18ème rapport d'activités 2010/2011

Vous trouvez ci-dessous une sélection des articles du 18ème rapport d'activités du PFPDT. Le texte intégral peut être téléchargé en format PDF depuis notre site ou être commandé auprès de l'Office fédéral des constructions et de la logistique OFCL. Vous trouvez les informations à ce sujet sur la droite de cette page.

«Celui qui profite de l'offre intéressante que différentes entreprises proposent sur Internet ne doit pas abandonner son droit à la vie privée, comme l'on pose son manteau au vestiaire. Si avoir l'esprit petit-bourgeois à l'ère du numérique signifie revendiquer ce droit fondamental de nature libérale, alors nous acceptons d'être qualifiés de petits bourgeois bornés!» Tel était le commentaire que l'on pouvait lire dans la NZZ fin février 2011, juste avant l'audience devant le Tribunal administratif fédéral concernant Google Street View. Nous pouvons tout à fait partager ce commentaire.

Dans le cadre du recensement de la population, nous avons contrôlé un institut privé qui traite des données sur mandat de l'Office fédéral de la statistique (OFS). Nous avons constaté d'une manière générale que les parties impliquées s'engagent à appliquer les prescriptions de protection des données. Ce contrôle n'est pas encore terminé.

Le mot «radier» n'est pas toujours compris comme «supprimer définitivement». Nous en avons une nouvelle fois fait l'expérience dans le cadre de la consultation des offices pour l'ordonnance sur le numéro d'identification des entreprises (IDE). Dans nos prises de position, nous avons recommandé de régler les radiations dans le registre IDE de manière plus claire sur le plan légal.

Suite aux difficultés rencontrées dans le domaine de la certification de produits et de services, nous avons décidé de geler provisoirement nos activités respectives et avons demandé à l'Office fédéral de la justice de clarifier certaines questions législatives.

Le programme d'action de la Confédération visant à renforcer la sécurité routière révèle plusieurs points faibles au niveau de la protection des données. Nous avons proposé des améliorations, principalement dans les domaines de l'anonymisation, de la communication des données et des enregistrements des boîtes noires.

L'Office fédéral des routes (OFROU) a effectué des essais avec ce qu'on appelle le «contrôle de vitesse par tronçon» et nous a préalablement soumis son projet. Du point de vue de la protection des données, nous n'avons émis aucune objection contre ce type de contrôle.

Suite à un jugement du Tribunal administratif fédéral, le centre sportif KSS a dû modifier le stockage centralisé de données biométriques, opéré dans le cadre du contrôle de l'accès au centre. Comme nous l'avons constaté lors d'une vérification ultérieure sur place, le KSS applique le jugement en conformité avec les principes de la protection des données.

Un club de tennis a introduit un nouveau système de réservation avec reconnaissance biométrique des personnes. Désormais, tout membre désireux de jouer sur un court doit procéder à la réservation de celui-ci à l'aide de son empreinte digitale. Informés par des membres du club inquiets de la situation, nous avons examiné de près ce système et avons constaté qu'il ne satisfaisait pas aux exigences de la protection des données et qu'il fallait donc le modifi er. Nous avons élaboré une recommandation et nous examinons actuellement en collaboration avec le club comment la mettre en oeuvre.

Divers établissements de divertissement nocturne ou centres de jeunes sont à la recherche de possibilités permettant de reconnaître les personnes frappées d'une interdiction d'entrée. Cette année, nous avons donc examiné plusieurs projets impliquant l'utilisation de systèmes de reconnaissance biométriques en vue d'identifier les délinquants figurant sur des listes noires. Du point de vue de la protection des données, l'aspect le plus problématique dans ce contexte est l'échange de données entre gérants d'établissements.

La révision partielle de la loi fédérale sur l'assurance-vieillesse et survivants (LAVS) doit permettre à la société de gestion des droits d'auteur ProLitteris d'obtenir des extraits du registre AVS pour lui permettre de percevoir les rémunérations de manière plus efficace.

