Utilisation d’outils d’analyses de l’audience internet pour les organes de la Confédération

L’exploitant d’un site internet désirerait analyser les accès des utilisateurs afin d’apprendre quels sont leurs mouvements sur ce site ou afin d’améliorer son offre en ligne. L’utilisation de ce type d’outils peut toutefois avoir des aspects particulièrement perfides pour les sites internet de la Confédération.

Les outils d'analyse de l'audience internet offrent des fonctions typiques comme l'enregistrement de l'origine géographique des visiteurs, la durée de la consultation du site et les notions introduites dans le moteur de recherche sémantique. A l'aide d'un élément d'image spécial ainsi que d'un script, l'outil d'analyse est intégré sur la page Internet de l'exploitant. Si aucune mesure spécifique n'est prise, ce type de service peut saisir les accès sur le site internet, car lorsque l'utilisateur appelle l'élément d'image, son adresse IP est enregistrée par ses serveurs. Etant donné que les adresses IP doivent être considérées comme des données personnelles, la loi sur la protection des données (LPD) est applicable.

À l'aide d'un programme d'analyse, il est possible de répertorier et analyser des profils détaillés des utilisateurs, jusqu'à leurs activités sur le site. Ces profils d'utilisateurs peuvent constituer des profils de la personnalité au sens de la LPD. Or, les organes de la Confédération sont tenus de ne traiter des données personnelles que si ce traitement repose sur une base légale; dans le cas de données personnelles sensibles et de profils de la personnalité, cette base légale doit être une loi au sens formel.

Au cours de l'analyse des accès sur le site internet, les données dites secondaires de l'internaute sont transmises au fournisseur de l'outil d'analyse. Le traitement des données par cette catégorie de fournisseurs est à qualifier de traitement de données par des tiers, lequel nécessite aussi une base légale.

Si le serveur du fournisseur de l'outil d'analyse se trouve à l'étranger, il faut en outre respecter les règles concernant le transfert transfrontalier de données. Le transfert de données personnelles à l'étranger risque de donner aux autorités du pays en question la possibilité d'accéder à ces données en s'appuyant sur ses lois nationales. Il s'agit là d'un point particulièrement délicat pour les organes de la Confédération, car il leur incombe le devoir de traiter les données personnelles des citoyens avec précaution et de les protéger, notamment contre un accès indu d'autorités étrangères.

Il est donc recommandé aux autorités fédérales, essentiellement pour ce dernier motif, de renoncer à utiliser ce type d'outils et de rechercher d'autres variantes. Par contre, si des mesures spéciales sont à même de garantir que l'analyse ne permettra pas de relever des données personnelles, la LPD n'est pas applicable. Une autre possibilité s'offre toutefois, à savoir que les statistiques d'audience sur internet soient effectuées sur la base de programmes installés directement sur le serveur de l'organe de la Confédération. Cette solution permet de garantir qu'aucune donnée personnelle ne sera communiquée à un tiers en dehors de l'administration fédérale.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/20e-rapport-d-activites-2012-2013/utilisation-d_outils-danalyses-de-laudience-internet-pour-les-or.html