Destinataires « en copie » : un bref rappel des règles en matière de communication de données personnelles

Mettre en copie une autre autorité pour l’informer de la réponse donnée à la demande d’une personne, bonne ou mauvaise idée ? Si l’intention est souvent louable, il faut toutefois être attentif à la question de la protection des données. En effet, lorsqu’une autorité envoie une copie d’un courrier (classique ou électronique) à une autre entité, cette action entraine une communication de données. Or, toute communication de données personnelles est soumise à des conditions !

Image d'illustration Image d'illustration
Publié le 09 décembre 2024

Les entités publiques vaudoises reçoivent de nombreuses demandes concernant les sujets les plus divers. Lors de l’envoi de la réponse à la personne concernée, la question de la transmission de l’information à d’autres entités, qui pourraient être intéressées à connaître la réponse apportée, peut surgir. Or, si l’entité publique décide d’envoyer une copie de sa réponse à des tiers, des données de la personne concernée sont alors communiquées. Cette communication de données personnelles ne peut être effectuée que de manière conforme au droit, en particulier à la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD, BLV 172.65).

La communication des données personnelles par des entités soumises à la LPrD est régie par l’art. 15 al. 1 LPrD. Elle est ainsi possible aux conditions alternatives suivantes :

  • une disposition légale le prévoit (let. a) ;
  • le requérant établit qu’il en a besoin pour accomplir ses tâches légales (let. b) ;
  • le requérant privé justifie d'un intérêt prépondérant à la communication primant celui de la personne concernée à ce que les données ne soient pas communiquées (let. c) ;
  • la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement (let. d) ;
  • la personne concernée a rendu les données personnelles accessibles à tout un chacun et ne s'est pas formellement opposée à leur communication (let. e) ou ;
  • le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l'empêcher de se prévaloir de prétentions juridiques ou de faire valoir d'autres intérêts légitimes ; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des données (let. f).

De plus, dans tous les cas, les principes généraux en matière de protection des données doivent être respectés, en particulier le principe de proportionnalité.

A noter qu’il ne s’agit pas ici d’aborder la question de la transmission de la demande par l’autorité qui s’estime incompétente à l’autorité qu’elle juge compétente dans le cadre d’une procédure administrative (cf. art. 7 de la loi du 28 octobre 2008 sur la procédure administrative [LPA-VD ; BLV 173.36]) ni celle de la communication spontanée de données personnelles dans le cadre de l’information au public (cf. art. 15 al. 3 LPrD) mais bien de la transmission d’une réponse à une autre entité à des fins d’information.

Dans le cas – le plus courant – de l’envoi spontané d’une copie par une autorité cantonale ou communale, ce sont principalement les hypothèses de l’art. 15 al. 1 let. a et d LPrD qui devront être analysées. En effet, les lettres b, c et f supposent un requérant, soit une personne ou une entité qui demande la communication de données personnelles. La lettre e suppose quant à elle une mise à disposition des données personnelles par la personne concernée elle-même, ce qui ne sera généralement pas possible avant de recevoir la réponse de l’entité à qui a été adressée la demande.

La première étape consiste ainsi à chercher, au cas par cas, si une base légale prévoit ladite communication.

A titre d’exemples, les dispositions légales suivantes prévoient la mise en copie d’autres autorités : 

  • Art. 30 al. 2 LPrD : le responsable du traitement adresse une copie de sa décision au Préposé.
  • Art. 20 al. 2 de la loi du 24 septembre 2002 sur l’information (LInfo ; BLV 170.21) : l’entité compétente adresse une copie de sa décision au Préposé à la protection des données et à l’information.
  • Art. 4 al. 4 de la loi du 24 juin 1996 d'application dans le Canton de Vaud de la loi fédérale du 24 mars 1995 sur l’égalité entre femmes et hommes (LVLeg ; BLV 173.63) : une copie de toute décision rendue dans le canton de Vaud en application de la LEg est envoyée au Bureau cantonal de l'égalité.
  • Art. 5 al. 2 de la loi du 9 septembre 1975 sur le logement (LL ; BLV 840.11) : les communes doivent remettre au département une copie des permis de construire des maisons d’habitation et des permis d’habiter, au fur et à mesure qu'elles les délivrent.

Dans le cadre de simples questions ou demandes d’avis adressées aux entités publiques par des personnes, il y a fort à penser qu’il existera en pratique peu de bases légales (tous domaines confondus) prévoyant une communication de données personnelles.

En l’absence d’une base légale prévoyant la communication, l’entité devra requérir le consentement exprès de la personne concernée si elle souhaite mettre des tiers en copie de sa réponse (art. 15 al. 1 let. b LPrD) ou anonymiser la réponse transmise de manière à ce que le demandeur ne soit plus reconnaissable ou au prix d’efforts disproportionnés.

Si aucune des conditions de l’art. 15 al. 1 LPrD n’est réalisée ou s’il n’est pas possible d’anonymiser les données, l’entité devra s’abstenir de communiquer des données personnelles à d’autres autorités ou entités.

Exemple :

Une personne s’adresse à l’Autorité de protection des données et de droit à l’information (APDI) car elle se questionne sur la légalité du traitement de ses données personnelles par une entité cantonale. En effet, il semblerait que l’entité en question a autorisé la consultation de ses données personnelles à son ex-conjoint. L’APDI analyse la situation et rédige sa réponse. Elle estime que l’entité concernée pourrait améliorer sa pratique et aimerait l’informer de son analyse. L’APDI ne peut pas mettre l’entité concernée en copie de sa réponse, sauf si elle a recueilli au préalable le consentement de la personne concernée. Elle peut néanmoins approcher l’entité en anonymisant le cas et en s’assurant que la personne ne soit pas reconnaissable par l’entité par un autre moyen.

En outre, toute communication de données personnelles a également un impact sur la sécurité globale de ces données, lesquelles se retrouvent alors à plusieurs endroits (base de données de l’expéditeur et base de données du destinataire à tout le moins), multipliant ainsi les risques d’atteinte.

Il convient finalement de relever que les personnes dont les données personnelles auraient fait l’objet d’une communication qui ne respecterait pas les conditions de l’art. 15 LPrD disposent des droits prévus à l’art. 29 LPrD. Il s’agit du droit d’exiger du responsable du traitement qu’il s’abstienne de procéder à un traitement illicite de données, supprime les effets d’un traitement illicite de données, constate le caractère illicite d’un traitement de données ou répare les conséquences d’un traitement illicite de données, le cas échéant qu’il rectifie, détruise ou rende anonyme les données et qu’il publie ou communique à des tiers la décision ou la rectification.

L’Autorité de protection des données et de droit à l’information invite chaque entité soumise à la LPrD à analyser ses pratiques en la matière et, au besoin, à les revoir. Elle se tient évidemment à disposition pour tout renseignement complémentaire.

Autorité de protection des données et de droit à l’information (APDI)

Contact

Autorité de protection des données et de droit à l’information (APDI)
Rue Caroline 2 – Case postale 124 – 1001 Lausanne
Tél. 021 316 40 64 (permanence téléphonique du lundi au vendredi de 10h30 à 12h30)
info.ppdi@vd.ch - vd.ch/apdi