datum 01/2010

Sommaire

Thèmes

Quand des enquêtes statistiques par téléphone font des vagues

Depuis octobre 2009, les citoyens qui sont interrogés dans le cadre de l'enquête suisse sur la population active (ESPA) ont l'obligation de répondre aux questions qui leur sont posées. L'ESPA sert à collecter des informations concernant les conditions de travail, l'impact de la libre circulation des personnes et le pourcentage de travailleurs pauvres en Suisse. La nouvelle méthode d'enquêtes a fait des vagues dans les médias, raison pour laquelle de nombreuses personnes se sont adressées à nous.

L'instauration de l'obligation générale de fournir des renseignements a plongé de nombreuses personnes dans une profonde inquiétude, tout comme le fait que l'Office fédéral de la statistique (OFS) a mandaté un institut privé pour mener l'enquête téléphonique. Et les médias ont encore ajouté à l'inquiétude ambiante en annonçant que les personnes qui refuseraient de répondre aux questions se verraient infliger de fortes amendes.

De nombreuses personnes voient dans les enquêtes de ce type une atteinte disproportionnée à leur sphère privée de la part de l'Etat, car elles doivent répondre aux questions à leur domicile même, sans avoir le temps de la réflexion. D'une manière générale, une partie de la population se dit importunée par les enquêtes téléphoniques des instituts de sondage. De surcroît, il y a des entreprises douteuses qui réalisent des enquêtes avant tout pour collecter des données personnelles. C'est la raison pour laquelle les spécialistes de la protection des données déconseillent de communiquer des données personnelles par téléphone de façon hâtive, sans procéder à une vérification approfondie.

Si un institut vous appelle pour réaliser une enquête statistique pour le compte d'un service de l'Etat, nous vous conseillons d'agir de la sorte:

  • Même si l'enquête a été annoncée par écrit, demandez toujours à votre interlocuteur si vous avez l'obligation de répondre aux questions posées étant donné qu'il arrive que les lettres d'information contiennent malheureusement des formulations équivoques. L'ESPA est pour l'instant la seule et unique enquête téléphonique réalisée au niveau fédéral à laquelle les personnes vivant dans des ménages privés ont l'obligation légale de participer.

  • Si votre interlocuteur affirme qu'il s'agit d'une enquête statistique cantonale à laquelle vous avez l'obligation de participer, il doit vous indiquer la base légale sur laquelle se fonde l'enquête en question. En cas de doute, veuillez vous adresser au service statistique concerné ou au service cantonal de la protection des données compétent.

  • Si vous avez des doutes, assurez-vous que l'institut qui vous appelle existe bel et bien et qu'il a été chargé de réaliser l'enquête. Un institut sérieux est à même de vous donner toutes les informations nécessaires sur l'objet et le but de l'enquête ainsi que sur les mesures qui ont été prises pour garantir la protection des données.

  • Si vous participez de votre plein gré à une enquête, vous avez le droit, à tout moment, de refuser de répondre à une question ou d'interrompre l'interview et d'exiger l'effacement des données que vous avez communiquées.

Sources:

Lu dans la presse

L'infonuagique: à quel point les données stockées dans le «nuage» sont-elles en sécurité?

L'infonuagique (cloud computing) jouit d'une grande popularité depuis quelques années, sans parler du fait que, outre les particuliers, les entreprises sont de plus en plus nombreuses à traiter leurs données dans le «nuage». Les utilisateurs en attendent un gain de mobilité et davantage d'économies en termes d'infrastructures TI. Cette situation soulève toutefois un grand point d'interrogation en ce qui concerne la protection des données.

Même si les experts peinent à se mettre d'accord sur une définition commune de l'infonuagique, on peut dire qu'il s'agit d'un système dans lequel ce sont des fournisseurs externes qui mettent à disposition l'espace de stockage des données et les logiciels d'exploitation, et non plus l'ordinateur de l'utilisateur. Les données et les applications nécessaires à leur traitement se trouvent dans ce que l'on appelle communément le «nuage», c'est-à-dire sur les serveurs du fournisseur (p. ex. Amazon EC2, Google App Engine ou Windows Azure), et l'utilisateur y accède en passant par Internet. Ces solutions informatiques mobiles sont surtout prisées par les hommes d'affaires et les voyageurs, mais aussi par les entreprises qui ont renoncé à exploiter elles-mêmes des serveurs coûteux et à assurer leur sécurité. Un ordinateur disposant d'un équipement basique et d'une connexion à Internet suffit à une personne, où qu'elle se trouve, pour travailler sur ses fichiers informatiques.

Mais ce gain de mobilité a un revers: la sécurité des données ainsi délocalisées. Comme le montrent les tests réalisés par l'entreprise américaine Trend Micro, spécialisée dans les TI, la prudence est de mise: sur les huit fournisseurs testés, deux ont été victimes d'attaques par des pirates informatiques, et deux autres ont suspendu subitement leurs activités et ont retiré du réseau les données de l'auteur du test.