Est-il possible aujourd'hui de rester anonyme lorsque l'on navigue sur le Web? Les cookies par exemple sont de plus en plus performants pour permettre une personnalisation des navigateurs web. Mais, bien au-delà de cette technologie, on constate que le navigateur utilisé laisse lui-même une empreinte qui nous identifie de manière unique. Nous avons pu confirmer ce constat en étudiant puis en testant l'algorithme Panopticlick.

Dans le cadre de nos activités de veille technologique, nous avons étudié les développements liés à l'utilisation des cookies. Les cookies sont un mécanisme bien connu des navigateurs web qui permet de conserver une trace de l'utilisateur. Ils sont en quelque sorte la mémoire des navigateurs. Avec l'évolution des technologies, ces cookies, à l'origine de simples petits fichiers, sont devenus de plus en plus puissants et sont ainsi une véritable menace pour la sphère privée.

Google ne voulant pas suivre nos recommandations visant une mise en œuvre de son service Street View respectueuse de la protection des données, nous avons soumis le cas à l'appréciation du Tribunal administratif fédéral. Ce dernier a approuvé nos exigences sur tous les points essentiels. Par ailleurs, nous avons examiné les procédés d'autres fournisseurs de prises de vue des voies publiques sur Internet. Ils se différencient de Google Street View à divers égards.

Au printemps 2010, on a appris que Google avait, lors de ses courses effectuées pour Street View en Suisse, également enregistré des données provenant de réseaux Wi-Fi. Nos recherches ont révélé que l'enregistrement de ces données n'était pas conforme aux exigences de la protection sur les données.

Le Tribunal fédéral a ordonné à la société Logistep AG de suspendre tout traitement de données dans le domaine des droits d'auteur et lui a interdit de transmettre les données déjà collectées aux détenteurs concernés de ces droits. Il entend ainsi marquer clairement son opposition envers la tendance, déjà constatée dans d'autres domaines, de certains particuliers qui s'attribuent des tâches revenant clairement à l'État de droit.

Le Parlement européen a décidé à la fin de l'année 2009 de procéder à une révision de la directive 2002/58/CE vie privée et communications électroniques. Le but est d'améliorer la transparence et la sécurité pour les consommateurs. La mise en oeuvre pratique de la nouvelle directive dans les États membres devrait se concrétiser à partir de 2011, ce qui entraînera également des conséquences pour la Suisse.

Le contrôle que nous avons effectué auprès du Corps des gardes-frontière a montré que les collaboratrices et collaborateurs concernés ont consulté le Système d'information Schengen de manière conforme aux exigences légales en la matière. Des éclaircissements sont cependant nécessaires dans le domaine de la formation des utilisateurs.

Par le biais du «groupe de coordination des autorités suisses de protection des données dans le cadre de la mise en œuvre de l'accord d'association à Schengen», nous coordonnons avec les autorités cantonales de protection des données nos activités de surveillance des traitements de données effectués en Suisse en matière de migration, police et justice en application de la coopération Schengen.

En 2010, le nombre des demandes d'accès concernant le système d'information sécurité intérieure ISIS a été extraordinairement élevé. Cette vague de demandes a pour origine la publication en été 2010 du rapport de la Délégation des Commissions de gestion des Chambres fédérales concernant le traitement des données dans ISIS.

La loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) doit être adaptée à l'évolution technique et inclure explicitement l'Internet, donc le courrier électronique et la téléphonie par Internet. Dans le cadre de la consultation des offices relative à la révision de la LSCPT, nous avons fait part de nos propositions sur divers points.

Le Conseil de l'Europe nous a invités à faire un exposé sur le traitement de données de patient dans le cadre d'une réunion du Comité directeur pour la Bioéthique du Conseil de l'Europe. La question centrale était de savoir s'il est nécessaire d'avoir des réglementations et si oui, lesquelles. Nous avons réussi à démontrer qu'un traitement de données de santé qui ne s'appuie pas sur des règles valables ne peut pas être bénéfique pour un système de santé national.

