26e Rapport d'activités 2018/19 - Préposé fédéral à la protection des données et à la transparence
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
26 e Rapport d’activités 2018/19 Préposé fédéral à la protection des données et à la transparence
Rapport d’activités 2018/2019 du Préposé fédéral à la protection des données et à la transparence Le Préposé fédéral à la protection des données et à la transparence est tenu de fournir périodiquement à l’Assemblée fédérale un rapport sur son activité (art. 30 LPD). Le présent rapport couvre la période du 1 er avril 2018 au 31 mars 2019.
Préposé fédéral à la protection des données et à la transparence
Avant-propos
La Suisse occupe l’une des premières places dans le classement de la com-
pétitivité numérique du Forum économique mondial et du World Competitive-
ness Center. Pour permettre à notre pays de maintenir sa position, le Conseil
fédéral élabore des stratégies et des plans d’action visant à promouvoir la
numérisation de l’économie et de l’État.
Mais la protection des données offre également des chances. Les innova-
tions techniques qui assurent la protection de la vie privée et l’autodétermi-
nation numérique peuvent être un plus pour la Suisse en tant que lieu
d’innovation.
Dans la course à l’innovation, cependant, nous ne devons pas oublier de
préserver les avantages existants : En 1992, il y a près de trente ans, la Confé-
dération suisse s’est dotée d’une loi sur la protection des données reconnue
au niveau international qui lui permet aujourd’hui encore d’échanger des
données avec les entreprises d’importants pays commerçants sans autres
exigences ou restrictions juridiques.
La numérisation a un impact profond sur la vie privée des quatre milliards
d’internautes dans le monde. Face à cette réalité, les pays de l’Espace éco-
nomique européen ont renforcé la protection des données de leurs popula-
tions et ont mis en vigueur en mai 2018 des règles harmonisées et actualisées.
Ils permettent à leurs entreprises de continuer à échanger des données sans
entrave, ce à quoi participent désormais également les entreprises japonaises
et – dans le cadre limité du Privacy Shield Agreement – les entreprises amé-
ricaines certifiées. Et nous savons que les données sont un bien recherché.
D’une manière générale, on s’attend à ce que la Suisse, en tant que lieu
ambitieux pour l’éducation, la technologie et l’économie, continue à participer
à l’échange sans entrave de données. En septembre 2017, le Conseil fédéral
a lancé le processus législatif parlementaire avec son message sur la révision
totale de la loi fédérale sur la protection des données. Depuis lors, la balle est
dans le camp du Parlement suisse. Il a maintenant le pouvoir d’élever le degré
de protection des données de notre population à un niveau comparable à celui
de nos voisins européens. Si ce travail est fait et si nos citoyens sont protégés
de manière adéquate, l’accès de l’économie au libre échange des données
sera également garanti. La réputation de la Suisse en tant que nation du
numérique compétitive sera également préservée.
Adrian Lobsiger
Préposé fédéral à la protection des données et à la transparence
26e Rapport d’activités 2018/19
Table des matières
Défis actuels........................................... 6
Protection des données
1.1 Digitalisation et droits fondamentaux.... 14 1.5 Santé...................................................... 39
–– Révision de la loi fédérale sur la protection des –– Projet statistique fondé sur des données
données (LPD) individuelles fournies par les assureurs (BAGSAN)
–– Guide sur la protection des données relatif –– Nouvelles tâches engendrées par le dossier
aux élections et votations électronique du patient
–– Utilisation systématique du numéro AVS par les autorités –– Examen détaillé du programme bonus Helsana+ :
–– Jalons d’une politique des données en Suisse succès partiel devant le Tribunal administratif fédéral
–– Mise en relation de données dans le domaine des –– Risques liés à l’augmentation fulgurante du volume
statistiques de données dans le domaine de la « santé personnalisée »
Accent I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.6 Secteur de travail.................................. 42
Preuve d’identité électronique (e-ID) –– Externalisation : le traitement de données
La « SwissID « personnelles à l’étranger
–– Procédures de candidature en ligne et entretiens
d’embauche : les points à respecter
1.2 Justice, Police, Sécurité....................... 22
–– Lutte contre le travail au noir dans le canton du Valais
–– Mesures policières contre le terrorisme
–– Bouclier de protection des données Suisse-États-Unis. 1.7 Assurances.............................................. 45
Des améliorations s’imposent
–– Nouvel article relatif à la surveillance
–– Communication de données relatives aux passagers dans les assurances sociales
dans les États membres de l’UE
–– SUVA : plus de transparence dans la recherche
–– Système de réservation de Swiss – Mesures contre fondée sur les données d’assurés
l’utilisation abusive des données
