Loi fédérale 231.1 sur la protection des données

 DROIT FEDERALE SUR LA DESTRUCTION DES DONNEES

Source: http://www.edoeb.admin.ch/dokumentation/00612/00658/01586/index.html?lang=fr

De quelles particularités ayant trait à la protection des données faut-il tenir compte lors de la destruction des données ?

 la sécurité des données doit aussi être garantie dans le domaine de la destruction des données. Par conséquent, la personne qui traite les données doit mettre en oeuvre (le cas échéant, conjointement avec son mandataire) un processus de tri qui empêche toute destruction non autorisée ou fortuite ou toute perte fortuite. Il lui  incombe de garantir que la destruction des données s'opérera de manière fiable et d'empêcher que des données ne soient pas détruites ou ne le soient qu'insuffisamment en raison de défauts ou d'imperfections techniques. Pour éviter qu'une reconstitution partielle ou intégrale des données soit possible ou qu'un tiers procède à une telle reconstitution, la destruction des données ne se limite pas à la destruction proprement dite mais inclut aussi, le cas échéant, le processus faisant suite à la destruction des données, notamment le recyclage des supports de données. 

Quelles mesures de protection doivent être prises afin d'atteindre un degré de sécurité suffisant ?

Le processus de destruction technique et organisationnel ( de la planification de la destruction des données jusqu'à leur élimination définitive) doit être conçu de manière à ce qu'il n'y ait aucune perte ni aucun traitement indésirables des données. Lors de la définition du processus, il est important de tenir également compte des possibilités de reconstitution avant une destruction définitive. On recommande à la personne qui traite les données de prévoir et de documenter un processus de destruction des documents. Il est notamment conseillé de définir les acteurs concernés de même que leurs rôles, y compris leurs droits et leurs obligations.

Que doit prendre en considération une personne qui traite des données lorsqu'elle charge une entreprise tierce de leur destruction ?

Le mandant doit veiller à ce qu'aucune utilisation non autorisée des données ne puisse se produire à aucune étape du processus de destruction, les possibilités dont il dispose à cet effet étant très variées. Il peut effectuer des contrôles par sondage alliés à des menaces de sanctions, mais il peut aussi faire en sorte que, techniquement, les processus rendent plus difficile une utilisation non autorisée des données, notamment prévoyant un processus de destruction entièrement automatisé. 

Est-il suffisant que le mandataire chargé de détruire les données présente un certificat de protection des données?

Non. Le fait que le mandataire est certifié donne certes une indication précieuse, à savoir qu'il dispose de processus de traitement des données qui réduisent les risques d'une violation des règles de protection des données. Un tel certificat ne garantit toutefois pas que le mandataire traitera les données conformément aux règles de la protection des données. lorsqu'il confie un mandat externe, le mandant ne peut donc se fier au seul fait que le mandataire est certifié. Il doit prendre des mesures organisationnelles et, si possible, techniques de nature à garantir la sécurité des données.

Qu'est-ce exactement que la protection des données? Quelle est son utilité?

Les données personnelles constituent un bien précieux. En recourant à de vastes banques de données aussi détaillées que possible, les entreprises peuvent déterminer très précisément le comportement d'achat de divers types de consommateurs, ce qui leur permet par exemple de cibler et de mettre en oeuvre leur stratégie publicitaire. Elles peuvent tracer des profils de personnalité individuels, c'est-à-dire qu'elles peuvent découvrir la marque du véhicule qu'une personne donnée conduit, les livres qu'elle lit, la musique qu'elle écoute, ce qu'elle dépense pour son habillement, son logement, ses assurances ou ses vacances, quelles sont ses destinations préférées, etc. De cette manière, les consommateurs peuvent être répartis en différents groupes-cible selon des critères déterminés. Bien entendu, cette collecte d'informations se passe généralement sans que la plupart des gens n'en aient la moindre idée. Il n'est donc pas étonnant que des agissements contestables, voire des abus, se produisent sans que les victime ne puisse réagir, puisqu'elle ne se doute de rien.

 Quelles sont les sanctions pénales prévues en cas d'infraction à la loi sur la protection des données (LPD)

 La loi sur la protection des données prévoit des sanctions pénales (art. 34 art. 35), qui ne s'appliquent toutefois qu'en cas de non-respect intentionnel des obligations de renseigner, de déclarer et de collaborer ou en cas de violation du devoir de discrétion, et ce, uniquement sur  plainte. Toutes les autres actions concernant les atteintes à la personnalité relèvent du juge civil, conformément à l'art. 15 LPD, dans le cadre d'une procédure usuelle de droit civil. 

Source: http://www.admin.ch/ch/f/rs/235_1/index.html#id-1

            http://www.vs.ch/Navig/navig.asp?MenuID=4649&RefMenuID=0&RefServiceID=0

But art. 1

Quels données sont protégés Art. 3

Toutes les informations qui se rapportent à une personne identifiée ou identifiable par ex:

1.Les opinions ou activités religieuses, philosophiques, politiques ou syndicales
2.La santé, la sphère intime ou l’appartenance à une race
3.Des mesures d’aide sociale
4.Des poursuites ou sanctions pénales et administratives

Sécurité des données Art. 7

Dispositions pénales Art. 35