19.1: Protection des données privées

La nouvelle loi sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023.

La compatibilité du droit suisse avec le droit européen, et notamment le Règlement européen sur la protection des données (RGPD), constitue un enjeu principal de la nouvelle loi.

Données de personnes physiques

La LPD révisée vise exclusivement à protéger la personnalité des personnes physiques qui font l’objet d’un traitement de données. Elle ne concerne dorénavant plus les données des personnes morales (sociétés commerciales, associations, fondations, etc.), 

La LPD est complexe. Nous n’en donnons ici que quelques aspects qui intéressent plus spécifiquement les demandeurs d’emploi. 

Le Règlement européen sur la protection des données (RGPD)

La Suisse a choisi d’être un état associé à Schengen. Elle doit donc appliquer le droit européen en matière de données personnelles.

Le Règlement européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans toute l’Union européenne. Il concerne également des PME établies en Suisse. Ces dernières doivent dorénavant respecter certaines obligations légales, notamment informer et obtenir le consentement de la personne dont les données sont traitées, sous peine de sanctions pécuniaires.

La nouvelle loi fédérale sur la protection des données est le pendant suisse de la RGPD. 

NB : Il faut distinguer la protection des données (LIPAD *) de l’entraide entre états. L’entraide ne concerne que les données pertinentes : si vous êtes recherché, avez été enlevé ou avez disparu ou si vous avez volé (œuvres d’art, véhicule…).

L’espace Schengen s’est doté d’une base de données qui facilite l’entraide policière et douanière : le Système d’Information Schengen (SIS).

A Genève, seules 5 institutions y ont accès :

• La police cantonale ; 

• Les polices municipales ;

• L’office cantonal de la population et des migrations (OCPM) ;

• La direction générale des véhicules ;

• Le corps des gardes frontières. Contrairement aux autres institutions, cette dernière n’est pas soumise à la LIPAD  (* Loi sur l'information du public et l'accès aux documents).

Comme pour la LIPAD, les particuliers peuvent exiger l’accès à leurs données personnelles SIS et demander à ce qu’elles soient rectifiées si elles sont inexactes ou obsolètes.

La protection des données privées en matière d’assurance-chômage

La loi sur la protection des données (LPD) vise à protéger la personnalité et les droits fondamentaux des personnes au sujet desquelles des données sont traitées dans le cadre de l’application de l’assurance-chômage ou du service public de l’emploi.

Au moment où les personnes concernées s’annoncent ou font valoir leurs droits, elles doivent être renseignées sur:

• l’identité et les coordonnées du responsable du traitement de leur dossier;
• la finalité des systèmes d’information;
• les données traitées;
• le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données sont transmises;
• leurs droits.

Les principes généraux de la protection des données (LIPAD *)

* Loi sur l'information du public et l'accès aux documents

La loi vise à concilier l'impératif de la transparence avec celui de la protection des données. 

Base légale :

Le traitement des données personnelles doit toujours reposer sur une base légale. Toutes les institutions publiques genevoises sont fondées sur une loi !

Proportionnalité :

Les données privées doivent être traitées de la manière la moins invasive possible. Seules les données nécessaires et adéquates pour atteindre l’objectif fixé peuvent être traitées. Une pesée d’intérêts entre le but du traitement des données et l’atteinte à la personnalité de la personne concernée doit toujours être faite.

Finalité

La collecte ou le traitement des données privées doivent servir un but légitime.

Les autorités chargées d'appliquer la loi sur le chômage (LACI) ou d'en surveiller l’exécution sont habilités à traiter et à faire traiter les données personnelles, y compris les données sensibles et les profils de la personnalité, qui leur sont nécessaires pour accomplir les tâches suivantes :

• enregistrer, conseiller et placer les assurés qui demandent des prestations d’assurance;
• établir le droit aux prestations, les calculer, les allouer et les coordonner avec celles d’autres assurances sociales;
• établir le droit aux subventions, les calculer, les verser et en contrôler l’usage;
• prélever les cotisations d’autres assurances sociales;
• prélever l’impôt à la source;
• mettre en oeuvre les mesures relatives au marché du travail;
• faire valoir les prétentions de l’assurance;
• surveiller l’exécution de la loi;
• établir des statistiques;
• attribuer ou vérifier le numéro d’assuré AVS

Bonne foi

Le traitement de données doit être effectué conformément au principe de la bonne foi. Les données personnelles ne peuvent être collectées sans que la personne concernée en ait connaissance (principe de la transparence) ou contre sa volonté.