Accent II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.8 Transports.............................................. 47
–– Mobilité multimodale – la sauvegarde de
La loi sur la protection des données Schengen en vigeur
l’autodétermination informationnelle est indispensable
Évaluation Schengen de la Suisse
–– Conformité en matière de protection des données à
–– Recherche de véhicules et surveillance propos des nouvelles applications de transport public
de la circulation automatisées
1.9 International......................................... 49
1.3 Fiscalité et finances............................. 31 –– Groupes de coordination chargés de la surveillance
–– Communication de données personnelles à des des systèmes d’information SIS II, VIS et Eurodac
autorités fiscales étrangères –– Sous-groupe de travail « Border, Travel &
–– Recours encore en suspens contre le DFF Law Enforcement »
–– Le Préposé a adressé une recommandation à la –– Groupe de coordination des autorités suisses de
Centrale d’information de crédit (ZEK) protection des données dans le cadre de Schengen
–– Conférence internationale des commissaires
1.4 Commerce et économie............................... 35 à la protection des données
–– Cas de vol de données chez Swisscom clos –– Conférence européenne des commissaires
sans suite formelle à la protection des données
–– Vol de données chez EOS – stockage inutile de –– Groupe de travail de l’OCDE sur la sécurité de
données de patients l’information et la protection de la sphère privée
–– Utilisation des données de ricardo.ch au sein –– Association francophone des autorités de
du groupe Tamedia protection des données (AFAPDP)
–– Fin de la procédure d’établissement des faits visant
Accent III. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
un fabricant de téléviseurs intelligents
Le RGPD – également applicable en Suisse
–– Décathlon doit améliorer l’information lors de
dans certains cas
la collecte des données
Conseil de l’Europe – La Suisse devrait signer la
Convention adaptée dans les meilleurs délais
Préposé fédéral à la protection des données et à la transparence
Table des matières
Principe de la transparence Le PFPDT
2.1 En général.............................................. 60 3.1 Tâches et ressources............................... 70
–– Services et ressources dans le domaine de
2.2 Demandes d’accès – la protection des données
Croissance constante.............................. 61 –– Prestations et ressources dans le domaine de la loi
sur la transparence
2.3 Procédure de médiation – proportion
élevée des solutions amiables................. 64 3.2 Communication......................................... 74
–– Durée du traitement –– Accent sur la sensibilisation et grande visibilité
–– Proportion des solutions amiables médiatique
–– Nombre de cas pendants –– Les autorités de protection des données de la
Confédération et des cantons sont apparues
2.4 Consultations des offices et conjointement à la Journée européenne de la
autres prises de position....................... 66 protection des données
–– Révision totale de la loi fédérale sur les –– Publication de divers guides et recommandations
marchés publics –– Le site Internet reste le premier vecteur de notre
–– Consultation des offices relative à l’approbation communication
des structures tarifaires en matière d’assurance-
maladie 3.3 Statistiques........................................... 76
–– Statistiques des activités du PFPDT du 1er avril 2018 au
31 mars 2019 (Protection des données)
–– Statistique des demandes d’accés selon la loi sur la
transparence du 1 er janvier 2018 au 31 décembre 2018
–– Vue d’ensemble des demandes d’accès de tous les
départements et de la Chancellerie fédérale
–– Nombre de demandes en médiation
–– Traitment des demandes d’accès
3.4 Organisation du PFPDT............................. 83
Liste des abréviations........................... 84
Table des illustrations.......................... 85
Impressum
Dans le pli
Les faits et chiffres les plus importants
Préoccupations relatives à la protection des données
26e Rapport d’activités 2018/19
Défis actuels
Défis actuels
I Numérisation
Le traitement des données person- d’intensifier l’analyse du comporte- Société et politique
nelles continue d’être influencé par le ment des utilisateurs et de générer des données
développement dynamique des tech- des revenus astronomiques sur les
nologies de l’information et des télé- marchés publicitaires en ligne – mal- Au cours de l’année sous revue, les
communications dans l’économie gré les risques croissants pour la critiques publiques à l’égard des opéra-
mondiale connectée, qui a un impact protection des données associés à la teurs de plateformes sociales et de
majeur sur la vie quotidienne de la diffusion ciblée de messages com- moteurs de recherche, qui appliquent
population suisse au travail, dans la merciaux et idéologiques aux utilisa- le modèle économique de l’écrémage
consommation et durant les loisirs. teurs. Parallèlement, les revenus de données contre les services « gra-
publicitaires des journaux, de la tuits » à l’échelle mondiale, ont conti-
radio et de la télévision sont en nué à s’intensifier.
