A 2 08 – Loi modifiant la loi sur l’information du public, l’accès aux documents et la protection des données personnelles (LIPAD) (13347)

Art. 3, al. 1, lettre c (nouvelle, les lettres c et d anciennes devenant les lettres d et e), lettre e (nouvelle teneur), al. 6 (nouveau)

¹ La présente loi s’applique aux institutions publiques suivantes (ci-après : institutions publiques), sous réserve des alinéas 3 et 5 :

⁶ Le traitement de données personnelles effectué par la Banque cantonale de Genève n’est pas soumis à la présente loi.

Art. 4, lettres b à h (nouvelle teneur), lettres i à m (nouvelles, la lettre i ancienne devenant la lettre n)

1° les opinions ou activités religieuses, philosophiques, politiques ou syndicales,

6° les données biométriques identifiant une personne physique de façon unique;

c) profilage, toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects d’une personne, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements;

d) traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, l’enregistrement, la conservation, l’utilisation, l’extraction, la consultation, la modification, la communication, le rapprochement ou l’interconnexion, la limitation, l’effacement, la destruction ou l’archivage;

e) communication, le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant;

f) personne concernée, la personne physique ou morale au sujet de laquelle des données personnelles sont traitées;

g) responsable du traitement, institution au sens de l’article 3 qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles;

h) sous-traitant, institution, organisme ou personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement;

i) sécurité des données personnelles, ensemble des mesures organisationnelles et techniques permettant d’assurer la confidentialité, et l’intégrité des données personnelles;

j) violation de la sécurité des données personnelles, toute atteinte à la sécurité des données personnelles entraînant de manière accidentelle ou illicite leur perte, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces dernières;

k) anonymisation, traitement de données personnelles consistant à supprimer définitivement toutes les données identifiantes ou tout moyen de retrouver les données originales;

m) décision individuelle automatisée, toute décision prise exclusivement sur la base d’un traitement automatisé de données, y compris le profilage, et qui a des effets juridiques sur la personne concernée ou qui l’affecte de manière significative.

Art. 13A Huis clos (nouveau)

Les délibérations et autres séances de la Cour des comptes se tiennent à huis clos.

Art. 20A Cour des comptes (nouveau)

¹ La Cour des comptes informe sur ses activités, notamment par le biais de la publication de ses rapports et d’autres documents qu’elle considère d’intérêt public. Dans ce cadre, elle veille à la protection du secret professionnel, de fonction, fiscal, ou d’affaires des personnes entendues et de tout autre secret prévu par la loi.

² Sans préjudice de l’application des lois régissant ses activités, la Cour des comptes ne peut donner d’informations susceptibles de permettre l’identification de l’auteure ou de l’auteur d’une communication ou d’une personne qu’elle a entendue.

³ Elle veille au respect des règles professionnelles prohibant la transmission d’informations ou la transmission de documents en matière d’audit, d’évaluation ou de révision.

⁴ Elle tient compte des intérêts publics et privés susceptibles de s’opposer à la divulgation de certaines informations.

Art. 26, al. 2, lettre d (nouvelle teneur)

d) compromettre l’ouverture, le déroulement ou l’aboutissement d’enquêtes ou d’investigations prévues par la loi;

Art. 28, al. 3 (nouvelle teneur)

³ En cas de doute sur la réalisation d’une des exceptions prévues à l’article 26, la personne qui est saisie de la demande d’accès doit en référer à la conseillère ou au conseiller à la protection des données et à la transparence désigné conformément aux mesures d’organisation et de procédure prévues à l’article 50.

Art. 30, al. 5 (nouvelle teneur)

⁵ A défaut, la préposée cantonale ou le préposé cantonal formule, à l’adresse de la requérante ou du requérant ainsi que de l’institution ou des institutions concernées, une recommandation écrite sur la communication du document considéré. L’institution concernée rend alors dans les 10 jours une décision sur la communication du document considéré. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal.

Art. 31, al. 2 (nouvelle teneur)

² Les demandes fondées sur l’alinéa 1 sont du ressort des instances désignées à l’article 50, alinéa 3, pour les affaires respectives des institutions visées par cette disposition.

Art. 33, al. 2 et 3 (nouvelle teneur)

² Le droit de rectification est exercé par les instances désignées à l’article 50, alinéa 3.

³ La rectification consiste dans la publication gratuite dans le média considéré, à bref délai et sans modification, d’un texte rectificatif factuel, véridique, concis et clair soumis par l’institution compétente, dans des conditions d’insertion et de présentation comparables à celles ayant entouré la présentation des faits en question. La publication comporte la précision que le texte rectificatif émane de l’institution requérante, et elle peut être accompagnée, de la part de l’éditeur, d’une déclaration quant au maintien ou non de sa présentation des faits et de l’indication de ses sources.

