# LOI 172.65 sur la protection des données personnelles

du 11 septembre 2007

## Préambule

LE GRAND CONSEIL DU CANTON DE VAUD
vu l'article 15 de la Constitution cantonale du 14 avril 2003 [A]
vu le projet de loi présenté par le Conseil d'Etat
décrète

### Art. 1 - But {#art_1 omnilex-key=ch-vd-blv--172.65--1}

1 La présente loi vise à protéger les personnes contre l'utilisation abusive des données personnelles les concernant.

### Art. 2 - Terminologie {#art_2 omnilex-key=ch-vd-blv--172.65--2}

1 La désignation des fonctions s'applique indifféremment aux femmes et aux hommes.

### Art. 3 - Champ d'application [ 4, 5, 6 ] {#art_3 omnilex-key=ch-vd-blv--172.65--3}

1 La présente loi s'applique à tout traitement de données des personnes physiques ou morales.

2 Sont soumis à la présente loi les entités suivantes :

3 La présente loi ne s'applique pas :

### Art. 4 - Définitions {#art_4 omnilex-key=ch-vd-blv--172.65--4}

1 On entend par :

### Art. 5 - Légalité {#art_5 omnilex-key=ch-vd-blv--172.65--5}

1 Les données personnelles ne peuvent être traitées que si :

2 Les données sensibles ne peuvent être traitées que si :

### Art. 6 - Finalité {#art_6 omnilex-key=ch-vd-blv--172.65--6}

1 Les données ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu'il ressort de la loi ou de l'accomplissement de la tâche publique concernée.

### Art. 7 - Proportionnalité {#art_7 omnilex-key=ch-vd-blv--172.65--7}

1 Le traitement des données personnelles doit être conforme au principe de la proportionnalité.

### Art. 8 - Transparence {#art_8 omnilex-key=ch-vd-blv--172.65--8}

1 La collecte des données personnelles doit être reconnaissable pour la personne concernée.

### Art. 9 - Exactitude {#art_9 omnilex-key=ch-vd-blv--172.65--9}

1 Les entités soumises à la présente loi s'assurent que les données personnelles traitées sont exactes.

### Art. 10 - Sécurité {#art_1 omnilex-key=ch-vd-blv--172.65--10}

1 Le responsable du traitement prend les mesures appropriées pour garantir la sécurité des fichiers et des données personnelles, soit notamment contre leur perte, leur destruction, ainsi que tout traitement illicite.

### Art. 11 - Conservation {#art_1 omnilex-key=ch-vd-blv--172.65--11}

1 Les données personnelles doivent être détruites ou rendues anonymes dès qu'elles ne sont plus nécessaires à la réalisation de la tâche pour laquelle elles ont été collectées.

2 Demeurent réservées les dispositions légales spécifiques à la conservation des données, en particulier à leur archivage, ou effectuées à des fins historiques, statistiques ou scientifiques.

### Art. 12 - Consentement {#art_1 omnilex-key=ch-vd-blv--172.65--12}

1 Lorsque le traitement de données personnelles requiert le consentement de la personne concernée, cette dernière ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profil de la personnalité, son consentement doit être au surplus explicite.

### Art. 13 - Devoir d'informer {#art_1 omnilex-key=ch-vd-blv--172.65--13}

1 Le responsable du traitement informe la personne concernée de toute collecte des données personnelles la concernant.

2 Les informations fournies à la personne concernée sont les suivantes :

3 Si les données ne sont pas collectées auprès de la personne concernée, le responsable du traitement doit fournir par écrit à cette dernière les informations énumérées à l'alinéa précédent, au plus tard lors de l'enregistrement des données, à moins que cela ne s'avère impossible, ne nécessite des efforts disproportionnés ou que l'enregistrement ou la communication ne soient expressément prévus par la loi.

### Art. 14 - Restriction du devoir d'information {#art_1 omnilex-key=ch-vd-blv--172.65--14}

1 Le responsable du traitement peut différer, restreindre, voire refuser l'information, dans la mesure où :

2 Dès que le motif justifiant la restriction du devoir d'information disparaît, le responsable du traitement doit fournir l'information, à moins que cela ne soit impossible ou ne nécessite des efforts disproportionnés.