Technologie et économie baisse. Avec l’augmentation du volume de
• Après que les entreprises de télé- données clients collectées, la com-
Le potentiel technique et économique communications opérant en Suisse plexité et l’autonomie croissantes des
d’atteinte au droit à la vie privée et au ont annoncé qu’elles équiperaient technologies d’analyse, assurer une
droit à l’autodétermination de la popu- leur infrastructure réseau pour des protection adéquate des données
lation demeure élevé, ce que le préposé bandes passantes de cinquième devient de plus en plus difficile pour
attribue principalement à deux fac- génération (5G), la technologie 5G les opérateurs critiqués : première-
teurs : deviendra bientôt une réalité et aug- ment, ils doivent informer leurs
• L’Internet permet des modèles d’af- mentera ainsi une fois de plus consi- clients du traitement de leurs données
faires qui s’adressent à environ dérablement la capacité et la vitesse d’une manière compréhensible et
quatre milliards d’utilisateurs dans des flux de données mobiles. La complète. D’autre part, ils doivent
le monde aujourd’hui. Sur les mar- tendance déjà évoquée au cours de la laisser aux clients une marge de
chés dominés par les sociétés de période précédente, à savoir l’aug- manœuvre suffisante pour approuver
technologie américaines telles que mentation rapide du nombre de ou rejeter volontairement tous les
Google, Amazon et Facebook, une capteurs qui enregistrent des images aspects du traitement. Pour s’acquitter
sorte de modèle « gratuit » s’est et des voix humaines, données de de cette responsabilité, les fournis-
imposé pour la fourniture de ser- localisation, ou même des fonctions seurs doivent investir dans des appli-
vices de communication et d’infor- corporelles internes, dans l’espace cations respectueuses de la protection
mation sur Internet. Au lieu de fac- privé et public, alimentée par l’intel- des données qui permettent à leurs
turer leurs services en ligne, les four- ligence artificielle, va donc clients d’accéder aux informations et
nisseurs utilisent les données de s’accélérer. aux options de configuration dont ils
leurs clients. Les fournisseurs ont besoin en quelques clics seule-
traitent ensuite ces données à l’aide ment. La protection de la vie privée et
d’algorithmes et de méthodes d’ana- de l’autodétermination des consom-
lyse adaptées pour délivrer des mes- mateurs doit donc être intégrée dans
sages publicitaires ciblés aux clients. les produits numériques à un stade
Les espaces publicitaires sont vendus précoce et de manière aisée pour l’utili-
aux tiers les plus offrants. Quelques sateur. Les fournisseurs qui se
fournisseurs connaissent un certain contentent d’une règlementation
succès avec ce modèle d’affaires dits
de services « gratuits » que des mil- Les fournisseurs qui se contentent d’une régulation purement
liards de clients utilisent dans le
monde entier. Ils peuvent fournir à
formelle et d’une résolution machinale des problèmes
leurs algorithmes des flux de don- de protection jouent avec la confiance de leurs clients et
nées clients qui leur permettent attireront tôt ou tard l’attention de notre autorité.
6 Préposé fédéral à la protection des données et à la transparence
Défis actuels
purement formelle et du traitement à Reste à savoir si les puissantes plate- Législation
la légère des préoccupations de protec- formes s’en tiendront au système des
tion, jouent avec la confiance de leurs « services gratuits » face à la pression En Suisse, il faut encore patienter avant
clients et attireront tôt ou tard l’atten- réglementaire et aux critiques du que la Commission des institutions
tion de nos autorités. public. Une alternative viable du point politiques du Conseil national n’ait
Dans les États membres de l’EEE, de vue de la protection des données achevé en première lecture ses délibé-
les autorités chargées de la protection réside dans des modèles économiques rations sur la révision totale de la loi
des données ont commencé, au cours qui excluent les clients qui paient de sur la protection des données (LPD)
de l’année sous revue, à infliger des l’évaluation des données pour l’éta- présentée par le Conseil fédéral en
amendes élevées aux entreprises qui blissement du profil et de l’offre per- septembre 2017. Après la scission du
négligent d’assurer la transparence et sonnalisée des messages publicitaires. projet de loi sur la révision totale en
l’autodétermination, comme le prévoit Ces systèmes de paiement peuvent deux parties par décision du 12 janvier
le règlement européen sur la protec- être exploités à la fois de manière 2018 et la première étape de la réalisa-
tion des données (RGPD), qui est décentralisée et contrôlée au moyen de tion des modifications exigées par
entré en vigueur en mai 2017. Selon monnaies cryptées ou via le système l’acquis de Schengen, l’Assemblée
les premières informations du préposé, bancaire et sont déjà très répandus en fédérale a adopté une nouvelle loi fédé-
les entreprises suisses qui traitent des Chine, par exemple, où les opérateurs rale sur l’application de la Directive
données sur les résidents de l’Espace de plateformes facturent des commis- (UE) 2016/680, LPD Schengen
économique européen sont désormais sions sur les transactions contrac- (LPDS). Cette loi spéciale, dont le
également concernées par les procé- tuelles en ligne. champ d’application se limite au trai-
dures de ces autorités. En outre, les tement des données par les autorités
autorités de la concurrence s’inté- fédérales de poursuite pénale et de
ressent de plus en plus au traitement police, est entrée en vigueur le 1er mars
des données. Au cours de la période 2019. Elle devra être ensuite abrogée
sous revue, le Bundeskartellamt alle- par la LPD une fois totalement révisée.
mand a demandé à Facebook, en raison Après que notre autorité s’est vue
de sa position dominante, de dissocier confier par cette loi des tâches et des
le consentement à ses conditions d’uti- compétences supplémentaires en ce
lisation des autres services du groupe. qui concerne le traitement des don-
nées personnelles particulièrement
sensibles dans le domaine de la police,
elle devra se concentrer en priorité sur
le contrôle des traitements des don-
nées effectués par l’Office fédéral de la
police (fedpol). Au moment de mettre
sous presse le présent rapport d’activi-
tés, il n’était pas encore clair si le
Conseil fédéral va nous allouer les
ressources supplémentaires
demandées.
