 2 du règlement du 7 mai 2008 fixant les normes relatives à la comptabilité, au contrôle et à l'analyse des établissements médico-sociaux, des lits de type C des hôpitaux et des centres de traitement et de réadaptation, reconnus d'intérêt public, ainsi que des homes non médicalisés (RCCMS ; BLV 810.31.1), repose sur une base légale suffisante, répond a un intérêt public et est conforme au principe de la proportionnalité.
Arrêt de la CDAP du 16 décembre 2016 (GE.2016.0084) – Déni de justice et recours contre le refus d’octroyer la confidentialité des données
La communication de renseignements relatifs au mari et père décédé des recourants en relation avec une procédure de divorce par l'office de la population à une avocate en Italie constitue un traitement illicite de données dans la mesure où celle-ci porte sur le décès de la personne concernée, son lieu de naissance et le nom de son conjoint. Dès lors que les données litigieuses ont été utilisées en Italie dans une procédure de divorce, on ne pouvait attendre du responsable du traitement qu'il supprime les effets du traitement illicite ou qu'il en répare les conséquences. Demeure réservée une éventuelle action en responsabilité en application de la loi du 16 mai 1961 sur la responsabilité de l'Etat, des communes et de leurs agents (LRECA ; BLV 170.11). C'est à tort que l'office de la population a refusé aux recourants l'accès au dossier de leur mari et père. En revanche, la décision communale refusant la demande de confidentialité relative aux données des recourants et à celles de leur mari et père est confirmée.
Arrêt de la CDAP du 22 mars 2016 (GE.2015.0207) – Recours contre le refus d’autoriser le fonctionnement d’un système de vidéosurveillance dissuasif vingt-quatre heures sur vingt-quatre et sept jours sur sept dans une piscine
Même si la seule présence de caméras peut être vécue comme intrusive par les individus concernés, la durée de vidéosurveillance peut être étendue si la preuve d’une nécessité concrète est apportée. En l’espèce, la gravité et la répétition des actes constatés par la recourante rendent nécessaire une vidéosurveillance permanente, même pendant la journée.
Arrêt de la CDAP du 12 février 2016 (GE.2015.0162) – Recours contre le refus de destruction des données personnelles contenues dans des bases de données de la Police cantonale
Les faits relatés dans le journal des événements de police (JEP) ou dans la base de données SINAP ne portant pas sur des crimes, délits ou contraventions ne sont pas couverts par la loi du 1 décembre 1980 sur les dossiers de la police judiciaire (LDPJu ; BLV 133.17).
L'implication - à tort ou à raison - dans une procédure impliquant l'intervention de la police entre dans la définition de données sensibles. La conservation des données qui concernent le recourant, excepté celles ayant trait à une décision de séquestre d'arme, ne se justifie plus, compte tenu du temps écoulé et de la nature des événements relatés.
Arrêt de la CDAP du 22 mai 2015 (GE.2013.0017) – Recours contre le refus de destruction de données personnelles par un Centre social régional (CSR)
En l’espèce, le courrier électronique doit être considéré comme une décision sujette à recours, quand bien même il ne satisfait pas aux exigences formelles prévues par la loi et n'a pas été notifié régulièrement au recourant. Le recours est rejeté pour le reste.
Arrêt de la CDAP du 16 avril 2015 (GE.2014.0110) – Protection des données personnelles dans le cadre de pourparlers contractuels entre une commune et un tiers
Le traitement de données en relation avec le transfert d'un droit distinct et permanent sur le patrimoine communal sert à l'accomplissement d'une tâche publique au sens de l'art. 5 al. 1 let. b LPrD. En l’espèce, la Municipalité n'a pas violé son obligation d'informer le tiers quant à la collecte de données et il existe une base légale communale pour procéder au traitement des données litigieuses. La collectivité publique qui envisage la conclusion d'un contrat peut faire valoir un intérêt public ou privé prépondérant à la collecte de données à l'insu, dans un premier temps en tout cas, de son cocontractant. Le droit à la consultation des données litigieuses est en revanche admis, de même que la remise d'une copie du rapport d'enquête litigieux. Aucun intérêt privé ou public prépondérant justifiant une restriction à cet égard n’est avéré.