### Art. 15 - Communication {#art_1 omnilex-key=ch-vd-blv--172.65--15}

1 Les données personnelles peuvent être communiquées par les entités soumises à la présente loi lorsque :

2 L'alinéa 1 est également applicable aux informations transmises sur demande en vertu de la loi sur l'information[B].

3 Les autorités peuvent communiquer spontanément des données personnelles dans le cadre de l'information au public, en vertu de la loi sur l'information [B] , à condition que la communication réponde à un intérêt public ou privé prévalant sur celui de la personne concernée.

### Art. 16 - Procédure d'appel [ 4 ] {#art_1 omnilex-key=ch-vd-blv--172.65--16}

1 Les données peuvent être rendues accessibles au moyen d'une procédure d'appel entre les entités soumise à la loi aux conditions de l'article 15. Les données sensibles ou les profils de la personnalité ne peuvent être rendus accessibles au moyen d'une procédure d'appel que si une loi au sens formel ou un règlement le prévoit.

2 Les données ne peuvent être rendues accessibles à des personnes privées au moyen d'une procédure d'appel que si une loi au sens formel ou un règlement le prévoit. Les données sensibles ou les profils de la personnalité ne peuvent être rendus accessibles que si une loi au sens formel le prévoit expressément.

### Art. 17 - Communication transfrontière de données {#art_1 omnilex-key=ch-vd-blv--172.65--17}

1 La communication vers un pays tiers de données personnelles faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement, ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat.

2 L'alinéa précédent n'est pas applicable :

### Art. 18 - Traitement des données par un tiers {#art_1 omnilex-key=ch-vd-blv--172.65--18}

1 Le traitement de données peut être confié à un tiers aux conditions cumulatives suivantes :

2 Le tiers est responsable de la sécurité des données qu'il traite.

### Art. 19 - Registre des fichiers {#art_1 omnilex-key=ch-vd-blv--172.65--19}

1 Le Préposé cantonal à la protection des données et à l'information (ci-après : le Préposé) tient un registre des fichiers, qui est public et accessible en ligne.

2 Le Conseil d'Etat édicte les règles applicables à la tenue du registre [C] .

### Art. 20 - Annonce {#art_2 omnilex-key=ch-vd-blv--172.65--20}

1 Les entités soumises à la présente loi sont tenues d'informer sans délai le Préposé lors de tout projet visant à constituer un nouveau fichier contenant des données personnelles.

2 Le Conseil d'Etat fixe les renseignements à fournir lors de l'annonce de fichier.

### Art. 21 - Mise en service {#art_2 omnilex-key=ch-vd-blv--172.65--21}

1 Les fichiers peuvent être opérationnels dès que le Préposé a été informé de leur constitution.

### Art. 21a - Exceptions [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--21a}

1 N'ont pas à être déclarés, s'ils ne contiennent pas de données sensibles ou ne constituent pas un profil de la personnalité :

### Art. 22 - Principes [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--22}

1 Les entités citées à l'article 3, alinéa 2 peuvent installer un système de vidéosurveillance dissuasive, avec ou sans système d'enregistrement, sur le domaine public ou leur patrimoine affecté à la réalisation d'une tâche publique, moyennant le respect des principes et prescriptions de la présente loi.

1bis Les buts d'un système de vidéosurveillance dissuasive sont de garantir la sécurité des personnes et des biens, d'éviter la perpétration d'infractions sur un certain lieu et de contribuer à la poursuite et à la répression d'infractions.

2 …

3 …

4 L'installation du système de vidéosurveillance doit constituer le moyen le plus adéquat pour atteindre le but poursuivi. Toutes les mesures doivent être prises pour limiter les atteintes aux personnes concernées.

5 …

6 …

7 Le Conseil d'Etat précise les conditions précitées.

### Art. 22a - Autorisation [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--22a}

1 Préalablement à son exploitation, l'installation de vidéosurveillance doit faire l'objet d'une demande d'autorisation du responsable du traitement. Il en va de même pour toute modification ultérieure du système.