Art. 35 Principes (nouvelle teneur avec modification de la note)

² Il doit être conforme aux principes de la bonne foi et de la proportionnalité.

³ Les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée et doivent être traitées ultérieurement de manière compatible avec ces finalités.

⁴ Elles sont détruites, effacées ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement, dans la mesure où ces données ne doivent pas être conservées en vertu d’une autre loi. Sur décision de l’institution publique concernée, la destruction de données personnelles peut être différée durant 2 ans au maximum à des fins d’évaluation de politiques publiques.

⁵ Quiconque traite des données personnelles doit s’assurer qu’elles sont exactes et prend toute mesure appropriée permettant de rectifier, d’effacer ou de détruire les données personnelles inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées.

⁶ Lorsqu’une institution publique constate que des données personnelles qu’une autre institution lui a communiquées en vertu de l’article 39, alinéa 1, ou d’une autre base légale, sont inexactes, incomplètes ou obsolètes, elle en informe l’institution concernée, à moins que cette information ne soit contraire à une loi ou un règlement.

Art. 36 Base légale (nouvelle teneur avec modification de la note)

¹ Les institutions publiques ne peuvent traiter des données personnelles que si une base légale le prévoit ou si l’accomplissement de leurs tâches légales le rend nécessaire.

² Les traitements de données personnelles sensibles et les activités de profilage ne peuvent avoir lieu que si :

b) le traitement est indispensable à l’accomplissement d’une tâche définie dans une loi au sens formel.

³ En dérogation aux alinéas 1 et 2, les institutions publiques peuvent traiter des données personnelles nécessaires à l’accomplissement de leurs tâches légales, y compris des données personnelles sensibles, et procéder à du profilage, si l’une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement en l’espèce; le responsable du traitement doit être en mesure de démontrer l’existence d’un tel consentement;

b) la personne concernée a rendu ses données personnelles accessibles à tout un chacun et ne s’est pas opposée expressément au traitement;

c) la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement et le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

⁴ La personne concernée ne consent valablement que si elle exprime librement sa volonté concernant un ou plusieurs traitements déterminés et après avoir été dûment informée. Le consentement doit être exprès en cas de traitement de données personnelles sensibles, ou de profilage.

⁵ Le consentement peut être révoqué en tout temps et sans motifs. La mise en œuvre effective du retrait du consentement peut toutefois requérir un délai raisonnable pour des raisons techniques.

Art. 36A Numéro d’identification personnel commun (nouveau)

Un numéro d’identification personnel commun ne peut être utilisé que s’il est institué par une loi cantonale. L’usage et la communication du numéro AVS sont régis par la loi fédérale sur l’assurance-vieillesse et survivants, du 20 décembre 1946.

Art. 36B Traitement conjoint (nouveau)

Lorsque deux institutions publiques ou plus déterminent conjointement les finalités et les moyens du traitement de données personnelles, elles sont responsables conjointes du traitement et doivent définir de manière transparente leurs obligations respectives dans la déclaration au sens de l’article 43.

Art. 36C Sous-traitance (nouveau)

¹ Le traitement de données personnelles peut être confié à un sous-traitant pour autant qu’un contrat ou la loi le prévoie et que les conditions suivantes soient réunies :

a) seuls sont effectués les traitements que le responsable du traitement est en droit de réaliser;

b) aucune obligation légale ou contractuelle de garder le secret ne l’interdit.

² La sous-traitance de données personnelles fait l’objet d’un contrat de droit privé ou public en la forme écrite, prévoyant pour chaque étape du traitement le respect des prescriptions de la présente loi et du règlement d’application de la loi sur l’information du public, l’accès aux documents et la protection des données personnelle, du 21 décembre 2011, ainsi que la possibilité d’effectuer des audits sur le site du sous-traitant, ou, à défaut, d’obtenir les résultats d’audits de tiers indépendants, respectivement de participer sans frais à l’élaboration de ces audits. Les cas où la loi prévoit en détail les modalités de la sous-traitance sont réservés.

³ Le contrat prévoit spécifiquement que le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données.

⁴ Le recours par un sous-traitant à un autre sous-traitant (sous-traitance en cascade) n’est possible qu’avec l’accord préalable écrit du responsable du traitement et moyennant le respect, à chaque niveau de substitution, de toutes les prescriptions du présent article.

⁵ Le responsable du traitement demeure responsable des données personnelles qu’il fait traiter au même titre que s’il les traitait lui-même.

⁶ S’il implique un traitement à l’étranger, le recours à un prestataire tiers n’est possible que si l’Etat concerné dispose d’une législation assurant un niveau de protection adéquat conformément à la liste établie par le Conseil fédéral.