Arrêt de la CDAP du 17 juillet 2014 (GE.2014.0120) – Recours contre le refus d’établir une attestation de résidence "sur mesure"
Des attestations "sur mesure" ne peuvent être établies que dans des circonstances exceptionnelles. En l'occurrence, le recourant ne démontre pas l'existence de telles circonstances, en disant vouloir se protéger d'un Etat "criminel", sans donner son identité ni aucune information supplémentaire.
Arrêt de la CDAP du 6 mai 2014 (GE.2014.0019) – Recours contre le refus d’autoriser le fonctionnement d’un système de vidéosurveillance dissuasif vingt-quatre heures sur vingt-quatre et sept jours sur sept dans un bâtiment administratif communal
En application du principe de la proportionnalité, et compte tenu du fait que la Municipalité n'a pas à faire face à une situation particulièrement préoccupante en matière de vols ou de déprédations dans ces locaux, l’utilisation d’un système de vidéosurveillance n’est admise qu’en dehors des heures d'ouverture de bureau usuelles.
Arrêt de la CDAP du 7 avril 2014 (PS.2013.0082) – Recours contre une sanction émise par un CMS suite au refus des recourants, bénéficiaires de l’aide sociale, de signer le formulaire d’autorisation de renseigner
Le formulaire soumis aux recourants ne viole pas la LPrD (confirmation de jurisprudence). En refusant de le signer, les recourants ont violé l’obligation de renseigner découlant de l'art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051). Ils se sont ainsi exposés aux sanctions prévues à l'art. 45 LASV. La sanction infligée en l’espèce ne viole pas le principe de proportionnalité.
Arrêt de la CDAP du 10 mars 2014 (GE.2013.0137) – Recours contre le refus de communiquer au Préposé à la protection des données et à l’information l'identité d’une personne ayant pris des renseignements fiscaux au sujet d'un tiers
Le devoir d'informer le contribuable de l'identité de la personne qui a demandé à avoir accès à ses données fiscales n’est prévu ni dans la LPrD, ni dans les dispositions fiscales. S'agissant d'un silence qualifié, on ne se trouve pas en présence d'une lacune improprement dite que le juge devrait combler. Recours admis sous l’angle de la loi vaudoise du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21).
Arrêt de la CDAP du 3 décembre 2013 (GE.2013.0094) – Recours contre une décision de licenciement avec effet immédiat suite à la consultation de données fiscales d’une collègue
Les informations relatives à la situation financière sont des données personnelles "délicates", justifiant une protection plus large. La consultation non autorisée de ces informations constitue une atteinte grave à la personnalité, qui a mené, à juste titre, à un licenciement immédiat avec justes motifs.
Arrêt de la CDAP du 27 novembre 2013 (GE.2013.0202) – Recours contre le refus de destruction d’un courrier d’avertissement
La LPrD ne peut s’appliquer à un courrier contenant des données personnelles tant qu’une enquête pénale, dans laquelle celle-ci constitue une pièce essentielle, est en cours.
Arrêt de la CDAP du 28 octobre 2013 (PS.2013.0068) – Recours contre une sanction émise par un CMS suite au refus de la recourante, bénéficiaire de l’aide sociale, de signer le formulaire d’autorisation de renseigner
L'art. 38 al. 1 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051) constitue la base légale formelle au sens de l’art. 5 al. 2 let. a LPrD pour le traitement de données sensibles par l'autorité d'application. Le bénéficiaire de l'aide sociale a l'obligation d'informer l'autorité, de manière complète et détaillée, de l'évolution de sa situation financière, sans pouvoir se référer à la protection de sa sphère privée pour s'y opposer.
Arrêt de la CDAP du 27 mai 2013 (GE.2013.0019) – Recours contre le refus de consulter une dénonciation écrite
En l’espèce, la dénonciation s'est avérée partiellement fondée, puisque le contrôle qu'elle a généré a effectivement révélé certains manquements de la part des exploitants. La protection de la sphère privée du dénonciateur s'oppose dès lors à la consultation, de même que l'intérêt public s'oppose à ce qu'un accès général et systématique aux dénonciations soit octroyé.