Quiconque aimerait stocker ses données sur un serveur à distance devrait se demander sur les conséquences si les données venaient à disparaître ou tombaient entre les mains de tierces personnes. Pour les entreprises qui stockent dans le «nuage» des secrets d'affaires ou des données personnelles sensibles, les risques peuvent être considérables. Des fuites de données peuvent se produire de différentes manières: malgré des mesures de sécurité sophistiquées, des pirates informatiques et des services secrets ont déjà réussi à accéder aux serveurs de fournisseurs de renom comme Google.

Mais le risque peut aussi venir de l'utilisateur lui-même: en se connectant à Internet à un point d'accès sur le domaine public (hotspot), il peut être victime d'un hameçonnage, qui est une technique consistant à faire croire à la victime qu'elle s'adresse à un tiers de confiance afin de lui soutirer des renseignements personnels. Il est aussi à noter que de nombreux fournisseurs ont leur siège aux Etats-Unis ou dans des pays qui n'ont pas un niveau de protection des données aussi élevé que la Suisse. Pour des raisons relevant de la protection des données, nous vous conseillons donc de recourir aussi peu que possible à l'infonuagique pour traiter des données personnelles.

Vous trouverez des informations et des conseils détaillés dans nos explications consacrées au traitement mobile des données.

Sources:

En bref 

Plus de sphère privée dans la Toile

Depuis l'avènement d'Internet, le monde est devenu un grand village, dans lequel tout le monde peut théoriquement entrer en contact avec tout le monde, mais aussi dans lequel l'utilisateur peut laisser d'innombrables traces derrière lui, qui sont anodines si elles sont prises séparément, mais qui en disent long sur le comportement, les opinions et les relations sociales de la personne considérée si elles sont regroupées. Il suffit d'interroger brièvement un moteur de recherche pour rassembler des informations sur les amis de cette personne, sur sa profession et sur ses passe-temps.

Les informations de ce type sont prisées non seulement par les entreprises qui veulent faire de la publicité pour leur produit de façon aussi ciblée que possible, mais aussi par les sociétés de renseignements, les employeurs et les personnes ayant des visées criminelles. Ce qui est délicat, ce n'est pas les informations prises isolément, qui sont inoffensives la plupart du temps, mais bien le fait de les regrouper pour en faire un profil révélateur et de donner à des millions d'internautes la possibilité de consulter les données, de les traiter, de les copier et de les stocker.

Pour limiter l'accessibilité des données qui vous concernent, nous vous donnons les conseils suivants:

  • utilisez des pseudonymes: plus votre nom apparaît sur la Toile, plus il est facile d'en déduire vos goûts, vos opinions, vos loisirs, vos habitudes de consommation ainsi que votre situation sociale, familiale, financière et professionnelle. Chaque fois que vous participez à des forums ou à des réseaux sociaux ou que vous vous enregistrez pour bénéficier de prestations en ligne, employez si possible des pseudonymes à la place de votre véritable nom.

  • ne communiquez que les données nécessaires: c'est surtout dans des réseaux sociaux comme Facebook et myspace que la tentation est grande de partager autant d'informations que possible avec ses «amis». Or, comme il n'y a pas que les amis qui peuvent consulter ces données, il convient de faire preuve de retenue lors de la publication de photos, d'adresses, d'opinions et d'affiliations à des groupes thématiques. Les membres de réseaux sociaux peuvent limiter le cercle des personnes habilitées à consulter les données les concernant au moyen des réglages concernant la confidentialité de leur sphère privée. Faites usage de cette possibilité et lisez toujours les dispositions régissant la protection des données. C'est un investissement qui en vaut la peine.

  • utilisez plusieurs adresses électroniques: il faudrait réserver l'utilisation des adresses électroniques qui comportent votre véritable nom aux envois concernant la sphère professionnelle, à la correspondance avec les autorités et aux échanges avec les personnes qui vous sont proches. Faites en sorte que l'adresse électronique que vous communiquez dans des blogs, sur des forums ou sur des réseaux sociaux ne permette pas d'en déduire votre identité. Nombreux sont les opérateurs de messagerie qui renoncent à enregistrer les utilisateurs qui font appel à leurs services. Les adresses correspondant à ces messageries se prêtent tout particulièrement à une utilisation dans les applications où vous voulez préserver votre anonymat.

Vous trouverez sur notre site web d'autres conseils concernant la protection des données sur Internet.

Sources:

  • Personenschutz im Web (La protection de la personnalité sur le web). PC-Tipp, 14.04.2010
  • Une étude met en lumière la confusion des utilisateurs de Facebook: http://fr.readwriteweb.com/ (Etat le 10.05.2010)
Conseils

L'utilisation de caméras web dans les espaces publics

Gérez-vous un hôtel dans une région touristique et souhaitez-vous donner en temps réel un aperçu alléchant de votre établissement et de ses environs à des clients potentiels? Si tel est le cas, vous avez peut-être déjà songé à installer une caméra web. Mais n'oubliez pas d'intégrer la protection des données dans vos réflexions.

