Avant-propos

Dans notre dernier rapport d'activités, je comparais le rôle du Préposé à la protection des données à celui de la figure tragique de la mythologie grecque qu'est Sisyphe, condamné à pousser éternellement le même rocher au sommet d'une montagne: à peine pensons-nous avoir résolu un problème touchant à la protection des données qu'un nouveau surgit! Bien que cette métaphore soit toujours d’actualité au fil des années, le rapport annuel est l'occasion de jeter un coup d'oeil rétrospectif et d'apprécier les résultats obtenus. En bref, nous pouvons dire qu'une approche pragmatique de la protection des données est porteuse de succès.

Commençons par le domaine de la santé, dans lequel les choses bougent beaucoup suite à nos recommandations dans le cas CSS. Avec notre soutien, la Société suisse des médecins-conseils a adopté en décembre 2007 des recommandations ayant pour objectif de renforcer l'indépendance des médecins-conseils vis-à-vis des assurances. La circulation des données à l'intérieur du Service du médecin-conseil a été réglementée de manière plus claire et l'indépendance administrative mieux organisée. Etant donné que les assureurs-maladies offrent des produits les plus divers comme les assurances d’indemnités journalières et les assurances-vie dans le cadre de holdings aux larges ramifications, il est nécessaire de procéder à une clarification du rôle de médecins-conseils (instauré par la LAMal) agissant également dans le cadre des assurances non obligatoires. De plus, le rôle des case managers demeure peu clair et la question de savoir si leur intégration au sein du service des médecins-conseils contribuerait à éclaircir les choses demeure.

Relevons également la collaboration entre l'Office fédéral de la santé publique et notre service dans le cadre d’un projet ayant pour but de dégager une vue d'ensemble de la protection des données dans le domaine de la santé et de formuler des propositions de solutions. Il s'agit là d'un projet extrêmement important étant donné les transformations que connaît ce domaine, pour lequel nous ne mentionnerons que l'introduction des DRG (groupes de diagnostic). Nous escomptons les résultats de ce projet dans le courant de cette année. Autre point positif, la CSS s'est déclarée prête à se soumettre à un audit externe régulier en matière de protection des données. C'est exactement ce que nous demandons depuis longtemps pour l'ensemble du secteur de la santé afin de renforcer durablement la confiance concernant le traitement de données extrêmement sensibles.

Dans ce secteur, la nouvelle loi sur la protection des données contient un nouvel instrument très important : la certification en matière de protection des données. Nous œuvrons pour que ces procédures se généralisent en particulier lorsque des données sensibles sont traitées. Comme le prévoit l’ordonnance sur la certification, nous sommes actuellement en train d'élaborer avec les milieux concernés les directives en la matière. L'objectif est d'établir une procédure qui soit la plus simple et la plus conviviale possible, basée sur la norme ISO 27001.

De manière générale, les influences positives de la nouvelle loi sur la protection des données, entrée en vigueur le 1er janvier 2008, apparaissent. Nous constatons en particulier que les grandes entreprises, dont les responsables de la protection des données sont membres de l'Association des conseillers d'entreprises en matière de protection des données (Verein Unternehmens-Datenschutz VUD), ont activement participé à la mise en œuvre des nouvelles dispositions. À cette occasion, elles ont recherché une collaboration constructive avec le PFPDT.

Dans le cadre de l'élaboration de la nouvelle loi sur les systèmes d'information de police de la Confédération, nous sommes parvenus, suite à un jugement rendu par la Cour européenne des droits de l'homme, à améliorer de manière significative la situation juridique des personnes désirant consulter les banques de données Janus et Gewa. Nous devons maintenant parvenir au même résultat à propos de la loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (LMSI). En raison des risques pour la sphère privée liés à l’orientation de cette loi, dont le projet de révision est actuellement débattu au parlement, la LMSI aura une place importante dans le cadre de notre activité de cette année.

Une bonne nouvelle à propos de SWIFT: cette organisation a décidé de séparer techniquement et organisationnellement les traitements des transactions financières qui ne sont pas en lien direct avec les États-Unis. Ainsi ces transactions ne seront plus soumises de manière générale au droit américain, de sorte que l’accès aux données des transactions par les autorités américaines ne pourra plus avoir lieu dans ce cadre là. Dans cette optique, nous nous félicitons que SWIFT ait décidé d'ouvrir un centre opérationnel en Suisse. Ce centre assurera le traitement des transactions financières qui ne concernent pas les États-Unis.