2 L'autorité compétente peut demander l'avis du Préposé avant de statuer. Le Préposé reçoit une copie de la décision.

3 Si un système ne remplit plus les conditions légales, l'autorisation est retirée.

4 Le Préposé publie une liste des installations de vidéosurveillance dissuasive qui ont été autorisées.

5 Le Conseil d'Etat précise dans un règlement la procédure d'autorisation.

### Art. 22b - Autorités compétentes [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--22b}

1 Lorsque la demande émane d'une entité cantonale, l'autorité compétente est le chef du département dont dépend l'entité concernée.

2 Lorsque la demande émane d'une entité communale, l'autorité compétente est le préfet du district.

3 Lorsque la demande émane d'un établissement de droit public cantonal ou d'une personne morale à laquelle le canton a confié des tâches publiques, l'autorité compétente est l'organe suprême de l'établissement.

### Art. 22c - Recours [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--22c}

1 Le Préposé a la qualité pour recourir contre une décision d'autorisation auprès du Tribunal cantonal.

2 Le responsable du traitement a la qualité pour recourir contre une décision de refus d'autorisation auprès du Tribunal cantonal.

### Art. 23 - Indications {#art_2 omnilex-key=ch-vd-blv--172.65--23}

1 Le responsable du traitement doit indiquer de manière visible l'existence du système de vidéosurveillance aux abords directs de ce dernier.

2 Cette information inclut les coordonnées du responsable du traitement et mentionne le droit d'accès aux images concernées.

### Art. 23a - Durée de conservation des images [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23a}

1 A moins qu'une autorité n'ordonne leur conservation dans le cadre d'une procédure pénale, les images enregistrées doivent être détruites automatiquement après un délai de sept jours, ou en cas d'atteinte aux personnes ou aux biens, après cent jours au maximum.

### Art. 23b - Délégation [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23b}

1 L'exploitation d'une installation de vidéosurveillance peut être déléguée à un tiers aux conditions de l'article 18.

2 La délégation fait l'objet d'une décision d'autorisation en application de la procédure prévue aux articles 22a et 22b.

3 Le responsable du traitement procède à des contrôles réguliers afin de s'assurer que les conditions légales sont respectées.

### Art. 23c - Autorisation cadre [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23c}

1 Si les besoins spécifiques d'une entité mentionnée à l'article 3, alinéa 2, lettres a à cbisle justifient, l'autorité compétente peut délivrer une autorisation de principe, dite autorisation cadre, permettant à l'entité bénéficiaire d'installer et d'exploiter, aux conditions définies par l'autorisation cadre, plusieurs installations de vidéosurveillance.

2 Pour toute installation d'un système de vidéosurveillance, l'entité cantonale au bénéfice d'une autorisation cadre en informe l'autorité compétente et le Préposé.

3 Le Conseil d'Etat précise dans un règlement les conditions d'octroi d'une autorisation cadre.

### Art. 23d - Sécurité des données [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23d}

1 Le responsable du traitement prend les mesures de sécurité appropriées afin de protéger les données enregistrées ou en transfert sur les réseaux informatiques et d'éviter tout traitement illicite de celles-ci. Il limite notamment l'accès aux données et aux locaux qui les contiennent.

2 Il doit installer et maintenir un système de journalisation automatique permettant de contrôler les accès aux images.

### Art. 23e - Traitement des données [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23e}

1 L'accès aux images est limité aux personnes désignées par le responsable de traitement, ainsi qu'à celles qui peuvent se prévaloir d'un droit d'accès à leurs propres données, au sens du chapitre VI.

2 Le responsable de traitement définit la procédure à suivre pour les opérations techniques de gestion des systèmes et des données informatiques liées à la vidéosurveillance.

3 En vue d'obtenir des moyens de preuve, les images enregistrées peuvent être analysées en cas de dénonciation pénale, de plainte pénale ou d'indices concrets de la commission d'un acte pénalement punissable.