Un examen des faits auprès de deux pharmacies de vente par correspondance a montré que les entreprises contrôlées avaient une bonne approche des principes de la protection des données et que les mesures nécessaires à la protection des données des patients étaient prises. Par contre, des incertitudes demeurent quant aux données médicales que ces entreprises sont obligées de traiter.

Plusieurs assurances-maladie se sont adressées directement par courrier à certains assurés qui prenaient des médicaments spécifiques, afin de leur proposer des médicaments similaires, mais moins chers. Au vu de la pression croissante des coûts dans le domaine de la santé, on peut certes comprendre ce procédé; il n'en constitue pas moins une violation des dispositions de protection des données.

Les entreprises internationales sont de plus en plus nombreuses à centraliser leurs divisions des ressources humaines. Leurs filiales suisses se voient ainsi de plus en plus souvent priées de communiquer les données personnelles concernant leurs employés à la société-mère qui se trouve à l'étranger.

La nouvelle loi sur l'approvisionnement en électricité prévoit une libéralisation par étapes du marché de l'électricité à partir du 1^er janvier 2008. Ceci nécessite une nouvelle méthode de saisie des consommations. Des compteurs numériques permettent d'enregistrer et de transmettre en ligne un volume important de données, ce qui permet d'une part de montrer aux consommateurs les potentiels d'économie d'énergie, mais présente d'autre part également des risques pour la sphère privée.

En cette époque de mondialisation, la communication de données à l'étranger dans le cadre d'une externalisation est de plus en plus fréquente, particulièrement dans le cas des groupes internationaux de sociétés. En outre, conséquence de la division du travail, il n'est pas rare aujourd'hui que le traitement des données soit confié à un sous-mandataire. La question se pose donc de savoir quelles sont les conditions en matière de protection des données qui doivent être remplies pour que la communication de données à un mandataire et à un sous-mandataire à l'étranger soit licite.

Le traitement de données relatives à la solvabilité par des agences d'évaluation du crédit et des agences de renseignement économique touche deux thèmes principaux: d'une part la correction et l'effacement de données fausses, entreprise qui s'avère dans la pratique longue et fastidieuse; d'autre part, les possibilités qu'offre actuellement la technique en matière de collecte et de mise en relation de données permettent la création de profils de la personnalité.

En 2010, le nombre des demandes d'accès déposées est encore dans la moyenne des années précédentes. Depuis l'entrée en vigueur du principe de la transparence, deux tendances apparaissent: d'une part, le refus total de l'accès est prononcé dans toujours moins de cas, d'autre part l'accès au moins partiel est de plus en plus fréquemment accordé. Dans un bon quart des cas dans lesquels l'administration a accordé un accès restreint, une demande en médiation a été déposée.

En 2010, nous avons reçu en tout 32 demandes en médiation (voir la statistique au chiffre 3.9). L'année précédente, elles étaient au nombre de 41. En tout, 34 demandes en médiation ont été réglées. Dans 10 cas, une solution consensuelle a été trouvée avec les parties impliquées. Dans 14 cas, où une solution à l'amiable n'a pas pu être trouvée ou n'était pas envisageable d'emblée, nous avons émis des recommandations. Plusieurs demandes en médiation ont pu être réglées par une seule recommandation ou en une seule médiation. En cours de procédure de médiation, dans un cas la demande a été retirée et dans un autre l'autorité a accordé d'elle-même l'accès demandé. Dans trois cas, l'accès a été demandé pour des documents qui ne relevaient pas du champ d'application personnel de la loi sur la transparence. Il est intéressant de noter que toutes ces demandes ont été déposées par des avocats. Dans un cas, la demande en médiation n'a pas été remise dans les délais.