Art. 37 Protection des données personnelles dès la conception et par défaut (nouveau, l’art. 37 ancien devenant l’art. 37A)

¹ Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données personnelles, en particulier les principes fixés à l’article 35. Il le fait dès la conception du traitement.

² Les mesures organisationnelles et techniques doivent être appropriées au regard notamment de l’état de la technique, du type de traitement et de son étendue, ainsi que du risque que le traitement des données présente pour la personnalité ou les droits fondamentaux des personnes concernées.

³ Le responsable du traitement est tenu de garantir, par le biais de préréglages appropriés, que le traitement soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement.

Art. 37A Sécurité des données personnelles (nouvelle teneur)

¹ Les institutions publiques doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru.

² Les mesures doivent permettre d’éviter la violation de la sécurité des données personnelles.

³ Le Conseil d’Etat détermine, par voie réglementaire, les exigences minimales en matière de sécurité des données personnelles.

⁴ Les institutions publiques sont tenues de contrôler périodiquement le respect des mesures de sécurité mises en place au sens du présent article.

Art. 37B Analyse d’impact (nouveau)

¹ Lorsqu’un traitement de données personnelles est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement procède au préalable à une analyse d’impact relative à la protection des données personnelles. S’il envisage d’effectuer plusieurs opérations de traitement semblables, il peut établir une analyse d’impact commune.

² L’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants :

b) une évaluation des risques pour la personnalité ou les droits fondamentaux de la personne concernée; ainsi que

c) les mesures prévues pour protéger la personnalité et les droits fondamentaux de la personne concernée.

⁴ Lorsque l’analyse d’impact est requise selon l’alinéa 1 du présent article, elle est jointe au projet d’acte législatif pour avis de la préposée cantonale ou du préposé cantonal au sens de l’article 56A, alinéa 2, lettre e, de la présente loi.

⁵ Lorsque l’analyse d’impact requise à l’alinéa 1 du présent article n’est pas liée à un projet d’acte législatif, elle est soumise à la préposée cantonale ou au préposé cantonal pour avis avant le début du traitement.

Art. 37C Violation de la sécurité des données personnelles (nouveau)

¹ Lorsqu’il constate une violation de la sécurité des données personnelles, le responsable du traitement prend immédiatement les mesures appropriées afin de mettre fin à la violation et d’en minimiser les effets, et en informe immédiatement sa conseillère ou son conseiller à la protection des données et à la transparence au sens de l’article 50.

² Le responsable du traitement consigne dans un document interne la nature de la violation, le type de données personnelles concernées et les catégories de personnes touchées, les conséquences probables pour ces dernières et les mesures prises pour y remédier.

³ Il annonce dans les meilleurs délais à la préposée cantonale ou au préposé cantonal, le cas échéant par l’intermédiaire de sa conseillère ou de son conseiller à la protection des données et à la transparence, les cas de violation de la sécurité des données personnelles entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

⁴ Le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données personnelles.

⁵ Le responsable du traitement informe la personne concernée lorsque cela est nécessaire à sa protection ou lorsque la préposée cantonale ou le préposé cantonal l’exige.

⁶ Il peut restreindre l’information de la personne concernée, la différer ou y renoncer, dans les cas suivants :

b) un intérêt public prépondérant l’exige, en particulier la sécurité intérieure ou l’ordre public;

d) la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative;

e) l’information est impossible à fournir ou exige des efforts disproportionnés;

f) l’information de la personne concernée peut être garantie de manière équivalente par une communication publique.

Art. 38 Devoir d’informer lors de la collecte de données personnelles (nouvelle teneur avec modification de la note)

¹ Le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles la concernant, que cette collecte soit effectuée auprès d’elle ou non.

² Lors de la collecte, le responsable du traitement communique à la personne concernée les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence des traitements soit garantie; il lui communique au moins les éléments suivants :

c) le cas échéant, les destinataires ou les catégories de destinataires auxquelles des données personnelles sont transmises;

³ Lorsque des données personnelles sont communiquées à l’étranger, le responsable du traitement communique également à la personne concernée le nom de la corporation ou de l’établissement de droit public auquel elles sont communiquées et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7.

⁴ Si les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable du traitement lui communique les informations mentionnées aux alinéas 2 et 3 au plus tard 1 mois après qu’il a obtenu les données personnelles. S’il communique les données personnelles avant l’échéance de ce délai, il en informe la personne concernée au plus tard lors de la communication.

Art. 38A Exceptions au devoir d’informer lors de la collecte de données personnelles (nouveau)

¹ Le responsable du traitement est délié du devoir d’information au sens de l’article 38 si l’une des conditions suivantes est remplie :

a) la personne concernée dispose déjà des informations au sens de l’article 38;

² Le responsable du traitement peut restreindre ou différer la communication des informations, ou y renoncer, si un intérêt public ou privé prépondérant le justifie, en particulier dans les cas prévus à l’article 46.