26e Rapport d’activités 2018/19 7
Défis actuels
Le préposé s’est toujours prononcé en Et, pendant ce temps, leurs concur-
faveur d’un renforcement rapide du rents de petite, moyenne et grande
niveau de protection des données au taille dans les pays de l’UE et de l’EEE
bénéfice de la population suisse et, par seront en mesure d’exploiter leur
conséquent, de la conclusion au plus avantage concurrentiel.
vite des délibérations parlementaires
relatives à la LPD au sein de la Com-
mission des institutions politiques du
Conseil national, à l’invitation de
laquelle il prend part. Toutefois, il est
difficile de prévoir quand ce sera le cas.
Même si certains milieux écono-
miques estiment que la LPD de 1992
et les faibles pouvoirs de notre autorité
sont suffisants, le préposé a pu consta-
ter dans ses contacts avec les petites et
grandes entreprises transfrontalières
suisses que ces dernières se montrent
tout à fait disposées à investir dans une
protection des données crédible dans
leur entreprise. Ces entreprises, direc-
tement concernées par la révision
totale, souhaitent également offrir à
leur clientèle suisse une protection
conforme aux nouvelles normes euro-
péennes. Elles savent également que
les projets de traitement des données
dans la réalité numérique ne peuvent
être réalisés qu’à l’aide d’instruments
modernes telle l’analyse d’impact rela-
tive à la protection des données per-
sonnelles et d’en informer la clientèle.
Plus la Suisse tarde à consacrer explici-
tement ces instruments dans sa législa-
tion sur la protection des données,
plus les grandes entreprises – indépen-
damment de leurs investissements
réels dans la protection des données
– seront confrontées à des questions
critiques concernant le niveau régle-
mentaire de protection des données à
leur siège.
8 Préposé fédéral à la protection des données et à la transparenceDéfis actuels
II Activité de conseil et de surveillance
En tant qu’autorité de surveillance, le Alors que les dépenses pour les tâches En décembre 2018, le préposé a publié,
préposé doit veiller à ce que les traite- de surveillance avaient fortement en collaboration avec les autorités
ments de données à caractère person- diminué au cours de l’année précé- cantonales de protection des données,
nel soient, indépendamment des pos- dente, elles ont à nouveau atteint le un guide sur la protection des données
sibilités techniques, effectués de niveau de l’année 2016/17. Toutefois, dans le contexte des élections et des
manière conforme à la loi. Il exige donc les dépenses sont encore inférieures à votations (www.edoeb.admin.ch/
des responsables d’applications numé- la moyenne des périodes précédentes. elections). Le guide sensibilise les par-
riques qu’ils anticipent et réduisent Compte tenu du manque persistant de ties prenantes au fait que les données
autant que possible les risques en ressources de notre autorité, cette relatives aux opinions politiques ou
matière de protection des données augmentation n’a pu être réalisée idéologiques sont soumises à un
déjà lors de la phase de conception et qu’en réduisant d’autres prestations. niveau de protection plus élevé que
qu’ils les documentent à l’intention du Au cours de l’année sous revue, le pré- des données traitées par exemple dans
conseiller à la protection des données posé n’a pas non plus, dans la mesure un contexte commercial. Compte tenu
de leur entreprise et des autorités de souhaitée, pu répondre aux attentes de leur rôle central dans la tenue des
protection des données. Dans ce légitimes du public et mener des élections fédérales en automne 2019,
contexte, nous avons, au cours de l’an- contrôles relatifs au traitement des les partis politiques sont appelés à
née sous revue, poursuivi l’accompa- données personnelles effectué par les montrer l’exemple en matière de pro-
gnement de nombreux projets impli- applications grand public et les réseaux tection des données. Les électeurs ont
quant des mégadonnées, tant auprès sociaux (cf. chiffre 3.1, « Tâches et res- le droit de pouvoir comprendre sur la
d’autorités fédérales que d’entreprises sources »). base de quelles données et quelles
privées. méthodes ou technologies de traite-
Dans la perspective de projets à ment les parties ou leurs partenaires
grande échelle comportant des risques s’adressent à eux.
élevés en matière de protection des
données et afin notamment de réduire
sa propre charge de travail, le préposé
continue à encourager l’utilisation
responsable d’outils de travail
modernes tels que l’analyse d’impact
en matière de protection des données
et, si nécessaire, la création d’organes
de protection des données au sein des
entreprises. Néanmoins, la part de nos
dépenses totales consacrée à l’accom-
pagnement de projets du secteur privé
a continué d’augmenter au cours de
l’année sous revue.