Arrêt de la CDAP du 1er mars 2013 (GE.2012.0139) – Recours contre le refus d’autoriser le fonctionnement d’un système de vidéosurveillance dissuasif pendant les heures de cours dans une école
En l’espèce, le fait d'utiliser la vidéosurveillance pendant les heures de cours est nécessaire pour atteindre le but d'intérêt public visé. Cette mesure respecte également le principe de proportionnalité au sens étroit dès lors que les élèves et les enseignants ne sont filmés qu'à l'extérieur des bâtiments scolaires.
Arrêt de la CDAP du 3 octobre 2012 (GE.2011.0175) – Demande d’accès à ses propres données
Le droit d’accès est réputé respecté lorsque les autorités compétentes transmettent toutes les informations requises au préposé à la protection des données et à la l’information (PPDI) et si elles confirment qu’il n’existe pas d’autres données personnelles concernant les recourants.
Arrêt de la CDAP du 1er mai 2012 (GE.2011.0181) – Recours contre le refus de communiquer un rapport d'enquête à un fonctionnaire communal blanchi d’une accusation de harcèlement
Un règlement communal ne constitue pas une base légale formelle suffisante permettant de restreindre la consultation d’un rapport d’enquête administrative au sens de l’art. 27 let. a LPrD.
Arrêt du tribunal fédéral du 29 août 2011 (2C_116/2011, 2C_117/2011 et 2C_118/2011) publié par la CDAP (GE.2009.0170) - Recours contre la décision de retrait de l’autorisation A des chauffeurs de taxis
Contrairement à ce qui a été invoqué par un des recourants, les art. 25 ss de la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD; BLV 172.65) permettent aux recourants d’avoir accès à leurs données personnelles récoltées via GPS auprès de la Société concessionnaire ou de l’autorité concédante.
Arrêt de la CDAP du 23 août 2011 (GE.2011.0044) – Données personnelles publiées sur internet
Une anonymisation minutieuse suffit pour garantir la protection de la sphère privée des personnes dont les publications, contenant des données personnelles, sont rendues accessibles au public sur internet.
Arrêt de la CDAP du 2 mai 2011 (GE.2011.0034) – Demande de destruction et de rectification de données personnelles
Les relations faites d'appels à la Centrale d'alarme et d'engagement (CAE) dans le journal des événements de police (JEP) constituent des données sensibles au sens de la LPrD. Les extraits du JEP peuvent être consultés par les personnes concernées, pour autant que les données relatives à des tiers soient préalablement anonymisées. La destruction est exclue en l’espèce. Lorsque ni l'exactitude ni l'inexactitude d'une donnée ne peut être établie, il convient d'y adjoindre la mention de son caractère litigieux.
Arrêt de la CDAP du 4 avril 2011 (PS.2010.0079) – Recours contre le refus de signer le formulaire d’autorisation de renseigner
L'art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051) institue une obligation pour le demandeur d'autoriser la demande d'informations à des tiers par l'autorité d'application du revenu d’insertion, ce qui inclut l'autorisation de la communication à ces tiers du fait qu'il est demandeur d'aide sociale, soit d’une donnée sensible au sens de la LPrD.
Arrêt de la CDAP du 4 janvier 2011 (GE.2010.0121) – Recours contre le refus de transmettre une copie d'une demande de levée du secret professionnel
La conservation d’une demande de levée du secret médical, contenant notamment des indications sur l’état psychique d’un ancien patient, adressée par un médecin au Conseil de santé, constitue un traitement de données sensibles au sens de la LPrD. Le droit d’accès à ses propres données peut être restreint ou refusé dans certains cas. En l’espèce, des intérêts privés et publics l’emportent sur l'intérêt personnel du requérant à prendre connaissance de la demande.
Arrêt de la CDAP du 3 novembre 2010 (PS.2010.0041) – Recours contre le refus de signer le formulaire d’autorisation de renseigner
L'art. 38 al. 1 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051) constitue la base légale formelle au sens de l’art. 5 al. 2 let. a LPrD pour le traitement de données sensibles par l'autorité d'application. Pour être valable, le consentement doit notamment être éclairé et librement consenti (art. 12 LPrD), ce qui est le cas en l’espèce.