 Exactitude

Les données doivent être à jour et exactes et la personne intéressée a le droit d’en demander la rectification.

Sécurité

Les données récoltées doivent être sécurisées.

Destruction

Les institutions doivent détruire ou rendre anonymes les informations dont elles n’ont plus l’usage.

 Demande de destruction par la personne intéressée

Une demande de destruction de données personnelles ne peut être accordée que si les données personnelles en question ne sont pas ou plus traitées par l’institution compétente.

Il existe cependant un droit à la destruction des données :

• en cas de traitement de données sans base légale ;
• en cas d’abandon de l’objet du traitement des données ;
• en cas de traitement de données qui n’est pas du tout nécessaire à l’exécution de la tâche ;
• en cas de traitement de données incorrectes qui portent atteinte à la personnalité ;
• en cas de traitement de données obtenues de manière illicite.

Les données sensibles 

A ce jour, les données sensibles regroupaient les opinions ou activités religieuses, philosophiques, politiques ou syndicales ;  sur la santé, la sphère intime ou l’appartenance à une race ; sur des mesures d’aide sociale ou sur des poursuites ou sanctions pénales et administratives.

La nouvelle loi y ajoute les données sur l’origine ethnique. Une ethnie doit avoir une histoire commune, des valeurs et des normes comportementales (traditions, coutumes, usages, langue, etc.) communes et reconnues.

L’actuelle définition des données personnelles sensibles est étendue aux données génétiques et aux données biométriques si ces dernières identifient une personne physique sans équivoque.

• Les données génétiques « sont les informations relatives au patrimoine génétique d’une personne obtenues par une analyse génétique ». Les données génétiques ne sont sensibles que si elles comprennent des informations permettant d’identifier assez aisément une personne concernée.
• Les données biométriques sont les données personnelles obtenues à l’aide d’un procédé technique spécifique et qui se rapportent aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique et permettent ou confirment son identification unique

 L’information selon laquelle une personne est inscrite auprès de l’assurance-chômage (AC) ne constitue pas une donnée particulièrement sensible (par ex. expéditeur sur l’enveloppe).

Légalement, dans le cadre de l’assurance-chômage, les données sensibles suivantes peuvent être traitées :

• la limitation prouvée de la capacité de travail en raison de l’appartenance religieuse (par ex. en ce qui concerne les vêtements, le contact avec des denrées alimentaires, les temps de travail) ;
•  la limitation prouvée de la capacité de travail en raison de l’état de santé (par ex. en ce qui concerne le port de charge, le contact avec des matériaux, le travail en position assise, la grossesse) ;
•  la grossesse prouvée qui n'entraine pas une limitation de la capacité de travail (en ce qui concerne les restrictions conformes imposées par la législation sur le travail) ;
• les mesures prouvées relatives à l’aide sociale ou à d’autres assurances (maladie, accident, invalidité), les mesures de curatelle ou d’assistance sociale, à des fins de coordination des prestations ;
• les sanctions pénales ou administratives prouvées, pour autant qu’il existe un lien direct avec l’activité recherchée (par ex. le retrait permanent du permis de conduire d’un chauffeur) ;
•  les jugements de tribunaux présentés, pour autant qu’ils aient un lien avec le droit aux prestations (par ex. le jugement de divorce, si un droit à l’indemnité journalière est octroyé depuis ce jour).

Profil de la personnalité

Est considéré comme profil de la personnalité un assemblage ou un ensemble d’informations ou de données qui permettent d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique.

Collecte de données sur Internet

Les organes d’exécution ne peuvent collecter des données sur Internet et en particulier sur les médias sociaux que si elles sont accessibles de manière publique (soit sans login).

Consentement valable

Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée.  Lorsqu’il s’agit de données sensibles et de profils de la personnalité, le consentement doit en outre être explicite.

La personne concernée a été dûment informée lorsque les informations transmises au sujet de ce qu’il adviendra de ses données sont transparentes et complètes. Il est également impératif qu’elle comprenne les conséquences de sa décision, en particulier la portée d’un éventuel refus.

 Aucune pression ne doit être exercée sur la personne pour obtenir son accord.

