23e rapport d'activités 2015/2016

Vous trouverez ci-dessous une sélection des articles du 23e rapport d'activités du PFPDT. Le texte intégral peut être téléchargé en format PDF depuis notre site ou être commandé auprès de l'Office fédéral des constructions et de la logistique OFCL. Vous trouvez les informations à ce sujet sur la droite de cette page.

Avant-propos

Il y a dix ans, le 1er juillet 2006, la loi fédérale sur la transparence entrait en vigueur. Cette loi était et est appelée à jouer un rôle primordial dans le fonctionnement de notre État de droit. Son objectif est en effet de promouvoir la transparence quant à la mission, l’organisation et l’activité de l’administration, notamment en garantissant l’accès du public aux documents officiels. Les processus de décision de l’administration doivent être transparents afin de contribuer à renforcer la confiance des citoyens et citoyennes en leurs institutions publiques. Continuer...

Prise de position sur le cadre légal relatif aux données publiques en libre accès

Les Archives fédérales nous ont priés de prendre position du point de vue de la protection des données dans le cadre d’une consultation des offices relative aux données publiques en libre accès (Open Government Data OGD). Continuer...

Projet MARS de l’Office fédéral de la statistique et de l’Office fédéral de la santé publique

Lors de la procédure de consultation des offices, nous avons eu l’occasion de prendre position sur deux nouvelles dispositions de l’Ordonnance sur l’assurance-maladie (OAMal). Celles-ci règlent les détails de la collecte, du traitement, de la transmission et de la publication des données dans le cadre du projet Modules Ambulatoires des Relevés sur la Santé (MARS). Continuer...

Protection des données dans le cadre d’une collecte de signatures

À la demande de la Chancellerie fédérale, nous avons explicité les exigences légales concernant l’utilisation des données collectées dans le cadre de l’exercice des droits politiques (collecte de signatures). Conformément au principe de finalité, les données personnelles recueillies à l’appui d’une initiative populaire ou d’un référendum ne peuvent être utilisées qu’aux fins de l’initiative ou du référendum. L’utilisation de ces données pour une autre finalité, par exemple l’envoi d’une lettre d’information, n’est licite que si la personne concernée y consent librement et de manière explicite. Continuer...

Utilisation du numéro AVS en tant qu’identifiant universel

Durant l’année sous revue, nous avons requis du Conseil fédéral qu’il prenne une décision de principe sur l’utilisation généralisée du numéro AVS en dehors du secteur des assurances sociales. Nous considérons que seul un numéro sectoriel serait à même de limiter les risques de mise en relation abusive de données. Continuer...

Examen des faits concernant le SwissPass

Fin 2015, nous avons procédé à un examen des faits à propos du SwissPass des CFF et de l’Union des Transports Publics (UTP). Nous avons conclu que les traitements de données effectués lors des contrôles des titres de transport n’étaient pas proportionnels et ne reposaient pas sur une base légale suffisante. Nous avons donc établi une recommandation à l’intention de l’UTP et des CFF afin de corriger les défauts constatés. Continuer...

Examen des faits concernant l’Internet gratuit des CFF

Nous avons procédé à un examen des faits concernant l’offre de wifi gratuite des CFF. À cette occasion, nous avons constaté que le système présentait un certain nombre de défauts. Nous avons donc émis des recommandations, à la suite desquelles les CFF ont modifié les dispositions en matière de protection des données de ce service ainsi que la durée de conservation des données d’utilisateurs. Continuer...

Surveillance privée des fans de football sur le domaine public

Lorsque les fans de football sont secrètement filmés sur le domaine public, leur personnalité peut être violé illicitement. Une telle mesure pourrait éventuellement être légitimée par le fait qu’elle est exécutée dans le cadre d’une intervention policière ou seulement dans le cas d’un incident. Continuer...

Stockage centralisé de photos de clients par des stations de ski

Avec la fonction PhotoCompare de Skidata, les contrôles de forfaits de ski entraînent une atteinte aux droits de la personnalité des clients plus importante que la procédure habituelle. Son utilisation doit donc être limitée aux forfaits à validité longue. Les clients doivent être informés spécifiquement et les données ne peuvent être conservées que sur de courtes périodes. Continuer...

Etablissement des faits concernant Windows 10

Durant l’exercice sous revue, Microsoft a lancé son système d’exploitation Windows 10. Dans le cadre de ce lancement, notre attention s’est portée sur les traitements de données y relatives, en particulier les aspects concernant l’information des personnes concernées et leur consentement. Continuer...