Plus la Suisse tarde à intégrer explicitement dans sa
législation les outils de travail d’une protection de données
moderne, plus les entreprises, indépendamment de leur
investissement effectif dans la protection des données,
se voient confrontées à des questions critiques quant au
niveau de protection réglementaire à leur siège.
26e Rapport d’activités 2018/19 9Défis actuels
III Coopération nationale et internationale
Le préposé a encore intensifié sa colla- La longue période de transition jusqu’à Evaluation du niveau de
boration avec les autorités cantonales l’entrée en vigueur de la révision totale protection des données
et communales de protection des don- de la LPD (cf. chiffres 1.1 et 3.1) reste
nées, lesquelles sont confrontées aux un défi pour le préposé. Alors que les La Commission européenne évalue le
mêmes développements et technolo- autorités de protection des données niveau de protection des données dans
gies dans leurs domaines respectifs. des États de l’EEE, qui ont été renfor- les pays tiers et a attesté pour la der-
Comme par exemple : l’évaluation cées en termes de personnel, font nière fois en 2000 que la Suisse dis-
Schengen (cf. chiffre 1.2), le guide aux désormais usage de leurs nouveaux pose d’un niveau de protection des
élections (chiffre 1.1) et la réalisation pouvoirs de décision et de sanction données adéquat. Les entreprises de
commune de la journée internationale (voir ci-dessus), le préposé ne dispose l’UE peuvent donc échanger des don-
de la protection des données (chiffre pour le moment, à l’égard des entre- nées personnelles avec des entreprises
3.2). prises et des organes fédéraux, que de en Suisse sans autre mesure. La Com-
la possibilité d’émettre des recomman- mission procède actuellement à une
dations, comme le prévoit la LPD de réévaluation de l’adéquation du niveau
Nouvelle réglementation 1992. Ses ressources sont pour l’essen- suisse de protection des données sur la
européenne sur la protection tiel également restées inchangées base des critères énumérés dans le
des données depuis 2005 (cf. chiffre 3.1). A ceci RGPD. Elle a annoncé qu’elle publiera
s’ajoute encore le fait que la Commis- la décision d’adéquation sous la forme
Le RGPD est entré en vigueur le sion européenne a entamé l’évaluation d’un rapport en mai 2020. La partici-
25 mai 2018 et s’applique également, de l’adéquation du niveau de protec- pation de la Suisse à l’évaluation est
sous certaines conditions, aux traite- tion des données en Suisse. coordonnée par l’Office fédéral de la
ments de données effectués par des Avec l’entrée en vigueur du RGPD, justice et dispose du soutien du PFPDT
entreprises suisses. À l’automne 2017, le Comité européen de la protection qui lui fournit les informations néces-
le préposé a publié une fiche d’infor- des données (CEPD) a remplacé le saires (cf. chiffre 1.9).
mation qui traite notamment de l’ap- Groupe de travail « article 29 » sur la
plication extraterritoriale de la nou- protection des données. La tâche
velle réglementation européenne ; la essentielle du CEPD est d’assurer l’ap-
fiche est régulièrement mise à jour plication uniforme du RGPD. Le sou-
(www.edoeb.admin.ch/rgpd). Nous hait du préposé d’être généralement
continuerons à tout mettre en œuvre admis comme observateur aux réu-
pour soutenir les entreprises suisses nions du Comité a été rejeté. Notre
concernées dans l’application du participation sera limitée aux séances
RGPD tant par nos conseils que par plénières uniquement pour les points
nos actions et, dans le cadre de nos pertinents relatifs à l’acquis de
relations internationales, pour déve- Schengen.
lopper une présence visible à l’étranger.
10 Préposé fédéral à la protection des données et à la transparenceDéfis actuels
Dans ce contexte, la Suisse aurait plus Bouclier de protection
intérêt à ce que la présente évaluation des données (Privacy Shield)
s’effectue sur la base de la LPD totale- Suisse-États-Unis
ment révisée, qui doit encore être trai-
tée par la Commission du Conseil À l’automne 2018, dans le cadre d’une
national (cf. chiffre I ci-dessus) plutôt délégation conduite par le Seco, nous
que sur celle de la LPD actuelle datant avons effectué l’examen du Bouclier de
de 1992. Il serait également préférable protection des données Suisse-États-
que le Conseil fédéral profite du fait Unis, qui a suivi le deuxième contrôle
que la Convention modernisée pour la du Bouclier de protection UE-États-
protection des personnes à l’égard du Unis à Bruxelles. Malgré les faiblesses
traitement automatisé des données à mises en évidence lors de l’examen, le
caractère personnel (Convention 108) fonctionnement du bouclier de protec-
du Conseil de l’Europe est ouverte à la tion s’est globalement amélioré depuis
signature depuis octobre 2018, la son entrée en vigueur (cf. chiffre 1.2).
Commission européenne ayant souli-
gné à plusieurs reprises que la ratifica-
tion de cette Convention modernisée
constitue un critère décisif pour la
décision d’adéquation (cf. chiffre 1.9).