Une personne peut révoquer son consentement à tout moment ou refuser de le donner. Il peut être transmis par écrit ou oralement et n’est pas réglementé dans sa forme. Pour des raisons de transparence et de preuve, la transcription écrite assortie d’une signature est toutefois recommandée.

Dernière modification: 05.10.2023

19.2: Collaboration inter-institutionnelle (CII)

La Loi sur l'information du public, l'accès aux documents et la protection des données personnelles (LIPAD – A 2 08) est complexe. Nous n’en donnons ici que quelques aspects qui intéressent plus spécifiquement les demandeurs d’emploi.

Le service du Préposé à la Protection des Données (PPD) de Genève a créé, en collaboration avec BUCHE, un commentaire en bande dessinée qui en facilite la compréhension.

 Nous vous proposons de le consulter à l’adresse suivante : 

 www.ge.ch/ppdt/lipad-bd.asp

Principe

la CII règle et encourage, dans l’intérêt des personnes intéressées et afin de rendre l’ensemble du système plus efficace, la collaboration entre les institutions impliquées. Celles-ci peuvent, sous certaines conditions, échanger entre elles des informations considérées comme particulièrement sensibles selon les dispositions en matière de protection des données.

Consentement à communiquer des données

Lorsque son consentement est requis pour justifier le traitement de données personnelles, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être explicite.

En outre, la déclaration de consentement doit pouvoir être révoquée en tout temps. 

En cas de menaces de sanction, le consentement n’est plus valable et un échange de données dans la CII n’est pas autorisé.

Aucun consentement n’est requis :

• lors de l’échange de données avec l'assurance-invalidité (AI) ;

• lors de la communication de données aux autorités compétentes en matière d’aide sociale, lorsqu’elles leur sont nécessaires pour :
  • fixer ou modifier des prestations ; 
  • exiger la restitution de prestations ; 
  • prévenir des versements indus.

• lors de la communication de données à des tiers lorsque le consentement n’est pas obtenu mais qu’il est présumé et, s’agissant de données personnelles, lorsqu'il n’est pas possible d’obtenir le consentement de la personne mais que les circonstances permettent de présumer qu’il en va de l’intérêt de l’assuré.

Communication de données à l’AI

Dans le cadre de la collaboration inter-institutionnelle, les données des personnes concernées peuvent être communiquées aux organes de l’AI de manière répétée, régulière et automatisée (pas seulement dans un cas particulier ni sur demande écrite et motivée).

 La communication de données peut aussi être effectuée sans l’accord des personnes concernées. Elles doivent cependant être informées ultérieurement de l’échange de données et de son contenu.

Les trois conditions suivantes doivent en outre être remplies (de façon cumulative) :

• il est impératif qu’aucun intérêt prépondérant privé ne s’y oppose ;
• on ne sait pas encore précisément si les frais sont à la charge de l’AC ou de l’AI ; et
• les renseignements servent à déterminer si les mesures de réadaptation de l’AI ou celles de l’AC sont les plus adéquates ou s’il existe des droits dans le cadre d’une autre assurance.

À Genève, le dispositif de collaboration, établi en 2013, a pris le nom de «cii’m» (collaboration inter-institutionnelle Montbrillant).

Il repose avant tout sur les professionnels des trois institutions en charge de la réinsertion : l’Office cantonal de l’emploi (OCE), l’Hospice général (HG) et l’Office cantonal de l’assurance-invalidité (OCAI). Il leur offre des outils pour la prise en charge des assurés et bénéficiaires concernés à la fois par des problèmes de chômage, de santé et des difficultés sociales.

 Chaque collaborateur peut amorcer une collaboration en faveur de la réinsertion de l'assuré ou du bénéficiaire devant une situation individuelle qui dépasse le cadre de son institution et en fonction de son appréciation de la situation.

Pour faciliter le passage des assurés en fin d’indemnités de chômage à l’aide sociale, une antenne de l’HG a été créée à l’Office cantonal de l’emploi, à Montbrillant.

Conservation des dossiers par les caisses de chômage

Les dossiers des assurés qui sont indemnisés doivent être conservés pendant cinq ans au moins après l’expiration du délai-cadre d’indemnisation.

Au plus tard après dix ans, les dossiers et les enregistrements sur des supports d’images (scans) ou de données qui contiennent des indications relatives à des personnes doivent être détruits. Seul le dépôt des dossiers aux archives publiques fait exception.

Demande de destruction :  (voir ARTICLE 19.1 )

Dernière modification: 07.08.2018