Analyse des données de clients auprès d’opérateurs de télécommunication à des fins d’offres personnalisées

L’entreprise Cablecom a révisé ses conditions générales. Certaines dispositions étant formulées de manière peu claire, nous avons procédé à quelques éclaircissements auprès de cette entreprise et lui avons demandé d’améliorer certains points. Continuer...

Accès des applications aux données

Lors de l’installation d’une application sur un smartphone, il est utile de prendre le temps d’étudier les autorisations qui sont demandées, et qui sont généralement liées à l’accès aux données. Continuer...

Révision totale de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication

Durant l’année sous revue, nous avons été invités par les Commissions des affaires juridiques des deux Conseils à participer aux séances concernant la révision totale de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Le thème portait notamment sur la durée de conservation des données accessoires et sur l’enregistrement de l’historique Internet. Continuer...

Loi fédérale sur le renseignement

La loi fédérale sur le renseignement prévoit des contrôles à plusieurs niveaux et des procédures spécifiques relatives à l'acquisition des informations soumises à autorisation et à l'exploration du réseau câblé. Il s'agira de vérifier si les contrôles susmentionnés permettront effectivement de protéger les droits fondamentaux des personnes concernées. La nouvelle loi présente également quelques éléments problématiques en matière de protection des données. Continuer...

Communication de données sur les voyageurs aériens au Service de renseignement de la Confédération

Durant l’année sous revue, nous avons examiné la communication de données sur les voyageurs aériens du Secrétariat d’État aux migrations au Service de renseignement de la Confédération. Nous avons pu constater que celle-ci est conforme à la protection des données. Par contre, les normes d’application doivent être complétées. Continuer...

Refus de renseignements sur les données de santé d’un enfant

Durant l’exercice sous revue, il nous a été demandé si une caisse-maladie pouvait refuser, en cas de garde partagée, de fournir à un parent les données sur la santé d’un enfant incapable de discernement lorsque cet enfant se trouve sous la garde de l’autre parent après un divorce ou une séparation. Continuer...

Contrôle des logfiles auprès du Corps des gardes-frontière

Dans le cadre des accords d'association à Schengen, nous avons procédé à un contrôle des logfiles auprès du Corps des gardes-frontière (Cgfr) en tant qu'utilisateur final du Système d'information Schengen (SIS). L'analyse des logfiles a montré que l'accès au SIS par cet organe était conforme à la protection des données. Continuer...

Dispositions d’exécution de la loi fédérale sur le dossier électronique du patient

La loi fédérale sur le dossier électronique du patient (LDEP) a été adoptée par le Parlement le 19 juin 2015. Le délai référendaire a expiré le 8 octobre 2015. L'identifiant sectoriel pour le dossier électronique du patient est donc devenu réalité. Mais de nombreux points délicats doivent encore être clarifiés. Continuer...

Contrôle des services de réception de données des assureurs-maladie

Comme mentionné dans le rapport d’activités 2014/2015, chaque assureur-maladie doit disposer, depuis le 1er janvier 2014, d’un service de réception des données (SRD) certifié pour la réception des factures de type «Diagnosis Related Groups» (DRG). Les contrôles que nous avons effectués cette année ont montré que la mise en œuvre de ces SRD fonctionnait bien. Dans quelques cas, nous avons constaté des lacunes que nous avons notifiées au service de certification concerné. Continuer...

Ordonnance sur la surveillance de l’assurance-maladie sociale – projet BAGSAN

Pour la surveillance des assureurs-maladie sociaux, l’Office fédéral de la santé publique exige de ces établissements des indications très détaillées sur chaque personne assurée. Nous nous sommes exprimés à ce sujet dans le cadre de la consultation des offices concernant l’ordonnance sur la surveillance de l’assurance-maladie sociale. Les dispositions légales actuellement en vigueur sont insatisfaisantes. Continuer...

Contrôle de sécurité relatif aux collaborateurs (dans le domaine privé)

Suite à diverses requêtes, nous avons clarifié les exigences en matière de contrôle de sécurité relatif aux personnes dans le domaine privé et rédigé des explications à ce sujet. Continuer...

Bureau de communication pour lanceurs d’alerte (whistleblowing) de la Confédération

Le Tribunal fédéral ayant décidé de ne pas entrer en matière dans l’affaire du bureau de communication pour lanceurs d’alerte de la Confédération, l’arrêt du Tribunal administratif fédéral est maintenant entré en vigueur. Continuer...