Les citoyens ont le droit de comprendre sur la base de quelles
composantes de données ainsi que de quelle méthode de
t raitement numérique et technologies ils sont abordés par les
parties politiques ou des tiers qui leur sont proches.
26e Rapport d’activités 2018/19 11Défis actuels
IV Mesures visant à accroître l’efficacité
Compte tenu des défis mentionnés Le préposé s’acquitte de ses tâches Procédures dans le
ci-dessus, le préposé réaffirme l’objec- légales de manière autonome. Toute- domaine du principe de la
tif stratégique de remplir ses tâches fois, il bénéficie du soutien logistique transparence (LTrans)
légales dans la réalité numérique d’une et administratif de la Chancellerie
manière compétente, indépendante et fédérale, conformément aux normes Après un essai pilote d’un an, le pré-
proactive. générales de l’administration fédérale. posé est passé à une procédure accélé-
Dans cette optique, le préposé a égale- rée et sommaire, caractérisée par le fait
ment bénéficié du soutien de la Chan- qu’il mène des audiences de médiation
Organisation et contrôle cellerie pour l’introduction du nou- orales. Cette procédure continue de
des affaires de l’autorité veau système de gestion d’entreprise faire ses preuves, car la proportion de
Acta Nova en septembre 2018. solutions amiables reste élevée et le
La réorganisation de l’autorité, entrée dépassement des délais légaux est
en vigueur le 1er avril 2017, a fait ses essentiellement limité aux affaires
preuves. Le programme de consolida- Offre d’information complexes tant sur le plan de la procé-
tion EFFET, qui fait suite à la réorgani- dure que du contenu. Cela a été le cas,
sation et à l’enquête menée auprès du L’information concernant l’activité du par exemple, dans des procédures por-
personnel et qui a été lancé au cours de préposé pour la période sous revue a tant sur des questions juridiques, tech-
l’année sous revue, vise à présent à été améliorée de manière ponctuelle. niques ou politiques particulièrement
optimiser la coopération interne et à Cela vaut en particulier pour ce 26e difficiles, en raison du volume impor-
renforcer ainsi l’efficacité de notre rapport d’activité. Le développement tant de documents requis ou si des
autorité. des contenus et des canaux d’infor tiers doivent être impliqués dans la
Au cours de l’année sous revue, de mation est en revanche une tâche procédure.
nombreux changements de personnel constante et doit être réalisée par
ont également eu lieu au niveau de la notre autorité avec peu de moyens
direction : Après 38 ans en tant qu’ex- (cf. chiffre 3.2).
pert en protection des données auprès
de la Confédération, dont 25 en tant
que préposé suppléant, Jean-Philippe
Walter a quitté notre autorité à fin
janvier 2019 pour son départ à la
retraite ; Marc Buntschu, également
francophone, lui a succédé et a repris le
poste de préposé suppléant et de chef
du Domaine de direction des relations
internationales et nationales. Jusqu’au
1er février 2019, Marc Buntschu était à
la tête du domaine de direction de la
protection des données ; celui-ci est
dirigé à partir de cette date par Daniel
Dzamko, qui était précédemment
auprès de la direction de l’administra-
tion fiscale du canton de Berne. Au
printemps 2018, Hugo Wyler s’est vu
confier la gestion du nouveau service
de médias directement subordonné au
préposé.
12 Préposé fédéral à la protection des données et à la transparenceProtection des données
Protection des données
1.1 Digitalisation et droits fondamentaux
Révision de la loi Guide sur la protection tats ont été consignés dans un guide
fédérale sur la protection des données relatif aux destiné à offrir des éléments d’inter-
des données (LPD) élections et votations prétation aux différents acteurs du
processus de prise de position poli-
Il est encore impossible de dire quand Au cours de l’année sous revue, le tique, afin d’appliquer, dans l’environ-
les délibérations des Chambres fédé- préposé a élaboré, en collaboration nement dynamique de la numérisation,
rales concernant la révision totale de avec les autorités cantonales de pro- la LPD datant de 1992 au traitement
la LPD de 1992 seront achevées. tection des données et des experts, des données liées aux élections et aux
Le 15 septembre 2017, le Conseil un guide concernant le traitement des votations.
fédéral a transmis son message concer- données personnelles dans le cadre
nant la révision totale de la LPD des élections et des votations.