Art. 38B Droits de la personne concernée en cas de décision individuelle automatisée (nouveau)

¹ Le responsable du traitement informe la personne concernée de toute décision qui est prise exclusivement sur la base d’un traitement de données personnelles automatisé et qui a des effets juridiques pour elle ou l’affecte de manière significative.

² A la demande de la personne faisant l’objet d’une décision individuelle automatisée, le responsable du traitement lui communique la logique et les critères à la base de celle-ci. Cette demande ne suspend pas le délai visé à l’alinéa 3.

³ Toute personne faisant l’objet d’une décision individuelle automatisée peut former une réclamation, dans les 30 jours à compter de sa notification, auprès de son auteure ou auteur.

⁴ La décision sur réclamation ne peut pas être rendue de manière automatisée.

⁵ Les dispositions de la législation spéciale qui prévoient déjà une procédure de réclamation sont réservées.

Art. 39, al. 1, lettre a, al. 2, 5, 7, lettres a et b, 8, 10 et 11 (nouvelle teneur)

¹ Sans préjudice, le cas échéant, de son devoir de renseigner les instances hiérarchiques supérieures dont elle dépend, une institution publique ne peut communiquer des données personnelles en son sein ou à une autre institution publique que si, cumulativement :

a) l’institution requérante démontre que le traitement qu’elle entend faire des données sollicitées satisfait aux exigences prévues aux articles 35 à 38B;

² L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 1 et, une fois la communication effectuée, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement.

⁵ L’institution publique requise est tenue de s’assurer du respect des conditions posées à l’alinéa 4 et, avant de procéder à la communication requise, d’en informer sa conseillère ou son conseiller à la protection des données et à la transparence, à moins que le droit de procéder à cette communication ne résulte déjà explicitement d’une loi ou d’un règlement. S’il y a lieu, elle assortit la communication de charges et conditions.

⁷ En l’absence du niveau de protection des données requis par l’alinéa 6, la communication n’est possible que si elle n’est pas contraire à une loi ou un règlement et si, alternativement :

a) elle intervient avec le consentement exprès, libre et éclairé de la personne concernée ou dans son intérêt manifeste;

b) elle est dictée par un intérêt public important manifestement prépondérant reconnu par l’institution publique requise et que l’entité requérante fournit des garanties fiables suffisantes quant au respect des droits fondamentaux de la personne concernée;

⁸ L’institution publique requise est tenue de consulter la préposée cantonale ou le préposé cantonal avant toute communication. S’il y a lieu, elle assortit la communication de charges ou conditions.

¹⁰ Dans les cas visés à l’alinéa 9, lettre b, l’institution publique requise est tenue de consulter les personnes concernées avant toute communication, à moins que cela n’implique un travail disproportionné. A défaut d’avoir pu recueillir cette détermination, ou en cas d’opposition d’une personne consultée, l’institution publique requise sollicite le préavis de la préposée cantonale ou du préposé cantonal. La communication peut être assortie de charges et conditions, notamment pour garantir un niveau de protection adéquat des données.

¹¹ Outre aux parties, l’institution publique requise communique sa décision aux personnes consultées ainsi qu’à la préposée cantonale ou au préposé cantonal.

Art. 41 Traitement à des fins générales ne se rapportant pas à des personnes (nouvelle teneur avec modification de la note)

¹ Les institutions publiques soumises à la présente loi sont en droit de traiter des données personnelles à des fins générales de statistique, de recherche scientifique, de planification ou d’évaluation de politiques publiques, indépendamment des buts pour lesquels elles ont été collectées, si les conditions suivantes sont réunies :

a) les données personnelles sont rendues anonymes dès que la finalité du traitement le permet;

b) l’institution publique ne communique les données personnelles sensibles à des personnes privées que sous une forme ne permettant pas d’identifier les personnes concernées;

c) le destinataire ne communique les données personnelles à des tiers qu’avec le consentement de l’institution qui les lui a transmises;

d) les résultats du traitement sont publiés sous une forme ne permettant pas d’identifier les personnes concernées.

Art. 42, al. 1, phrase introductive (nouvelle teneur)

¹ Dans la mesure où elles ne sont pas dictées par l’accomplissement légal de tâches au sens de l’article 36, la création et l’exploitation d’un système de vidéosurveillance ne sont licites que si, cumulativement :

Art. 43 Registre des activités de traitement (nouvelle teneur avec modification de la note)

¹ La préposée cantonale ou le préposé cantonal dresse et tient à jour un registre public des activités de traitement des institutions publiques. Elle ou il le rend facilement accessible.