Arrêt de la CDAP du 7 septembre 2010 (GE.2010.0048) – Recours contre le refus d’accès à l’intégralité d’un dossier du Service de la protection de la jeunesse (SPJ)
Sur la base des principes de la LPrD, le recourant doit pouvoir consulter les données le concernant détenues par le Service de protection de la jeunesse (SPJ) figurant dans des courriers ou courriels transmis par son ex-épouse ou par des proches de celle-ci. Il appartient à l’autorité intimée de caviarder les informations concernant des tiers. L'appréciation doit en revanche être différente s’agissant du journal et des notes des collaborateurs, des échanges de courriers et de courriels entre les différents intervenants professionnels, ainsi que des procès-verbaux des séances de réseau et des pièces relatives à la préparation de ces séances, lesquels doivent être soustraits à la consultation.
Arrêt de la CDAP du 20 juillet 2010 (GE.2010.0073) – Recours contre le refus de communication d’un enregistrement téléphonique
Le maintien de la sécurité publique constitue un intérêt publique prépondérant permettant de refuser la consultation des déclarations d’appels à la Centrale d'engagement et de transmission (CET ; numéro 117).
Arrêt de la CDAP du 21 juin 2010 (GE.2010.0030) – Recours contre le refus de consulter et de détruire des données personnelles contenues dans le journal de police
Lorsque la consultation d’un document contenant des données personnelles de tiers impliqués est demandée, il appartient à l’autorité intimée de les caviarder au préalable. Après avoir consulté les données le concernant, le recourant pourra, s'il le juge opportun, agir en application de l'art. 29 LPrD. En l'espèce, le report dans le journal des interventions de la police se justifie à des fins de contrôle de l'activité de la police. Seule peut dès lors entrer en ligne l'hypothèse d'une rectification des données figurant dans le journal, mais non leur destruction.
Arrêt de la CDAP du 21 juin 2010 (GE.2010.0047) – Recours contre le refus de détruire des données personnelles
Les données personnelles doivent être détruites ou rendues anonymes dès qu’elles ne sont plus nécessaires à la réalisation de la tâche pour laquelle elles ont été collectées. La conservation par la police d’un arrêt, de documents, de correspondances et de pièces relatifs à une cause contenant des données sensibles ne peut se faire que si l’une des conditions de l’art. 5 LPrD est remplie, ce qui n’est pas le cas en l’espèce.
Arrêt de la CDAP du 29 janvier 2010 (GE.2009.0140) – Recours contre le refus de détruire des données personnelles
Lorsque des données personnelles ne sont plus nécessaires à la réalisation de la tâche pour laquelle elles ont été collectées, elles doivent être détruites ou anonymisées. La conservation, par le Service du personnel de l’Etat de Vaud (SPEV), d’une liste des recours tendant initialement à contester le contenu d’un avenant et par la suite retirés ne se justifie pas. Il en va de même de la conservation, par les autorités d’engagement et les chefs de service, de la liste des personnes ayant retiré leur recours.
Arrêt de la CDAP du 19 août 2009 (PS.2008.0070) – Recours contre une sanction émise par un CMS suite au refus de signer la procuration générale
Le recours est devenu sans objet, le Service de prévoyance et d’aide sociales (SPAS) ayant annulé sa décision en cours de procédure au vu de la jurisprudence rendue par la cour de céans sur une affaire similaire (PS.2008.0073 ; voir ci-dessous).
Arrêt de la CDAP du 20 février 2009 (PS.2008.0073) – Recours contre une sanction émise par un CMS suite au refus de signer la procuration générale
Le consentement exigé à l’art. 38 de la loi du 2 décembre 2003 sur l'action sociale vaudoise (LASV ; BLV 850.051), qui impose une obligation de renseigner, doit être interprété à la lumière de l’art. 12 LPrD. Pour être valable, un tel consentement doit être éclairé et librement consenti après avoir été dûment informé. Tel n'est pas le cas en l'espèce.
Arrêt de la CDAP du 11 février 2009 (GE.2008.0099) – Recours contre le refus de communiquer les pièces du dossier dans le cadre d’une procédure tendant à l’octroi de prestations
Le recours est irrecevable, faute de compétence de la CDAP.
Arrêt de la CDAP du 27 octobre 2008 (GE.2008.0133) – Recours contre le refus de détruire des données personnelles
La conservation d'une correspondance adressée par la Police cantonale (PolCant) au Juge cantonal chargé des dossiers de police judiciaire contenant des données personnelles est une atteinte à la liberté personnelle devant reposer sur une base légale, répondre à un intérêt public et être conforme au principe de la proportionnalité, afin d’être justifiée. En l’espèce, l’adjonction d’une mention rectificative sur le document litigieux est satisfaisante.