(17.059) aux Chambres fédérales. En collaboration avec la Conférence
Dans le cadre de son examen, la Com- des préposés cantonaux à la protection
mission des institutions politique du des données (Privatim) et en étroite
Conseil national (CIP-N, premier concertation avec la Chancellerie fédé-
conseil) a décidé de ne traiter, dans un rale, le préposé a créé un groupe de
premier temps, que les modifications travail dans le but de sensibiliser la
nécessaires à la reprise de l’acquis de population aux risques systémiques
Schengen. Ces dispositions, limitées liés au traitement de données person-
aux autorités de poursuite pénale de la nelles dans le contexte des élections et
Confédération, ont été adoptées par le des votations. Ce groupe de travail,
Parlement dans l’intervalle et entre- rassemblant un politologue et des
ront en vigueur le 1er mars 2019 (cf. loi spécialistes de la protection des don-
sur la protection des données Schen- nées, a auditionné divers experts au
gen (LPDS, ch. 1.2). cours de l’année sous revue. Les résul-
La CIP-N n’a pas encore achevé
l’examen des dispositions de la LPD
applicables aux autres autorités et Collecte illicite de données avant une votation
entreprises de la Confédération ainsi Une agence mandatée a collecté des données personnelles de manière illicite au
qu’au secteur privé. Au moment de la moyen d’un site Internet avant la votation sur l’initiative pour l’autodétermina-
tion, le 25 novembre 2018. Elle a modifié sa pratique après notre intervention.
mise sous presse du présent rapport, il
Tout un chacun pouvait enregistrer jusqu’à 10 numéros de portable, avec les nom
n’était pas encore possible de dire
et prénom de membres de sa famille ou d’amis, sur le site 25novembre.ch. Le week-
quand le plénum du premier conseil
end de la votation sur l’initiative pour l’autodétermination, ces personnes ont reçu
examinera le projet (cf. chiffres I
un sms apparemment envoyé par la personne qui avait enregistré les numéros de
et 1.9).
portable sur le site et qui les avait donc transmises à un tiers. Le PFPDT a écrit à
l’administrateur du site, enjoignant à l’agence de garantir que tous ceux dont le
numéro de portable avait été enregistré soient informés du traitement des données,
du but et du responsable de ce traitement et de s’assurer que seules soient traitées
des données personnelles pour lesquelles un consentement valable
au traitement, à la communication et à tout traitement ultérieur avait
été donné. L’administrateur devait en outre garantir que les données
personnelles ne soient utilisées que pour le rappel par SMS et qu’elles
soient ensuite effacées et non pas conservées pour de futures cam-
pagnes. En outre, le site ne disposait pas d’une déclaration de confi-
dentialité complète et bien visible. L’administrateur y a néanmoins
rapidement pourvu.
14 Préposé fédéral à la protection des données et à la transparenceProtection des données
Ce guide invite les acteurs à garantir
aux électeurs un degré élevé de trans-
parence et d’indépen-
dance et à utiliser à cet
effet des applications
respectueuses de la sphère
privée. Toute personne
traitant des données dans un contexte
d’élections et de votations doit savoir
qu’en vertu de la loi sur la protection
des données, les informations sur les
opinions politiques et philosophiques
bénéficient d’un niveau de protection
plus élevé qu’un traitement de don-
nées dans le domaine professionnel ou
commercial. Ce guide s’adresse à tous
les acteurs de la formation de l’opinion
politique, tels que les partis politiques
et les groupes d’intérêt, les commer-
çants de données et les plateformes de
données, et vise à les inciter à rendre
les méthodes de traitement numé-
riques claires et compréhensibles pour
les électeurs.
26e Rapport d’activités 2018/19 15Protection des données
Utilisation systématique du risques à effectuer. Enfin, nous avons Jalons d’une politique des
numéro AVS par les autorités insisté sur la nécessité de renforcer les données en Suisse
mesures techniques et organisation-
Le Conseil fédéral souhaite faciliter nelles. Le préposé s’est exprimé sur les jalons
une utilisation plus large du numéro Comme l’Office fédéral des assu- d’une politique des données en Suisse
AVS et a ouvert le 7 novembre 2018 une rances sociales (OFAS) l’a indiqué au lors de la consultation des offices. Il
consultation sur la modification de la PFPDT, le « concept de sécurité pour continue de s’occuper des différents
loi sur l’AVS. Le processus de consulta- les identifiants des personnes » exigé volets de la politique en matière de
tion a duré jusqu’au 22 février 2019. par la Commission des affaires juri- données.
Nous avons saisi l’occasion de faire diques du Conseil national avec le Dans le cadre de la consultation des
part de nos remarques préalablement postulat 17.3968 sera intégré d’ici fin offices, le préposé a souligné d’une
qui ont été reprises dans le projet de 2019 au Message dans le cadre des manière générale que les dispositions
loi. travaux législatifs sur l’AVS. Ce relatives à la protection des données
Le projet mis en consultation par le concept de sécurité vise à montrer devraient non seulement être respec-
Conseil fédéral prévoit d’autoriser les comment les risques d’une utilisation tées lorsqu’il s’agit de données
administrations fédérales, cantonales systématique du numéro AVS comme publiques en libre accès (open govern-
et communales à utiliser systémati- identifiant personnel unique peuvent ment data), mais aussi dans d’autres
quement le numéro AVS comme iden- être contrés et comment la protection domaines, comme la gestion des don-
tifiant unique en dehors du domaine des données peut être renforcée. nées de base de la Confédération, les
des assurances sociales. Nous restons clairement favorables à données des entreprises et des insti-
Nous saluons le fait que, suite à nos l’utilisation d’identifiants personnels tuts de recherche liés à la Confédéra-
remarques, le projet de loi du Conseil sectoriels. Les risques liés à l’utilisa- tion, l’innovation des données dans le
fédéral prévoit expressément l’obliga- tion d’identifiants uniques peuvent domaine statistique ainsi que l’innova-
tion pour les entités disposant de ainsi être considérablement réduits, en tion issue des données dans le
banques de données dans lesquelles le particulier l’interconnexion illicite de domaine de la mobilité et de la santé.