² Les institutions publiques déclarent leurs activités de traitement à la préposée cantonale ou au préposé cantonal, en fournissant au moins les indications suivantes :

c) une description des catégories des personnes concernées et des catégories des données personnelles traitées;

e) le cas échéant, l’identité et les coordonnées des autres responsables du traitement et la répartition des responsabilités.

³ Les institutions publiques fournissent également les indications suivantes à la préposée cantonale ou au préposé cantonal, sur requête de ces derniers :

a) dans la mesure du possible, le délai de conservation des données personnelles ou les critères pour déterminer la durée de conservation;

b) dans la mesure du possible, une description générale des mesures visant à garantir la sécurité des données personnelles selon l’article 37A;

c) en cas de communication de données personnelles à l’étranger, le nom de la corporation ou de l’établissement de droit public étranger destinataire et, le cas échéant, l’application d’une des exceptions prévues à l’article 39, alinéa 7;

⁴ Le Conseil d’Etat peut prévoir des exceptions à l’obligation de déclarer pour certaines catégories de traitement à des fins administratives internes qui ne présentent manifestement pas de risques pour les droits des personnes concernées.

Art. 44 (nouvelle teneur)

¹ Toute personne physique ou morale de droit privé peut demander par écrit au responsable du traitement, en s’adressant à sa conseillère ou à son conseiller à la protection des données et à la transparence au sens de l’article 50, si des données personnelles la concernant sont traitées.

² La personne concernée reçoit les informations nécessaires à la mise en œuvre de ses droits en matière de protection des données personnelles. A sa demande, elle reçoit notamment les informations suivantes :

d) la durée de conservation des données personnelles, ou, si cela n’est pas possible, les critères pour fixer cette dernière;

e) les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée;

f) le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que l’application d’une des exceptions prévues à l’article 39, alinéa 7.

³ L’institution publique qui fait traiter des données personnelles par un sous-traitant demeure tenue de communiquer les données et de fournir les informations demandées.

Art. 45 (nouvelle teneur)

¹ La personne qui fait valoir son droit d’accès doit justifier de son identité.

² Les renseignements sont, en règle générale, fournis par écrit sur un support physique ou électronique. En accord avec le responsable du traitement, la personne concernée peut également consulter ses données personnelles sur place.

³ Le responsable du traitement fournit gratuitement les renseignements demandés. Le Conseil d’Etat peut prévoir des exceptions, notamment si la communication de l’information implique un travail disproportionné.

⁴ A moins que des circonstances exceptionnelles le justifient, les renseignements sont fournis dans un délai de 30 jours.

Art. 47, al. 2, lettres a, d et e (nouvelle teneur)

² Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles :

d) s’abstiennent de communiquer celles qui ne répondent pas aux exigences de qualité visées à l’article 35;

e) publient leur décision prise suite à sa requête ou la communiquent aux institutions ou tiers ayant reçu de leur part des données ne répondant pas aux exigences de qualité visées à l’article 35.

Art. 49 (nouvelle teneur)

¹ Toute requête fondée sur les articles 44, 47 ou 48 doit être adressée par écrit au responsable du traitement dont relève le traitement considéré.

² Le responsable du traitement saisi traite la requête avec célérité. S’il y a lieu, il la transmet à la conseillère ou au conseiller à la protection des données et à la transparence compétent au regard des procédures adoptées au sein de son institution en application de l’article 50.

³ L’institution concernée statue par voie de décision dans les 30 jours sur les prétentions de la requérante ou du requérant. Elle notifie aussi sa décision à la préposée cantonale ou au préposé cantonal.

Art. 50 Conseillères et conseillers à la protection des données et à la transparence et procédures (nouvelle teneur de la note), al. 1 (nouvelle teneur), al. 2 (nouveau, les al. 2 à 5 anciens devenant les al. 3 à 6), al. 3, phrase introductive (nouvelle teneur), lettre e (nouvelle, les lettres e à i anciennes devenant les lettres f à j), al. 4 et 6 (nouvelle teneur)

¹ Des conseillères et conseillers à la protection des données et à la transparence (ci-après : conseillères et conseillers LIPAD) ayant une formation appropriée et les compétences utiles sont désignés et des procédures sont mises en place au sein des institutions publiques, pour y garantir une correcte application de la présente loi.

² Plusieurs institutions publiques peuvent désigner ensemble une conseillère ou un conseiller LIPAD.

³ Les mesures d’organisation générales et les procédures visées à l’alinéa 1 sont adoptées, après consultation de la préposée cantonale ou du préposé cantonal, par les instances suivantes :

⁴ Le Conseil d’Etat prescrit par substitution les mesures et les procédures nécessaires à une correcte application du titre III de la présente loi, si une instance visée à l’alinéa 3, lettres f à j, n’en adopte pas en temps utile après avoir été mise en demeure de le faire.

⁶ La liste des conseillères et conseillers LIPAD désignés en application du présent article est publique.