4 Le responsable du traitement ne peut transmettre les images enregistrées qu'aux autorités chargées de poursuivre l'infraction pénale.

### Art. 23f - Communes [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23f}

1 Outre le respect des conditions posées à la section précédente, l'installation d'un système de vidéosurveillance sur le domaine public et le patrimoine affecté à la réalisation d'une tâche publique communale ou intercommunale nécessite l'adoption d'un règlement communal ou intercommunal.

2 Les images enregistrées par le système de vidéosurveillance ne peuvent être utilisées que selon les modalités, aux conditions et aux fins fixées dans le règlement qui l'institue.

3 Ce règlement ne peut déroger aux conditions minimales fixées par la loi.

### Art. 23g - Etablissements scolaires [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23g}

1 L'installation d'un système de vidéosurveillance dans ou aux abords immédiats d'un établissement scolaire communal ou intercommunal nécessite, outre l'autorisation prévue à l'article 22a, l'approbation du département chargé de la formation.

### Art. 23h - Etablissements pénitentiaires [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--23h}

1 Les établissements pénitentiaires peuvent installer un système de vidéosurveillance de sécurité.

2 Le Conseil d'Etat fixe les conditions à respecter quant à l'exploitation d'un système de vidéosurveillance de sécurité.

3 Au surplus, les dispositions du présent chapitre ne s'appliquent pas à la vidéosurveillance dans les établissements pénitentiaires.

### Art. 24 {#art_2 omnilex-key=ch-vd-blv--172.65--24}

1 Les entités soumises à la présente loi sont en droit de traiter des données personnelles et de les communiquer à des fins de recherche, de la planification ou de la statistique, aux conditions suivantes :

2 Les articles 5, 6, 15 de la présente loi ne sont pas applicables.

3 La loi sur la statistique cantonale [D] est pour le surplus applicable.

### Art. 25 - Droit d'accès à ses propres données [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--25}

1 Toute personne a, en tout temps, libre accès aux données la concernant.

2 Elle peut également requérir du responsable du traitement la confirmation qu'aucune donnée la concernant n'a été collectée.

3 La personne qui fait valoir son droit doit justifier de son identité.

4 Nul ne peut renoncer par avance au droit d'accès.

### Art. 26 - Modalités {#art_2 omnilex-key=ch-vd-blv--172.65--26}

1 La demande portant sur la communication de données personnelles n'est soumise à aucune exigence de forme. Elle doit toutefois contenir les indications suffisantes pour permettre d'identifier la donnée concernée.

2 La communication de données a lieu sur place ou se fait par écrit, sauf disposition contraire.

3 Avec l'accord du requérant, la communication peut également se faire par oral.

4 La communication des données est, en règle générale, gratuite.

5 Le responsable du traitement qui répond à la demande peut percevoir un émolument :

6 Le Conseil d'Etat fixe le tarif des émoluments.

### Art. 26a - Délais [ 4 ] {#art_2 omnilex-key=ch-vd-blv--172.65--26a}

1 Le responsable de traitement répond dans les trente jours à compter de la date de réception de la demande par l'entité concernée.

### Art. 27 - Restrictions {#art_2 omnilex-key=ch-vd-blv--172.65--27}

1 Le responsable du traitement peut restreindre la consultation, voire refuser celle-ci, si :

2 Le droit d'accès aux données médicales est régi par la loi sur la santé publique [E] .

3 Dès que le motif justifiant la restriction du devoir d'accès disparaît, le responsable du traitement doit fournir l'information.

### Art. 28 - Droit d'opposition {#art_2 omnilex-key=ch-vd-blv--172.65--28}

1 Toute personne a le droit de s'opposer à ce que les données personnelles la concernant soient communiquées, si elle rend vraisemblable un intérêt digne de protection.

2 Le responsable du traitement rejette ou lève l'opposition :

### Art. 29 - Autres droits {#art_2 omnilex-key=ch-vd-blv--172.65--29}

1 Les personnes qui ont un intérêt digne de protection peuvent exiger du responsable du traitement qu'il :

2 Le cas échéant, elles peuvent demander au responsable du traitement de :

3 Si ni l'exactitude, ni l'inexactitude d'une donnée ne peut être établie, le responsable du traitement ajoute à la donnée la mention de son caractère litigieux.

