Établissement des faits en matière de lanceurs d’alertes (whistleblowing)

Dans le cadre d’un établissement des faits, nous avons examiné le traitement de données effectué sur des messages transmis au bureau de communication du Contrôle fédéral des finances et évalué sa conformité avec les exigences de la protection des données. Nous avons émis des recommandations concernant l’obligation de déclarer le fichier et l’élaboration d’un règlement de traitement.

Depuis 2003, le Contrôle fédéral des finances (CDF) dispose d'un bureau de communication auquel les collaborateurs de l'administration fédérale peuvent s'adresser s'ils constatent des irrégularités ou s'ils ont des soupçons de corruption. De plus, le 1er janvier 2011 est entré en vigueur un nouvel article de la loi sur le personnel de la Confédération qui stipule que les collaborateurs sont même, sous certaines conditions, obligés de signaler les irrégularités. Le bureau de communication nouvellement mis en place doit permettre d'une part de sanctionner les actes punissables (obligation d'annoncer), d'autre part de combattre la corruption (droit de dénoncer) et empêcher ainsi que les collaborateurs communiquent de telles informations d'abord à la presse.

Dans le cadre de notre activité de surveillance, nous avons examiné en 2013 la conformité avec les dispositions en matière de protection des données du traitement effectué auprès du bureau de communication pour lanceurs d'alerte. Dans un premier temps, nous avons remis au CDF un questionnaire. Puis nous avons effectué une inspection sur place avant de rédiger un rapport final sur la base de ces informations.

Le CDF traite des données personnelles au sens de la loi fédérale sur la protection des données (LPD), même si certaines dénonciations sont faites de manière anonyme. Les données sont stockées en interne au sein du CDF et traitées exclusivement par les personnes compétentes. Nos investigations nous ont menés à la conclusion que le CDF exploite un fichier. Selon la LPD, les organes fédéraux sont tenus de déclarer tous leurs fichiers au PFPDT et, en cas de traitement de données personnelles sensibles, ils doivent élaborer un règlement de traitement. Nous avons recommandé au CDF d'adapter son traitement de données en fonction de nos explications. Nos recommandations n'ayant pas été acceptées, la procédure est encore pendante.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/21e-rapport-d-activites-2013-2014/etablissement-des-faits-en-matiere-de-lanceurs-dalertes--whistle.html