Art. 51 (nouvelle teneur)

¹ Les conseillères et conseillers LIPAD sont les interlocutrices et interlocuteurs privilégiés des personnes concernées et de la préposée cantonale ou du préposé cantonal pour tout ce qui a trait au traitement des données personnelles et à la transparence de l’institution qui les a désignés.

² Elles et ils ont une fonction de conseil et de soutien et sont associés de manière appropriée aux activités de traitement accomplies au sein de l’institution publique.

a) donner aux membres de l’institution publique les instructions utiles sur le traitement des données personnelles nécessaires à l’accomplissement de leurs tâches légales ou des demandes d’accès aux documents;

b) concourir à l’établissement de l’analyse d’impact relative à la protection des données;

c) communiquer à la préposée cantonale ou au préposé cantonal les activités de traitement des institutions publiques au sens de l’article 43, ainsi que leurs mises à jour régulières;

d) annoncer à la préposée cantonale ou au préposé cantonal les violations de la sécurité des données personnelles qui leur ont été communiquées par le responsable du traitement.

⁴ Les conseillères et conseillers LIPAD détiennent, à l’égard des membres de l’institution à laquelle elles ou ils appartiennent, la compétence :

a) d’exiger d’eux tous renseignements utiles sur le traitement des données personnelles ou celui des demandes d’accès aux documents régies par la présente loi, qu’ils effectuent ou sont appelés à effectuer;

b) de prendre par voie d’évocation les décisions d’application de la présente loi entrant ordinairement dans leur sphère de compétence.

⁵ Les membres des institutions publiques informent leur conseillère ou conseiller LIPAD, notamment :

b) de toute requête de communication et de toute intention de destruction de données personnelles, à moins que ces opérations ne soient prévues explicitement par une loi, un règlement ou une décision du Conseil d’Etat;

c) de toute information ou consultation qu’ils adressent directement à la préposée cantonale ou au préposé cantonal.

Art. 52, al. 2 et 3 (nouveaux)

² La préposée cantonale ou le préposé cantonal se concerte avec l’archiviste d’Etat lorsque l’application de la présente loi implique celle de la loi sur les archives publiques, du 1^er décembre 2000.

³ Elle ou il entretient des contacts réguliers avec la commission consultative.

Art. 55A Autocontrôle (nouveau)

La préposée cantonale ou le préposé cantonal s’assure, par des mesures de contrôle appropriées portant notamment sur la sécurité des données personnelles, du respect et de la bonne application en son sein des dispositions de la présente loi.

Art. 56 Compétences de la préposée cantonale ou du préposé cantonal en matière d’information du public et d’accès aux documents (nouvelle teneur avec modification de la note)

¹ La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière d’information du public et d’accès aux documents.

a) de traiter les requêtes de médiation relatives à l’accès aux documents;

b) d’informer d’office ou sur demande sur les modalités d’accès aux documents;

c) de centraliser les normes et directives que les institutions édictent pour assurer l’application de l’article 50;

d) de collecter les données utiles pour évaluer l’effectivité et l’efficacité de la mise en œuvre de la présente loi;

e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de transparence.

Art. 56A Compétences de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau)

¹ La préposée cantonale ou le préposé cantonal surveille l’application de la présente loi en matière de protection des données personnelles, notamment en procédant à des contrôles auprès des institutions publiques.

b) de collecter et de centraliser les avis et informations que les institutions publiques, ou leurs conseillères et conseillers LIPAD, doivent lui fournir, et, s’il y a lieu, de prendre position dans l’exercice de ses compétences;

c) de conseiller les instances compétentes des institutions publiques sur les mesures d’organisation et les procédures à prescrire en leur sein;

d) d’assister les conseillères et conseillers LIPAD dans l’accomplissement de leurs tâches;

e) d’exprimer son avis sur les projets d’actes législatifs ayant un impact en matière de protection des données personnelles;

f) de dresser, de mettre à jour et de rendre accessible au public le registre des activités de traitement des institutions publiques;

g) de dresser, de mettre à jour et de rendre accessible au public la liste des conseillères et conseillers LIPAD désignés au sein des institutions publiques;

h) de renseigner d’office ou sur demande les personnes concernées sur leurs droits;

i) d’exercer le droit de recours prévu à l’article 62, ainsi que dans les autres cas prévus dans la loi.

Art. 56B Pouvoirs de contrôle de la préposée cantonale ou du préposé cantonal en matière de protection des données personnelles (nouveau)

¹ La préposée cantonale ou le préposé cantonal peut effectuer, d’office, ou sur dénonciation, un contrôle auprès d’une institution publique ou d’un sous-traitant, afin de vérifier qu’ils respectent les dispositions de protection des données personnelles. Elle ou il décide librement des contrôles qu’elle ou il opère et de la suite à donner à une dénonciation.