La loi sur la transparence est entrée en vigueur il y a bientôt deux ans et il est maintenant possible d’établir un premier bilan. Il semble que le passage du principe du secret vers celui de la transparence se fait progressivement dans les offices fédéraux. En notre qualité d'organe de médiation, nous sommes parvenus à une solution plus favorable pour les personnes désirant consulter des documents officiels dans la plupart des cas où l'accès à ces documents avait été refusé en partie ou totalement par un organe fédéral. Toutefois, il est également apparu dans cette première phase de l'adaptation au principe de la publicité, que les offices auront encore besoin d'un certain temps pour se familiariser avec cette nouvelle situation. Un point positif est à mentionner: dans le passé nous avons à plusieurs reprises abordé la question des ressources; la Chancellerie fédérale nous a accordé deux postes, pour une période toutefois limitée, afin de pouvoir donner suite aux nombreuses demandes de médiation reçues la première année suivant l’entrée en vigueur de la loi sur la transparence. Nous avons bon espoir que ces demandes pourront être traités d'ici la fin de l'année. Se posera ensuite la question de savoir quelles ressources doivent être définitivement mises à disposition afin d’assurer un bon fonctionnement.

Concernant l'adhésion de la Suisse aux Accords de Schengen/Dublin et leur mise en œuvre, la Suisse a dû se soumettre à une évaluation relative à son système de protection des données. Dans ce contexte nous avons accueilli durant plusieurs jours en mars une délégation européenne composée de treize experts et dirigée par le commissaire slovène à la protection des données. Les experts ont examiné l'état de la protection des données aux niveaux fédéral et cantonal. Ils ont ensuite établi leur rapport contenant un certain nombre de recommandations. Ils ont notamment relevé que l'indépendance administrative et financière des autorités en matière de protection des données n'était pas suffisamment garantie et que trop peu de ressources étaient disponibles, en particulier pour mener à bien les nouvelles tâches. Dans les six mois prochains la Suisse devra indiquer de quelle manière elle entend donner suite aux recommandations. Le PFPDT s'est attaché au cours des dernières années à attirer l'attention sur ce problème, notamment dans la perspective des futures conventions internationales, et s'emploiera à trouver en collaboration avec les services concernés une solution praticable pour que la Suisse puisse répondre aux exigences de l'Union européenne. Une autre recommandation a pour objet la collaboration entre le PFPDT et les autorités cantonales en charge de la protection des données concernant les tâches de surveillance de la Confédération et des cantons, qui se recoupent partiellement.

La première journée suisse du droit de la protection des données a été organisée le 11 janvier 2008 avec l'Université de Fribourg; cette rencontre a prouvé que la protection des données suscite un grand intérêt. Elle a en effet attiré de nombreux participants et était consacrée essentiellement à la nouvelle loi sur la protection des données, entrée en vigueur quelques jours plus tôt. La jurisprudence de l'ancienne Commission fédérale de la protection des données y a également été abordée, ainsi que la problématique du principe de la transparence en rapport avec la protection des données dans la perspective de la loi sur la transparence entrée en vigueur en 2006. Dans ce contexte, mentionnons également la Journée européenne de la protection des données organisée pour la deuxième fois le 28 janvier 2008, en collaboration avec l'Institut européen de l'Université de Zurich. À l’occasion de cette 2ème Journée européenne de la protection des données, nous avons également collaboré avec les radios DRS et RSR. Les deux stations ont abordé durant toute la journée divers aspects de la protection des données dans le cadre de nombreuses émissions d'une haute qualité journalistique. Une équipe d'experts mise sur pied par nos soins a répondu aux nombreuses questions des auditrices et des auditeurs tout au long de cette journée.

Dans tous les cas mentionnés, une étroite collaboration avec les acteurs concernés en dehors du cercle étroit de la protection des données s'est révélée payante et a donné des résultats remarquables au regard de la protection de la sphère privée. En effet, pour parvenir à des résultats positifs, une protection des données pragmatique doit se fonder sur la coopération la plus large possible avec les potentiels intéressés.

Dernière modification 30.06.2008

Début de la page

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activite/anciens-rapports/15eme-rapport-d-activites-2007-2008/avant-propos.html