Protection des données

Le but de la protection des données est de protéger les droits fondamentaux des personnes dont les données personnelles font l’objet d’un traitement (art. 1 LPrD). En réalité, ce ne sont pas les données qui sont protégées, mais la personnalité des individus qui font l’objet d’un traitement de données.

Au niveau constitutionnel, l’art. 13 al. 2 Cst. garantit que « toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent ». La Loi fédérale sur la protection des données (LPD) régit le traitement de données concernant les personnes physiques et morales. Dans le canton de Fribourg, la Loi fribourgeoise sur la protection des données (LPrD) s’applique aux organes publics de l’État, aux communes et autres personnes morales de droit public (dont l’Église catholique romaine) qui traitent des données personnelles. Elle s’applique également aux personnes privées et organes d’institutions privées lorsqu’ils accomplissent des tâches de droit public (art. 2 LPrD), par exemple Caritas (droit privé) qui est chargé de la diaconie au nom de l’Eglise catholique dans le canton de Fribourg (droit public).

La LPrD mentionne deux types de données :

1. Données personnelles : tout type d’informations sous forme de mots, signes ou images se rapportant à une personne physique ou morale identifiée ou identifiable. Par exemple, un numéro de téléphone, une adresse e-mail, un identifiant d’un compte, une plaque d’immatriculation, une carte sim, des fichiers informatiques contenant des noms, des photos, une boîte e-mail ou encore le contenu d’un compte sur un réseau social (art. 4 al. 1 let. a et b LPrD).

2. Données personnelles sensibles : Les données sensibles représentent une catégorie spécifique de données personnelles, incluant la religion, ce qui signifie que les données traitées dans le contexte de la mission de l’Église doivent être considérées comme sensibles (art. 4 al. 1 let. c LPrD). Les données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, à la santé, à la sphère intime, à l’origine raciale ou ethnique, aux données génétiques (comme le profil ADN) ou aux données biométriques permettant d’identifier une personne physique de manière univoque font partie des données personnelles sensibles. Les données relatives aux mesures d’aide sociale ainsi qu’aux données sur des poursuites ou des sanctions pénales et administratives en font aussi partie.

Les données non personnelles, c’est-à-dire lorsque la personne n’est pas reconnaissable directement ou par recoupement d’informations (p.ex. une statistique), ne sont pas soumises à la LPrD.

La notion de donnée publique n’existe pas dans la LPrD. De manière générale, même si une personne a rendu ses données privées accessibles sur Internet, cela ne donne pas le droit de les diffuser, car elle pourrait décider de les retirer ou ces données pourraient avoir été publiées sans son consentement direct.

La participation active d’une personne au sein d’une paroisse implique souvent le traitement des données personnelles (adresse, e-mail, numéro de téléphone, date de naissance, photos, etc.). Avant de collecter les données, il est important de respecter les principes suivants :

Le principe de la finalité : Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et elles ne doivent être traitées ultérieurement que conformément à ces finalités.

Le principe de transparence : Les fidèles doivent être informés si leurs données personnelles sont transmises à des tiers, en précisant à qui et dans quel but.

Le principe de la proportionnalité : Seules les données strictement nécessaires à la réalisation du but de la paroisse peuvent être traitées.

Le principe de la légalité : Tout traitement de données personnelles doit se fonder sur une base légale.

Les documents contenant des informations personnelles sur le personnel, les bénévoles et les paroissiens circulent fréquemment au sein de la paroisse. Si cela se fait par voie électronique, il faut veiller à ce que la fonction « copie cachée » soit utilisée afin d’éviter que les adresses e-mail ne soient partagées entre tous les destinataires.

De plus, la transmission de données personnelles des paroissiens (comme la remise de la liste des bénévoles de la paroisse ou des membres d’un groupe de jeunes) nécessite en principe le consentement préalable des personnes concernées, avec une explication claire de l’objectif (finalité) de cette transmission (p.ex. pour la prise de contact entre les membres ou pour des activités en lien avec la paroisse).

La communication des données des paroissiens à des tiers n’est permise que si ceux-ci ont été informés des finalités de la communication et ont expressément consenti à cette transmission ou ont eu la possibilité de s’y opposer. Les informations doivent indiquer quelles données (adresse, date de naissance, numéro de téléphone, etc.) sont transmises, à qui et pour quelle finalité.

Avant toute publication, il faut évaluer si cela est opportun et nécessaire (bulletin paroissial, site internet) en fonction du contexte et de la finalité visée. Les personnes concernées doivent être informées et il est important de se rappeler que la publication en ligne comporte des risques accrus pour la protection des données personnelles (atteinte à personnalité).

Selon l’art. 328 du Code des obligations (CO), l’employeur doit protéger et respecter la personnalité du travailleur. Ainsi, la paroisse doit mettre en place toutes les mesures techniques et organisationnelles nécessaires pour garantir la sécurité des données personnelles de ses collaborateurs et les protéger contre tout accès non autorisé, traitement illicite, perte, modification ou divulgation. L’employeur ne peut traiter les données concernant ses collaborateurs que si elles sont pertinentes pour l’emploi ou nécessaires à l’exécution du contrat de travail (art. 328b CO).

Le consentement exprès signifie que l’accord de la personne est exprimé d’une manière apparente (telle qu’une déclaration écrite), non équivoque et de façon explicite. La forme écrite est recommandée à titre de preuve.

Le consentement doit être exprès lorsqu’il porte sur un traitement de données sensibles ou sur des activités de profilage (art. 6 al. 2 LPrD). Les données personnelles sensibles (données sensibles) sont notamment les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales (art. 4 al. 1 lit. c LPrD). Le profilage signifie toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne (art. 4 let. f LPrD).