² La préposée cantonale ou le préposé cantonal peut notamment demander des renseignements, exiger la production de documents, procéder à des inspections et se faire présenter des traitements de données. Elle ou il peut recourir, au besoin, à des expertes et experts dans les domaines techniques.

³ Le secret de fonction ne peut pas être opposé à la préposée cantonale ou au préposé cantonal. Les autres secrets institués par la loi sont réservés.

⁴ Si la personne concernée est à l’origine de la dénonciation, la préposée cantonale ou le préposé cantonal l’informe des suites données à celle-ci.

Art. 56C Mesures administratives de la préposée cantonale ou du préposé cantonal (nouveau)

¹ Si des dispositions de protection des données ne sont pas respectées, la préposée cantonale ou le préposé cantonal peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction de tout ou partie des données personnelles.

² Elle ou il peut suspendre ou interdire la communication de données personnelles à l’étranger si elle est contraire aux conditions de l’article 39 ou à des dispositions d’autres lois cantonales concernant la communication de données personnelles à l’étranger.

a) de se conformer à son devoir d’informer lors de la collecte des données personnelles (art. 38);

b) de répondre de manière appropriée à la demande de la personne concernée qui exerce ses droits en vertu de la présente loi, notamment son droit d’accès, son droit de rectification ou son droit d’opposition;

c) de lui fournir les informations prévues en matière de communications transfrontières de données personnelles (art. 38, al. 3);

d) de déclarer un traitement de données personnelles au registre des activités de traitement (art. 43);

e) de prendre des mesures organisationnelles et techniques en matière de protection des données personnelles (art. 37A);

f) de prendre des mesures de protection des données personnelles dès la conception et par défaut (art. 37);

g) de procéder à une analyse d’impact relative à la protection des données personnelles ou de la compléter (art. 37B);

h) de lui transmettre les informations pertinentes en lien avec une violation de la sécurité des données personnelles (art. 37C);

i) d’informer les personnes concernées à la suite d’une violation de la sécurité des données personnelles (art. 37C);

⁴ Si une institution publique ne donne pas suite à l’ordre de la préposée cantonale ou du préposé cantonal, au sens de l’alinéa 3, la préposée cantonale ou le préposé cantonal peut saisir les instances compétentes au sens de l’article 50, alinéas 3 et 4, qui prescrivent par substitution les mesures nécessaires.

Art. 56D Procédure (nouveau)

¹ La procédure est régie par la loi sur la procédure administrative, du 12 septembre 1985.

² L’institution publique visée par une décision de la préposée cantonale ou du préposé cantonal a qualité pour recourir contre celle-ci.

Art. 56E Collaboration entre les autorités cantonales, fédérales et étrangères chargées de la protection des données (nouveau)

¹ Dans l’exercice de ses fonctions, la préposée cantonale ou le préposé cantonal doit collaborer avec les autorités cantonales, fédérales et étrangères chargées de la protection des données personnelles.

² La communication de données personnelles dans le cadre de l’entraide administrative est accordée lorsque les conditions fixées par l’article 39 sont remplies.

Art. 59, lettre a (nouvelle teneur)

a) sur requête des instances visées à l’article 50, alinéa 3, d’étudier et de donner son avis sur tout objet touchant aux domaines de la protection des données, de la transparence et de l’archivage;

Art. 68, al. 8 (nouveau)

⁸ Les articles 37 et 37B ne sont pas applicables aux traitements qui ont débuté avant l’entrée en vigueur de la loi 13347, du 3 mai 2024, pour autant que les finalités du traitement restent inchangées et que de nouvelles données personnelles ne soient pas collectées.

Art. 2 Modifications à d’autres lois

¹ La loi instituant les numéros d’identification personnels communs, du 20 septembre 2013 (LNIP – A 2 09), est modifiée comme suit :

Art. 1 (nouvelle teneur)

La présente loi a pour but d’instituer les numéros d’identification personnels communs au sens de l’article 4, lettre n, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, utilisés par les institutions publiques au sens de l’article 3 de ladite loi.

² La loi générale relative au personnel de l’administration cantonale, du pouvoir judiciaire et des établissements publics médicaux, du 4 décembre 1997 (LPAC – B 5 05), est modifiée comme suit :

Art. 2D Traitement de données personnelles (nouveau)

¹ L’employeur traite les données personnelles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, dans la mesure nécessaire à la réalisation des tâches qui lui sont assignées par la présente loi.