Arrêt de la CDAP du 10 juillet 2007 (GE.2006.0208) – Recours contre le refus de détruire un rapport de police
Tout justiciable dispose du droit à la rectification, respectivement à la suppression, des données personnelles incorrectes le concernant contenues dans un rapport lié à un contrôle effectué par la Police cantonale (PolCant) et détenu par le Service de la population (SPOP). En l’espèce, le rapport de police précisait que la recourante œuvrait en qualité de masseuse et prostituée, alors même qu'aucune des personnes interpellées n'a été interrogée à son sujet et qu'elle-même a toujours nié se livrer à la prostitution. Aucune circonstance ne justifiait l'établissement d'un rapport de police aussi peu nuancé et c'est à juste titre que la recourante a requis la correction de ce document qui figure dans son dossier en mains du SPOP.
Arrêt de la CDAP du 7 décembre 2006 (GE.2005.0225) – Facturation de frais de photocopie
La communication de renseignements n'occasionne pas un volume de travail considérable lorsqu'il s'agit simplement de copier et d’envoyer le dossier, excepté si celui-ci a une ampleur extraordinaire. Le dossier du recourant doit en l’espèce lui être transmis par écrit et gratuitement.
Arrêt de la CDAP du 29 avril 2005 (GE.2004.0148) – Recours contre le refus de communiquer des données personnelles
L’autorité intimée est tenue de donner des renseignements écrits sur les données informatisées qu’elle détient au sujet du recourant, de même qu’elle a l’obligation, si le recourant lui en fait la demande, de lui transmettre une copie des pièces non informatisées.
Arrêt de la CDAP du 23 mai 2002 (GE.2000.0143) – Recours contre le refus de détruire des données personnelles figurant dans le registre d'écrou
La conservation des données personnelles constitue une atteinte à la liberté précitée; elle doit donc reposer sur une base légale, répondre à un intérêt public et être conforme au principe de la proportionnalité. En l'espèce, le registre d'écrou doit être complété en application de ce dernier principe et de la présomption d'innocence par la mention que l'intéressé a été libéré des fins de l'action pénale.
Arrêt de la CDAP du 18 novembre 1999 (GE. 1999.0083) – Recours contre le refus de communiquer l’adresse à un tiers
Lorsqu'un tiers demande à connaître l'adresse d'une personne qui souhaite tenir cette donnée confidentielle, le contrôle des habitants doit procéder à une pesée d'intérêts. En l'espèce, le secret doit être partiellement levé.
Arrêt de la CDAP du 1er octobre 1997 (GE.1997.0018) – Recours contre le refus de communiquer des renseignements à un tiers
Il n’existe pas de droit d'accès aux renseignements recueillis par un détective privé sous l’angle de l’ancienne loi du 20 septembre 1983 instituant le contrôle des entreprises privées de surveillance, de protection, de recherches et de renseignements (RSV 3.11 lit. E). Selon le droit fédéral de protection des données, une éventuelle atteinte doit être soumise au juge civil.
Arrêt de la CDAP du 4 mars 1993 (GE.1992.0124) – Recours contre le refus de détruire une photo-radar
L'autorité peut prendre en photo, sur la voie publique, le conducteur et les passagers d'un véhicule automobile. Aucune disposition du droit public en vigueur ne permet d'exiger la destruction de ces photos.
Par ailleurs, L'Autorité cantonale de la transparence et de la protection des données de l'Etat de Fribourg tient une liste non exhaustive d'arrêts cantonaux en matière de protection des données. Vous pouvez la consulter à l'adresse http://www.unifr.ch/ius/euroinstitut_fr/forschung/datenbank_datenschutz/liste_kantone.
Jurisprudence fédérale
Une sélection d'arrêts du Tribunal administratif fédéral, du Tribunal fédéral et d'autres institutions est également mise à disposition par l'Autorité cantonale de la transparence et de la protection des données de l'Etat de Fribourg à l'adresse http://www.fr.ch/atprd/fr/pub/protection_des_donnees/jurisprudence.htm.