### Art. 30 - Décision du responsable du traitement {#art_3 omnilex-key=ch-vd-blv--172.65--30}

1 Pour toute demande fondée sur la présente loi, notamment sur les articles 25 à 29, le responsable du traitement rend une décision comprenant les motifs l'ayant conduit à ne pas y donner suite.

2 Le responsable du traitement adresse une copie de sa décision au Préposé.

### Art. 31 - Recours [ 3 ] {#art_3 omnilex-key=ch-vd-blv--172.65--31}

1 L'intéressé peut recourir au Préposé, ou directement au Tribunal cantonal.

2 Au surplus, la loi sur la procédure administrative [F] est applicable aux décisions rendues en vertu de la présente loi, ainsi qu'aux recours contre dites décisions.

### Art. 32 - b) Recours au Préposé et conciliation [ 1, 2, 4 ] {#art_3 omnilex-key=ch-vd-blv--172.65--32}

1 Dès qu'il est saisi du recours, le Préposé le notifie au responsable du traitement.

2 Le Préposé tente la conciliation afin d'amener les parties à un accord. Il dispose à cet effet des moyens décrits à l'article 38 de la présente loi.

3 Si la conciliation aboutit, l'affaire est classée.

4 En cas d'échec de la conciliation, le Préposé rend une décision qu'il notifie au responsable du traitement et à l'intéressé.

5 Le responsable du traitement et l'intéressé peuvent recourir au Tribunal cantonal dans un délai de 30 jours dès la notification.

### Art. 33 - Gratuité [ 3 ] {#art_3 omnilex-key=ch-vd-blv--172.65--33}

1 La procédure est gratuite.

2 Un émolument peut être perçu en cas de demande abusive.

3 …

### Art. 34 - Désignation {#art_3 omnilex-key=ch-vd-blv--172.65--34}

1 Le Préposé est désigné par le Conseil d'Etat, pour une période de 6 ans.

2 Son mandat est renouvelable.

### Art. 35 - Statut et rattachement [ 4 ] {#art_3 omnilex-key=ch-vd-blv--172.65--35}

1 Le Préposé exerce son activité de manière indépendante.

2 Le Conseil d'Etat décide de son rattachement administratif.

3 Le Préposé est tenu au secret de fonction.

### Art. 36 - Tâches [ 4 ] {#art_3 omnilex-key=ch-vd-blv--172.65--36}

1 Le Préposé surveille l'application des prescriptions relatives à la protection des données.

2 A cette fin, il dispose des moyens prévus à l'article 38 de la présente loi.

3 S'il estime que les prescriptions sur la protection des données ont été violées, le Préposé transmet une recommandation à l'entité concernée, en vue de modifier ou cesser le traitement concerné.

4 L'entité concernée prend position par écrit. Si la recommandation du Préposé n'est pas suivie, ce dernier peut porter l'affaire devant le département ou l'entité concernée, pour décision.

5 Le Préposé peut recourir contre la décision rendue conformément à l'alinéa précédent, ainsi que contre la décision rendue par l'autorité compétente (article 30). La loi sur la procédure administrative[F] est applicable.

6 Les rapports d'audit établis par le Préposé en application des dispositions qui précèdent sont communiqués au Président du Conseil d'Etat et au Président de la Commission de gestion du Grand Conseil.

### Art. 37 - 2. Autres tâches [ 4 ] {#art_3 omnilex-key=ch-vd-blv--172.65--37}

1 Outre la surveillance mentionnée ci-dessus, le Préposé :

2 En outre, le Préposé connaît des recours prévus à l'article 31 de la présente loi.

### Art. 38 - Moyens {#art_3 omnilex-key=ch-vd-blv--172.65--38}

1 Dans le cadre de ses tâches, le Préposé peut :

### Art. 39 - Obligation de renseigner {#art_3 omnilex-key=ch-vd-blv--172.65--39}

1 Le responsable du traitement est tenu d'assister le Préposé dans l'accomplissement de ses tâches. A cet effet, il lui fournit les informations ou pièces nécessaires et le laisse accéder à ses locaux.