² L’employeur peut traiter des données personnelles sensibles au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, notamment pour :

c) évaluer l’état de santé à l’engagement des candidates et candidats ainsi que, pendant les rapports de travail, pour déterminer la capacité de travail;

d) gérer le traitement et les diverses prestations alloués aux membres du personnel, établir les dossiers du personnel et gérer les communications adressées aux assurances sociales;

f) mettre en place et optimiser les conditions de travail pour prévenir les maladies et accidents professionnels du personnel et veiller à préserver sa santé;

g) assurer une planification, un pilotage et un contrôle au moyen d’analyses de données, de comparaisons, de rapports et de plans de mesures;

h) gérer des actes de procédure ou des décisions d’autorités concernant les rapports de travail.

³ Lors de recrutements, l’employeur peut, avec l’accord de la personne candidate, lui faire passer des tests de personnalité ou utiliser le profilage. Les résultats de ces tests ou du profilage doivent être détruits dans un délai de 12 mois.

⁴ L’employeur peut traiter les données visées à l’alinéa 1 dans un système d’information.

⁵ Les modalités relatives au traitement des données sont fixées par règlement.

³ La loi sur la Haute école spécialisée de Suisse occidentale – Genève, du 29 août 2013 (LHES-SO-GE – C 1 26), est modifiée comme suit :

Art. 6A Traitement de données personnelles (nouveau)

¹ La HES-SO Genève est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée.

² Les dispositions de la loi fédérale relative à la recherche sur l’être humain, du 30 septembre 2011, et de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, ainsi que celles de leurs réglementations d’application respectives, demeurent réservées.

⁴ La loi sur l’université, du 13 juin 2008 (LU – C 1 30), est modifiée comme suit :

Art. 7A Traitement de données personnelles (nouveau)

¹ L’université est en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de sa mission de recherche scientifique fondamentale et appliquée.

⁵ La loi sur la formation continue des adultes, du 18 mai 2000 (LFCA – C 2 08), est modifiée comme suit :

Art. 11A, phrase introductive (nouvelle teneur)

Dans le cadre des activités du service visant à traiter les demandes de chèque annuel de formation et conformément à l’article 36, alinéa 1, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, le service est autorisé à :

⁶ La loi sur la surveillance de l’Etat, du 13 mars 2014 (LSurv – D 1 09), est modifiée comme suit :

Art. 34 (nouvelle teneur)

Le rapport de révision des états financiers individuels et consolidés de l’Etat de Genève contient l’opinion du réviseur au sens de l’article 31 et recommande l’approbation des états financiers avec ou sans réserves, ou leur renvoi au Conseil d’Etat. Il est joint aux états financiers publiés et approuvés par le Conseil d’Etat. Les communications écrites complémentaires ne peuvent pas faire l’objet d’une demande d’accès aux documents au sens de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001. Il en va de même s’agissant des documents relatifs à d’autres entités reçus par la Cour des comptes dans le cadre de la révision des états financiers individuels et consolidés de l’Etat de Genève.

⁷ La loi sur la santé, du 7 avril 2006 (LS – K 1 03), est modifiée comme suit :

Art. 122B, al. 2 (nouvelle teneur)

² Les données personnelles sensibles, au sens de l’article 36, alinéa 2, de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles, du 5 octobre 2001, traitées dans ce cadre sont limitées à celles permettant de connaître le statut vaccinal d’une personne relatif à la maladie concernée.

⁸ La loi sur les établissements publics médicaux, du 19 septembre 1980 (LEPM – K 2 05), est modifiée comme suit :

Art. 4A Traitement de données personnelles (nouveau)

¹ Les établissements sont en droit de traiter, à des fins de recherche, des données personnelles, y compris sensibles, et de procéder à du profilage, dans la mesure nécessaire à la réalisation de leur mission de recherche médicale fondamentale et clinique.

Art. 3 Entrée en vigueur

Le Conseil d'Etat est chargé de promulguer les présentes dans la forme et le terme prescrits.

Fait et donné à Genève, le trois mai deux mille vingt-quatre sous le sceau de la République et les signatures du président et de la membre du bureau du Grand Conseil.

vu l’article 67, alinéa 1, de la constitution de la République et canton de Genève, du 14 octobre 2012,

La loi ci-dessus est soumise au référendum facultatif. Le nombre de signatures exigé est de 1,5% des titulaires des droits politiques.

Le présent arrêté peut faire l'objet d'un recours auprès de la chambre constitutionnelle de la Cour de justice (rue de Saint-Léger 10, case postale 1956, 1211 Genève 1) dans les 6 jours qui suivent sa publication dans la Feuille d’avis officielle.

L’acte de recours doit être signé et parvenir à l'autorité ou être remis à son adresse à un bureau de poste suisse ou à une représentation diplomatique ou consulaire suisse au plus tard le dernier jour du délai avant minuit. Il doit indiquer, sous peine d’irrecevabilité, l’arrêté attaqué, les conclusions du recourant ainsi que les motifs et moyens de preuve. Les pièces dont dispose le recourant doivent être jointes à l’envoi.