Les accès en ligne à des données personnelles sont susceptibles de porter gravement atteinte aux droits fondamentaux des personnes concernées. Aussi les organes fédéraux doivent-ils planifier ces accès à temps, conformément à la loi fédérale sur la protection des données, et les motiver auprès des autorités politiques. Le PFPDT publie un nouvel aide-mémoire qui rappelle la procédure à suivre.

Dans de nombreux actes, les législateurs fédéral et cantonaux demandent aux autorités de leur domaine d’accorder à d’autres autorités du même domaine ou d’un autre domaine un accès en ligne à des données personnelles, selon le principe du libre-service.

Planifier

Un accès en ligne étant susceptible de porter gravement atteinte aux droits fondamentaux de la personne concernée, il doit avoir été planifié par les organes fédéraux, qui doivent tenir compte suffisamment tôt des exigences prévues par la loi sur la protection des données (LPD) :

• Le principe de légalité exige que les dispositions légales soient suffisamment précises et qu’elles soient inscrites dans une loi au sens formel ou dans une ordonnance, selon le degré de sensibilité des données.
• Les bases légales doivent préciser que, conformément au principe de proportionnalité, l’accès donné à l’autorité tierce est limité aux catégories particulières de données qui servent les finalités, elles-mêmes clairement définies, de cette autorité.
• D’un point de vue quantitatif, il convient de démontrer au moyen d’une grille quantitative que l’octroi d’un accès en ligne est approprié et nécessaire. Tel est le cas si le non-octroi de cet accès devait entraîner pour chacune des tâches concernées de l’autre autorité une multiplication de demandes d’assistance administrative manuelles ou partiellement automatisées motivées par des raisons similaires ou même identiques.
• Il doit être réalisé une analyse d’impact sur la protection des données personnelles pour les projets importants susceptibles de porter gravement atteinte aux droits fondamentaux, à la personnalité ou aux intérêts juridiques de nombreuses personnes en raison du volume considérable des données partagées en ligne et de l’intensité de ce partage ainsi que du caractère sensible desdites données.

Motiver

Les organes fédéraux doivent démontrer avec une motivation suffisante aux autorités politiques d’approbation que les exigences précitées de la LPD sont remplies. Motiver un accès en ligne en se contentant de faire valoir qu’il répond à l’impératif numérique qui s’impose aujourd’hui aux services administratifs est insuffisant sous l’angle de la législation sur la protection des données.

https://www.edoeb.admin.ch/edoeb/fr/home/kurzmeldungen/2024/18062024-merkblatt-onlinezugriffe.html