2 Le secret de fonction ne peut être opposé au Préposé.

3 Les tiers sont également tenus de fournir les renseignements requis par le Préposé.

### Art. 40 - Rapport [ 4 ] {#art_4 omnilex-key=ch-vd-blv--172.65--40}

1 Le Préposé établit chaque année un rapport d'activité.

2 Ce rapport est public. Il renseigne notamment sur les recommandations prévues à l'article 36, alinéa 3 adressées dans l'année et, le cas échéant, sur les démarches entreprises par le Préposé en application de l'article 36, alinéas 4 et 5.

3 Le Préposé peut établir, en tout temps, un rapport spécial, d'office ou sur demande du Grand Conseil ou du Conseil d'Etat.

### Art. 41 - Violation du devoir de discrétion [ 4 ] {#art_4 omnilex-key=ch-vd-blv--172.65--41}

1 Toute personne ayant révélé intentionnellement, d'une manière illicite, des données personnelles ou sensibles qui ont été portées à sa connaissance dans l'exercice de sa fonction, sera punie d'une amende.

2 Est passible de la même peine la personne ayant révélé intentionnellement, d'une manière illicite, des données personnelles ou sensibles portées à sa connaissance dans le cadre des activités qu'elle exerce pour le compte de personnes soumises à l'obligation de garder le secret.

3 L'obligation de discrétion persiste au-delà de la fin des rapports de travail.

3bis Celui qui met en place une installation de vidéosurveillance sans en avoir au préalable demandé l'autorisation ou qui exploite une installation de vidéosurveillance sans en respecter les conditions légales sera puni de l'amende.

4 Le droit pénal fédéral est réservé.

### Art. 42 - Application de la loi [ 4 ] {#art_4 omnilex-key=ch-vd-blv--172.65--42}

1 Tout traitement des données doit se conformer à la présente loi, notamment en matière de légalité, dans les cinq ans suivant son entrée en vigueur.

2 …

3 Tout système de vidéosurveillance dissuasive installé par les entités cantonales, les établissements de droit public, et les personnes morales auxquelles le canton a confié des tâches publiques, doit se conformer aux dispositions du chapitre IV de la présente loi dans un délai d'un an suivant l'entrée en vigueur de la loi du 5 juin 2018 modifiant la loi du 11 septembre 2007 sur la protection des données personnelles ; toutefois, les règles relatives à la durée de conservation des images sont immédiatement applicables.

4 Toute modification d'un système de vidéosurveillance communal, autorisé avant l'entrée en vigueur de la loi du 5 juin 2018 modifiant la loi du 11 septembre 2007 sur la protection des données personnelles, est soumise à la procédure d'autorisation prévue au chapitre IV de la présente loi.

### Art. 43 - … [ 4 ] {#art_4 omnilex-key=ch-vd-blv--172.65--43}

### Art. 43a - Dispositions transitoires de la loi du 05.06.2018[G] {#art_4 omnilex-key=ch-vd-blv--172.65--43a}

1 Les demandes d'autorisations déposées avant l'entrée en vigueur de la loi du 5 juin 2018 modifiant la présente loi, et pour lesquelles une décision d'autorisation n'a pas encore été rendue, sont soumises à la procédure des articles 22 et suivants de la loi du 11 septembre 2007 sur la protection des données personnelles.

### Art. 44 {#art_4 omnilex-key=ch-vd-blv--172.65--44}

1 La loi du 25 mai 1981 sur les fichiers informatiques et la protection des données personnelles est abrogée.

### Art. 45 {#art_4 omnilex-key=ch-vd-blv--172.65--45}

1 Le Conseil d'Etat est chargé de l'exécution de la présente loi. Il en publiera le texte conformément à l'article 84, alinéa 1, lettre a) de la Constitution cantonale et en fixera, par voie d'arrêté, la date d'entrée en vigueur.