Droit d'accès à vos données personnelles : explications et marche à suivre
Le droit d’accès aux données personnelles est un droit de toute personne à l’encontre d’autres personnes privées ou autorités. C’est l’outil de base de la protection des données en Suisse. Il permet notamment de déterminer quelles données sont traitées, si elles sont exactes, d’où elles viennent. Je vous propose d’expliquer son fonctionnement, ses exceptions, et sa mise en œuvre pratique.
Le droit d’accès
Le principe
Le droit d’accès d’une personne à ses propres données ainsi que la possibilité de s’informer sur l’origine desdites données est régi par les articles 8 à 10 LPD. Contrairement à ce que l’on pourrait croire, ce n’est pas la loi fédérale sur le principe de la transparence dans l’administration (LTrans) qui est applicable en la matière, mais bien la LPD puisqu’elle s’applique aussi bien aux personnes privées qu’aux autorités ou services fédéraux ainsi qu’aux personnes chargées d’une tâche de la Confédération. En ce qui concerne les autorités cantonales, il faut se référer aux lois cantonales de protection des données.
Le principe même du droit d’accès est garanti par l’art. 8 LPD. Selon l’alinéa 1 de cette disposition, toute personne peut demander au maître d’un fichier (i.e. la personne privée ou l’organe fédéral qui décide du but et du contenu du fichier dans lequel se trouvent les données) si des données la concernant sont traitées.
En vertu de l’art. 8 al. 2 let. a LPD, le droit d’accès s’étend à toutes les données relatives à une personne qui se trouvent dans un fichier de données, c’est-à-dire à toutes les données qui se rapportent à cette personne (art. 3 let. a LPD) et qui peuvent lui être attribuées par voie de classement (art. 3 let g LPD). La jurisprudence a déclaré à cet égard que le fait que les données concernent des constatations de fait ou des jugements de valeur ne joue aucun rôle.
Le maître de fichier a l’obligation de communiquer à la personne concernée les informations sur l’origine des données, pour autant que ces informations soient disponibles (art. 8 al. 2 let. b LPD). En effet, on reconnait à la personne concernée son intérêt à connaître l’origine de ces données, par exemple dans le but de pouvoir remonter aux sources de la collecte et faire rectifier d’éventuelles erreurs.
En résumé, tout un chacun peut demander, sans avoir besoin de se justifier, et même en l’absence d’une atteinte à sa personnalité, à un organe fédéral ou à une personne privée si elle traite des données à son sujet.
Les exceptions
Selon l’art. 9 al. 1 LPD, le maître du fichier peut refuser ou restreindre la communication des renseignements demandés, voire en différer l’octroi, dans la mesure où une loi au sens formel le prévoit (let. a), ou les intérêts prépondérants d’un tiers l’exigent (let. b). Aux termes de l’alinéa 2, un organe fédéral peut en outre refuser ou restreindre la communication des renseignements demandés, voire en différer l’octroi, si un intérêt public prépondérant, en particulier la sécurité intérieure ou extérieure de la Confédération, l’exige (let. a), ou si la communication des renseignements risque de compromettre une instruction pénale ou une autre procédure d’instruction (let. b). L’alinéa 3 dispose que, dès que le motif justifiant le refus, la restriction ou l’ajournement disparaît, l’organe fédéral est tenu de communiquer les renseignements demandés, pour autant que cela ne s’avère pas impossible ou ne nécessite pas un travail disproportionné. Enfin, selon l’alinéa 5, le maître du fichier doit indiquer le motif pour lequel il refuse de fournir, restreint ou ajourne les renseignements.
Dans le cas où le maître de fichier invoque un intérêt s’opposant à la communication des données, il lui revient de prouver l’existence de cet intérêt. Alors que l’art. 8 LPD permet à toute personne de demander la communication des données sans justifier d’un intérêt particulier, il arrivera cependant que la personne concernée doive justifier son intérêt afin de pouvoir le mettre en balance avec celui invoqué par le maître de fichier. De plus, l’art. 9 LPD s’applique aussi à la communication de l’origine des données personnelles, précisément car cette communication peut léser l’intérêt privé d’une tierce personne par exemple.
Les médias bénéficient d’un régime particulier régi par l’art. 10 LPD. Ils peuvent ainsi refuser ou restreindre la communication des renseignements demandés, voire en différer l’octroi, dans la mesure où les données personnelles fournissent des indications sur les sources d’information, un droit de regard sur des projets de publication en résulterait, ou la libre formation de l’opinion publique serait compromise.
L’exercice du droit
Bénéficier d’un droit, c’est bien, encore faut-il savoir comment le mettre en pratique. L’ordonnance d’exécution de la LPD fixe certaines modalités.
L’art. 1 OLPD prévoit entre autres que toute personne qui demande au maître du fichier si des données la concernant sont traitées doit en règle générale le faire par écrit et justifier de son identité. Si le maître de fichier le prévoit, la demande peut être faite électroniquement (al. 2). Pour des questions de preuve, il vaut mieux envoyer la requête par courrier recommandé.
Il est impératif de justifier de son identité. Cela peut paraître absurde puisque le requérant fournit au maître de fichier plus d’informations que ce dernier n’en a, mais l’envoi d’une copie de documents d’identité a précisément pour but d’éviter les accès indus aux données de tiers. La responsabilité du maître de fichier étant engagée, dans un tel cas.
Les données peuvent le cas échéant être consultées sur place (al. 3).
Le maître de fichier dispose d’un délai de 30 jours dès la réception de la demande d’accès (al. 4) pour communiquer les informations demandées, justifier son refus de communiquer ou la raison de la communication partielle. Le délai peut être prolongé par le maître de fichier, mais il doit avertir la personne requérante et indiquer dans quel délai il s’exécutera.
En principe, la communication des renseignements est gratuite à moins que les renseignements désirés aient déjà été communiqués au requérant dans les douze mois précédant la demande (et que ce dernier ne peut justifier d’un intérêt légitime, tel la modification non annoncée des données le concernant), ou que la communication des renseignements demandés occasionne un volume de travail considérable (art. 2 al. 1 OLPD). Dans tous les cas, le maître de fichier ne peut exiger une participation aux frais de plus de CHF 300 et doit en aviser la personne requérante auparavant. Celle-ci peut alors retirer, sans frais, sa requête.
Si le maître de fichier ne s’exécute pas dans le délai, s’il refuse la communication des données, s’il n’y donne suite que partiellement, s’il fournit des renseignements inexacts ou incomplets, la personne requérante pourra agir devant les tribunaux civils pour demander l’exécution de son droit d’accès (art. 15 al. 4 LPD).
Il faut encore savoir que le droit d’accès peut être “limité” dans la mesure où le maître de fichier ne communique pas directement les données à la personne concernée, mais les communique à un tiers, qui les examine et informe ensuite la personne concernée. On parle de droit d’accès indirect. Le cas est spécialement prévu pour les données relatives à la santé (art. 8 al. 3 LPD). Il existe aussi en matière publique, par exemple pour demander l’accès aux données détenues par le Service de renseignement de la Confédération (art. 18 LMSI, art. 62 de la future loi sur le renseignement, LRens), par Fedpol (art. 7 LSIP).
Des lettres types sont disponibles ici.