Les réseaux sociaux font partie intégrante de notre quotidien, mais leur utilisation ne doit pas être prise à la légère en raison de la collecte excessive de données personnelles. Il est recommandé de bien comprendre le niveau de protection des données et les conditions d’utilisation de chaque plateforme avant de décider de les utiliser. Il est aussi important de régler les paramètres de confidentialité afin de mieux protéger ses données. En ce qui concerne les activités paroissiales, il est crucial de définir des directives internes sur l’usage des réseaux sociaux. Sans ces mesures, il vaut mieux éviter de publier des vidéos, photos ou d’autres informations personnelles. En règle générale, il est conseillé de faire preuve de retenue quant à la publication de données personnelles ou de photos sur Internet.

Toute personne dispose d’un droit sur son image, ce qui signifie qu’elle peut décider si, et de quelle manière, celle-ci peut être utilisée (prise, publication, format). Dès qu’une personne est identifiable sur une photo ou une vidéo, cette image est considérée comme une donnée personnelle y compris dans les photos/vidéos de groupe ou rassemblements. En principe, il est interdit de publier l’image d’une personne sans son consentement préalable. Ce consentement doit être exprès (signature ou déclaration verbale non équivoque) lorsqu’il porte sur des données sensibles, telles que les opinions ou activités religieuses (art. 4 al. 1 let. c LPrD). Le consentement doit être libre et éclairé (art. 6 al. 2 LPrD). Si la photo ou vidéo concerne des mineurs, il est également nécessaire d’obtenir le consentement des parents (détenteurs de l’autorité parentale).

Point d’attention : Le consentement est présumé lorsque la personne a elle-même rendu ses données accessibles (art. 6 al. 2 LPrD). Toutefois, dans un contexte tel que celui de l’Église, où les données traitées sont sensibles, il convient de faire preuve d’une grande prudence. Il peut être difficile de vérifier que c’est effectivement la personne concernée qui a volontairement rendu ses données accessibles au public. De surcroît, il ne faut pas présumer que cette personne accepte la diffusion de ses données dans un autre contexte que celui dans lequel elles ont été initialement rendues publiques. Par ailleurs, le responsable du traitement doit être en mesure de prouver l’existence du consentement (art. 6 al. 4 LPrD). Ce consentement peut, en outre, être révoqué à tout moment et sans justification (art. 6 al. 5 LPrD).

Il est donc recommandé de demander l’autorisation des personnes concernées (ou de leur représentant légal) avant de les photographier ou de publier des images d’elles. Pour garantir l’obtention d’un consentement valide, il est préférable de demander une déclaration de consentement écrite précisant les modalités de la publication (internet, bulletin paroissial, etc.). Un modèle de formulaire de consentement est disponible ici.

Si une personne s’oppose à la publication, son choix doit être respecté.

Il s’agit dans ce cas d’une collecte et du traitement de données au moyen de l’enregistrement et de la diffusion. Dans un tel cas, pour que le traitement soit conforme à la loi, il est important d’informer et demander le consentement des personnes concernées (fidèles, prêtes, visiteurs, etc.) avant de procéder à l’enregistrement et à la diffusion de la messe au public. Il appartient à la paroisse ou aux personnes s’occupant de la communication d’apprécier au cas par cas les modalités d’information requises ainsi que la forme que devrait revêtir le consentement exprès des personnes concernées. À toutes fins utiles, il est à préciser qu’une simple annonce au début de la messe sur le fait que cette dernière sera enregistrée et diffusée au public apparaît insuffisante sous l’angle de la protection des données, tout comme le fait d’annoncer qu’il sera considéré que les personnes qui demeureront à la messe accepteront dès lors d’être filmées. En plus de cela, un signalement au moyen de pictogrammes et de textes explicatifs à l’entrée de l’église quant au fait que la messe va être filmée, cas échéant une information des fidèles lors de la messe précédente, et/ou une information sur le site Internet de la paroisse ou dans un bulletin seraient par exemple envisageables.

Les images doivent être retirées immédiatement. En cas de publication non autorisée, la personne concernée peut non seulement exiger en justice le retrait des images, mais aussi demander des dommages et intérêts ou une indemnité pour tort moral. À cela s’ajouteront probablement les frais de justice et les dépens de la partie adverse comme les frais d’avocat.

Oui, à condition que la publication soit nécessaire et que le consentement libre et éclairé de la personne concernée ou de son représentant légal ait été obtenu.

La publication de photos des collaborateurs sur intranet ou internet nécessite le consentement des personnes concernées. Cela inclut également les photos prises lors d’événements paroissiaux tels qu’un repas, un apéritif ou d’autres moments festifs. Il est recommandé de s’interroger en amont sur la nécessité de cette publication pour l’accomplissement des missions de la paroisse. Cela vaut également pour les publications papier (L’Essentiel, feuille dominicale, etc.).

Non. Les personnes licenciées ou ayant quitté leur poste ne doivent pas être citées dans un communiqué de presse, sur internet ou dans le bulletin paroissial, sauf si elles ont donné leur consentement exprès.

Les mentions légales doivent inclure les coordonnées de l’organisation responsable du site internet : le nom complet de l’organisation (la paroisse ou l’unité pastorale) ainsi que, le cas échéant, une personne ou un service de contact au sein de la paroisse, l’adresse postale, l’adresse e-mail et, idéalement, un numéro de téléphone. Par ailleurs, un modèle de déclaration de protection des données pour site internet a été élaboré par l’Autorité cantonale de la transparence, de la protection des données et de la médiation (ATPrDM) et peut être consulté ici.