Le cadre légal

Une loi fédérale et des lois cantonales

En Suisse, les lois sur la protection des données sont administrées dans le respect du principe de subsidiarité : la loi fédérale (nLPD) couvre le secteur privé et l'administration publique fédérale. Les administrations publiques cantonales et les entités qui en dépendent sont régies par le droit cantonal à la protection des données.

Pour l'administration du Canton de Vaud et l'Université de Lausanne, c'est le droit de Canton de Vaud à la protection des données (LPrD) qui s'applique.

Une grande partie de la recherche universitaire en Suisse est donc régie par les lois cantonales sur la protection des données. 

La loi du canton de Vaud sur la protection des données (LPrD)

La loi sur la protection des données personnelles (LPrD) du Canton de Vaud a été adoptée par le Grand Conseil vaudois le 11 septembre 2007, sa dernière mise à jour date du 1ᵉʳ octobre 2018.

En tant que personne morale auxquelles le canton a confié des tâches publiques et dans l'exécution desdites tâches, l'Université de Lausanne est soumise à la LPrD.

La LPrD ne s’applique pas aux procédures civiles, pénales ou administratives, ni aux données personnelles traitées en application de la loi fédérale sur le renseignement et de l’article 2, alinéa 1 de la loi sur les dossiers de police judiciaire 1. 

La loi fédérale sur la protection des données (nLPD)

La loi fédérale sur la protection des données (nLPD) a été adoptée par le Parlement suisse en automne 2020 et est entrée en vigueur le 1ᵉʳ septembre 2023. Cette loi vise à mieux protéger les données personnelles des citoyens suisses et à améliorer le traitement de ces données.

La nLPD introduit les huit changements majeurs suivants pour les entreprises.

1. Seules les données des personnes physiques sont dorénavant couvertes, et non plus celles des personnes morales.
2. Les données génétiques et biométriques entrent dans la définition des données sensibles. 
3. Les principes de "Privacy by Design" et de "Privacy by Default" sont introduits. Comme son nom l’indique, le principe de "Privacy by Design" (protection des données dès la conception) implique, pour les développeurs, d’intégrer la protection et le respect de la vie privé des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de "Privacy by Default" (protection des données par défaut) assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utilisateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Autrement dit, tous les logiciels, le matériel et les services doivent être configurés de manière à protéger les données et à respecter la vie privée des utilisateurs.
4. Des analyses d’impacts (AIPD) doivent être menées, en cas de risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
5. Le devoir d’informer est étendu : la collecte de toutes les données personnelles – et non plus uniquement de données dites sensibles –, doit donner lieu à une information préalable de la personne concernée.
6. La tenue d’un registre des activités de traitement devient obligatoire. L’ordonnance d’application prévoit toutefois une exemption pour les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.
7. Une annonce rapide est requise en cas de violation de la sécurité des données à adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT).
8. La notion de profilage (soit le traitement automatisé de données personnelles) fait son entrée dans la loi.

L'Université de Lausanne est soumise à la loi de canton de Vaud sur la protection des données (LPrD).

Le Règlement général sur la protection des données (RGPD) est un règlement qui harmonise les lois nationales de protection des données au sein de l’Union européenne (UE) et qui renforce la protection de tous les résidents de l’UE en ce qui a trait à la confidentialité de leurs données personnelles. Il est entré en vigueur le 25 mai 2018.

Le RGPD s’applique à toutes les entreprises qui traitent des données personnelles de citoyens de l’UE, qu’elles soient situées dans l’UE ou non.

Il introduit également de nouveaux droits pour les personnes concernées. Les entreprises doivent se conformer à cette loi et respecter les nouvelles obligations qui y sont associées.

Le RGPD couvre uniquement les données des personnes physiques et non plus celles des personnes morales. Les données génétiques et biométriques sont considérées comme des données sensibles. Le RGPD introduit aussi les principes de “Privacy by Design” et de “Privacy by Default” pour garantir la protection des données dès la conception et par défaut. 

Le RGPD à l'Université de Lausanne

Le RGPD s'applique aux traitements de données personnelles qui sont effectués par une organisation qui n'a pas d'établissement dans l'Union Européenne seulement dans deux cas :

1. Pour la vente des biens ou des services à des personnes situées dans l'UE, qu'un paiement soit exigé ou non ; ou
2. le suivi de comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union Européenne.

Pour les autres activités de traitement de données personnelles, le RGPD ne s'applique pas à l'Université de Lausanne.

Le DPO peut vous renseigner sur l'application du RGPD pour vos traitements de données.

Il existe plusieurs lois internationales sur la protection des données. Le Règlement général sur la protection des données (RGPD) est une loi européenne qui harmonise les lois nationales de protection des données au sein de l’Union européenne (UE) et renforce la protection de tous les résidents de l’UE en ce qui a trait à la confidentialité de leurs données personnelles. Le RGPD s’applique à toutes les entreprises qui traitent des données personnelles de citoyens de l’UE, qu’elles soient situées dans l’UE ou non.

Aux États-Unis, il n’y a pas de loi fédérale unique sur la protection des données. Cependant, plusieurs lois fédérales et étatiques régissent la protection des données personnelles, telles que la loi sur la protection de la vie privée en ligne des enfants (COPPA), la loi sur la protection de la vie privée des consommateurs de Californie (CCPA) et la loi sur la protection de la vie privée des consommateurs de Virginie (VCDPA).

D'autres pays dans le monde ont adopté des lois sur la protection des données comme la Chine, le Brésil, l'Argentine, le Japon. Ce nombre est en constante augmentation.

Il existe également des lois internationales sur la protection des données, telles que la Convention 108+ du Conseil de l’Europe, qui établit des normes pour la protection des données à caractère personnel.

L'APDI, l'autorité cantonale vaudoise

Dans le Canton de Vaud, les autorités cantonales vaudoises et les entités qui en dépendent sont surveillées et conseillées par l'Autorité de Protection des Données et droit à l'Information - APDI.

Le CPD est le point de contact de l'UNIL pour les relations entre l'institution et l'APDI. 

Le PFPDT, l'autorité de surveillance fédérale