Si vous voulez utiliser une caméra web qui va balayer - ne serait-ce que partiellement - un espace public, en particulier des chemins et des places sur lesquels circulent des passants, il n'est pas envisageable d'obtenir le consentement des personnes concernées, comme le prévoit la loi fédérale sur la protection des données. Même si vous obteniez leur consentement, ce dernier ne serait pas considéré comme étant le fruit d'une volonté librement exprimée et ne serait dès lors pas valable, car les personnes concernées seraient notamment des personnes se rendant à leur travail. Dans ces conditions, on ne pourrait pas raisonnablement attendre d'elles qu'elles fassent un détour pour ne pas être filmées par la caméra web.

Dès que des espaces publics sont concernés, il y a aussi les dispositions cantonales de protection des données qui s'appliquent. Dans certains cantons, les particuliers ont l'interdiction de placer des espaces publics sous vidéosurveillance. Il faut donc demander au service cantonal de la protection des données quelles sont les dispositions légales applicables avant de mettre en service une caméra.

La situation est encore plus délicate si des maisons, des balcons et des jardins privés se trouvent dans le champ d'une caméra web, qui est susceptible de filmer des personnes autour de leur maison, voire - à travers une fenêtre - à l'intérieur de leur logement, ce qui constituerait une atteinte grave à la sphère privée et qui pourrait entraîner des conséquences juridiques pour l'utilisateur de la caméra. Il faut tenir compte du fait que la qualité technique des caméras web s'est améliorée ces derniers temps et que les internautes peuvent examiner dans les moindres détails une zone qu'ils ont sélectionnée, notamment grâce aux fonctions permettant aussi bien de faire bouger la caméra que d'actionner le zoom. Il s'agit donc de positionner et de configurer les caméras de telle sorte qu'il soit impossible de commettre de telles atteintes à la sphère privée.

Si les prescriptions mentionnées ne sont pas observées, la personne concernée peut faire valoir ses droits en intentant une action civile. Elle peut notamment exiger la destruction des données, mais aussi demander des dommages-intérêts et une réparation du tort moral si elle estime avoir été victime d'une violation de ses droits de la personnalité.

A propos

La loi sur la transparence s'applique aussi aux commissions consultatives

Comme les commissions consultatives font partie de l'administration fédérale, les documents qu'elles établissent doivent pouvoir être consultés librement en vertu de la loi sur la transparence. C'est à cette conclusion que sont parvenus le PFPDT et l'Office fédéral de la justice (OFJ) dans un cas qui concerne la Commission fédérale pour les vaccinations.

Le préposé a dû se pencher sur cette question dans le cadre d'une procédure de médiation. Une journaliste avait voulu savoir quels étaient les conflits d'intérêt déclarés par les membres de la Commission fédérale pour les vaccinations (CFV) et du groupe de travail «Vaccination contre les papillomavirus humains». L'OFSP, qui gère le secrétariat de la CFV, avait refusé l'accès aux documents concernés en se référant au message du Conseil fédéral et au document de l'OFJ intitulé «Questions fréquemment posées». Le message indique en effet que les commissions consultatives (qui donnent des avis et préparent des projets), contrairement aux commissions décisionnelles (qui disposent d'un pouvoir de décision), ne tombent pas dans le champ d'application de la loi sur la transparence. L'OFJ, qui était chargé de la mise en œuvre de la loi jusqu'à son entrée en vigueur, indiquait quant à lui, dans le document du 29 juin 2006 intitulé «Questions fréquemment posées», que les commissions consultatives ne faisaient pas partie de l'administration fédérale et qu'elles ne rendaient pas de décisions, raison pour laquelle elles ne tombaient pas dans le champ d'application de la loi sur la transparence.

Dans sa recommandation, le PFPDT s'est référé notamment à l'actuelle ordonnance sur l'organisation du gouvernement et de l'administration, qui subordonne explicitement à l'administration fédérale les commissions extraparlementaires (qui comprennent les commissions consultatives et les commissions décisionnelles). Il a donc estimé que le principe de la transparence s'applique aussi aux commissions consultatives comme la CFV. En l'occurrence, il a recommandé à l'OFSP de donner accès aux déclarations des conflits d'intérêt en raison d'un intérêt public prépondérant (protection de la santé publique).

L'OFSP s'est alors tourné vers l'OFJ, qui a estimé lui aussi que les commissions consultatives font partie de l'administration fédérale et qu'elles sont aussi soumises à la loi sur la transparence. L'OFJ a adapté en conséquence son document «Questions fréquemment posées», qui figure également sur le site du préposé.

Sources:

Agenda 2010
28. juin
Conférence de presse annuelle du PFPDT, présentation du rapport d'activités
octobre datum 2/10

 

«datum» est une publication du Préposé fédéral à la protection des donnés et à la transparence. Elle paraît deux fois par an. Les contributions à «datum» sont libres de droits.  

Rédacteur responsable: Francis Meier

 
https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/newsletter/aeltere-newsletter/datum-01-2010.html