Carte-client du commerce de détail

Les clauses de consentement figurant dans les conditions générales posent parfois problèmes. L’introduction de l’analyse du panier des achats, liée à la Supercard de la Coop, a entraîné une modification des conditions générales permettant désormais à la Coop de recueillir le consentement de ce même client pour l’analyse de ses données d’achats. Les clients ont eu la possibilité d’accepter les nouvelles conditions générales en cochant la case nécessaire et l’analyse du panier et les paragraphes correspondant des conditions leur ont été à nouveau signalés. Continuer...

Échanges de contenus sur Internet et droits d’auteur – révision de la loi sur le droit d’auteur

L'exigence d'information en procédure civile prévue par la révision de la loi sur le droit d'auteur, ainsi que la soumission d'avertissements et la procédure «Stay Down» prévue pour certains cas, sont problématiques du point de vue de la protection des données. Continuer...

Éclaircissements dans le domaine des agences de renseignement économique et de renseignement en matière de crédit: Moneyhouse

Nous avons déposé une plainte auprès du Tribunal administratif fédéral contre l’agence de renseignements Moneyhouse, car celle-ci n’a pas accepté toutes nos recommandations, Nous attendons notamment une clarification du concept de profil de la personnalité et espérons qu’un arrêt sera rendu cette année encore. Continuer...

Traitement de données client chez Postfinance

L’intégration d’instruments financiers supplémentaires dans une plateforme d’e-banking constitue, selon les circonstances, une modification de la finalité du traitement des données. Une telle modification nécessite le consentement des clients. Postfinance a accepté plusieurs améliorations permettant d’offrir un choix aux clients à la suite de notre procédure d’établissement des faits. Continuer...

Communication de données personnelles à des autorités fiscales étrangères

La Suisse met en œuvre les nouveaux standards dans la lutte mondiale contre la fraude et la soustraction d'impôts. Afin de créer les bases légales nécessaires jusqu'en 2017, le processus législatif fonctionne à plein régime. Il s'agit pour la Confédération de préserver ses intérêts politiques et économiques face aux enjeux internationaux, sans négliger les droits de la personnalité des contribuables. Nous nous sommes engagés à le rappeler à tous les stades de la procédure législative. Continuer...

Assouplissement de l’assistance administrative pour les données volées

Nous estimons que le traitement des demandes d'assistance administrative reposant sur des données volées enfreint le principe de licéité. Nous nous sommes donc exprimés de manière critique dans la procédure de consultation concernant une nouvelle modification de la loi sur l'assistance administrative en matière fiscale. Continuer...

Banques et droit d’accès

Nous recevons de plus en plus de requêtes concernant le droit d’accès octroyé par les banques. Certains établissements exigent pour cela une participation aux frais qui dépasse largement le montant de 300 francs autorisé par le droit de la protection des données. Continuer...

Dixième Journée de la protection des données

Fin janvier s’est tenue la 10e édition de la Journée internationale de la protection des données, sur le thème «Cloud Computing: comment protéger les données personnelles après la décision Safe Harbor». Nous avons organisé une manifestation publique avec de courtes présentations et un débat à l’Université de Lausanne. Continuer...

Principe de la transparence

Selon les chiffres qui nous ont été communiqués, 597 demandes d'accès ont été soumises aux autorités fédérales en 2015 (avec le Ministère public de la Confédération et les Services parlementaires, les demandes d'accès s'élèvent à 600, cf. chiffre 2.1.2 s.). Cela correspond à une nouvelle valeur record depuis l'entrée en vigueur de la loi sur la transparence en 2006. Les autorités ont accordé dans 319 cas (54 %) un accès complet et dans 127 autres cas (21 %) un accès partiel aux demandeurs. En revanche, la demande de consultation a été entièrement rejetée pour 98 demandes (16 %). Par ailleurs, 31 demandes d'accès ont été retirées et 22 cas étaient encore en suspens à la fin de l'année 2015. Etant donné l'augmentation continue du nombre des demandes d'accès, il faut s'attendre à ce qu'à l'avenir la loi sur la transparence continue à être mieux connue et davantage utilisée. Continuer... 

Publications

Commande

Le rapport annuel peut être commandé à l'OFCL, Vente de publications, 3003 Berne.
Art. Nr. 410.023.d/f

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/23e-rapport-d-activites-2015-2016.html