numéro AVS est utilisé de manière banques de données resp. systèmes En outre, dans le cas de données ano-
systématique de procéder d’information distincts. En ce sens, on nymisées, le préposé estime qu’il y a
périodiquement à des peut également déduire du projet mis toujours le risque qu’en fonction de la
analyses de risques, en en consultation qu’il devrait être pos- quantité de données disponibles, des
tenant compte notam- sible de continuer à prescrire des iden- conclusions puissent être tirées sur les
ment du danger d’appa- tificateurs personnels sectoriels au lieu personnes concernées, raison pour
riements non autorisés de données. du numéro AVS dans des dispositions laquelle la protection des données
Sur la base de cette analyse des risques, légales spéciales à certaines fins – devrait également être prise en
il convient de définir et de mettre en comme par exemple pour le dossier compte. Il a également précisé que,
œuvre des mesures de sécurité et de électronique du patient. depuis la consultation des offices rela-
protection des données tive à la LPD, il s’engage en faveur de
qui soient adaptées à la l’introduction d’un droit à la portabi-
situation de risque et lité des données. Les commentaires du
correspondent à l’état de préposé ont été pris en compte.
la technique. Nous
saluons également l’obligation pour
les entités désignées par le projet de loi
utilisant systématiquement le numéro
AVS de tenir un registre des banques
de données pertinentes servant en
particulier de base aux analyses de
16 Préposé fédéral à la protection des données et à la transparenceProtection des données
Divers projets sur la numérisation et la Mise en relation de Les appariements comportent le
politique des données sont actuelle- données dans le domaine risque, pour la protection des données,
ment en cours au niveau fédéral, coor- des statistiques de déductions non désirées concernant
donnés par l’OFCOM. Le préposé par- des personnes identifiables, c’est-à-
ticipe activement à certains de ces L’appariement de bases de données dire un risque de réidentification. Les
projets, comme celui sur l’utilisation statistiques est un moyen permettant numéros d’identification et les identi-
des données ou le sous-groupe de de produire des nouvelles informations. ficateurs doivent donc être gérés en
travail sur la disponibilité des données. Or les regroupements de données interne de telle sorte que de telles
peuvent augmenter considérablement déductions soient exclues et qu’au-
Organe consultatif le risque de réidentification. Afin de cune utilisation abusive ne puisse avoir
« Transformation numérique » contrer ce risque, l’OFS a édicté un lieu. L’OFS a informé le préposé des
En mars 2019, le PFPDT a participé à règlement de traitement (directives sur projets d’appariements prévus et en
la sixième réunion du comité consulta- l’appariement). cours ainsi que des mesures visant à
tif « Transformation numérique » des L’Office fédéral de la statistique (OFS) protéger les droits de la personnalité.
départements DEFR et DETEC. L’ob- dispose des bases légales nécessaires à Cet échange a montré qu’il s’agit d’une
jectif est de présenter des projets la mise en œuvre desdits appariements. question très complexe que le préposé
concrets de transformation et leurs Les mises en relation de données pro- continuera à suivre. Nous approuvons
avantages pour l’économie et la popu- venant de divers relevés constituent un le fait que l’OFS ait établi et publié un
lation. Le projet « Swiss Data Custo- moyen permettant, dans le domaine règlement régissant spécifiquement les
dian » est un système fiduciaire de des statistiques, de produire de nou- appariements de données.
données pour les informations qui ne velles informations à partir de stocks
sont pas accessibles au public. L’exploi- de données, d’observer les évolutions
tant du « Custodian » doit recevoir des sur plusieurs années ou d’établir des
données personnelles et d’autres don- prévisions. Pour ce faire, un numéro
nées brutes de diverses entreprises d’identification est attribué à chaque
– éventuellement aussi des autorités ensemble de données dans les diffé-
publiques –, les soumettre à une ana- rentes bases de données et un identifi-
lyse par intelligence artificielle et enfin cateur d’appariement est ensuite
mettre à disposition les résultats ano- généré.
nymisés pour une exploitation amélio-
rée. Une application dans les domaines
de la mobilité, de la médecine et des
affaires humanitaires est actuellement
en discussion. Tant lors des réunions
préparatoires que lors de la réunion du
conseil consultatif, le PFPDT a saisi
l’occasion de présenter les condi-
tions-cadres et les exigences à prendre
en compte en matière de protection
des données. Le PFPDT continuera
d’accompagner le projet.
26e Rapport d’activités 2018/19 17Vous pouvez aussi lire
