14e Rapport d'activités 2006/2007

Vous trouvez ci-dessous une sélection des articles du 14e rapport d'activités du PFPDT. Le texte intégral peut être téléchargé sous forme PDF depuis notre site ou être commandé auprès de l'office fédéral des constructions et de la logistique OFCL. Vous trouvez les informations à ce sujet à droite sur cette page.

Avant-propos

Par trop souvent, le préposé à la protection des données se retrouve dans le personnage de Sisyphe, cette figure tragique de la mythologie grecque condamnée à remonter une pente en poussant un énorme rocher qui, aussitôt arrivé en haut, retombe inéluctablement: à peine croit-on avoir résolu un problème de protection des données qu'il réapparaît sous une forme légèrement différente. Tel a été le cas, après bien des discussions entre le PFPDT et le Conseil fédéral, au sujet de l'absence de bases légales lors de l'engagement de drones de reconnaissance en faveur du Corps des gardes-frontière. Suite à diverses motions parlementaires, le Conseil fédéral semble désormais être revenu sur sa position initiale de refus et prêt à combler cette lacune par une révision partielle de la législation militaire. Mais le sujet ne va pas cesser de nous préoccuper: des avions miniatures télécommandés ou même programmés par GPS (hélicoptères, drones, etc.), équipés d'appareils de prise de vue à haute résolution, apparaissent sur le marché, à toutes sortes de fins plus ou moins légales, et de plus en plus de citoyennes et de citoyens s'en inquiètent. En matière de protection de la sphère privée, cette évolution vers une miniaturisation de la technologie au service de la surveillance sera un grand défi de l'avenir. De concert avec d'autres organes concernés, nous nous consacrerons à la question avec la fermeté qui s'impose.

Projet d'ordonnance de certification en matière de protection des données

En raison de leur portée, de leur étendue et de leur relative complexité, les exigences de certification ont été regroupées au sein d’une ordonnance spécifique (OCPD). La certification d’organisations s’inspire fortement de la norme ISO 27001 pour son système de gestion de protection des données, tandis que la certification de produits se base sur le catalogue d’exigences pour l’expertise de produits-IT en vigueur depuis quelques années dans le Land allemand du Schleswig-Holstein.

L’harmonisation des registres officiels de personnes et l’utilisation du nouveau numéro d’assuré AVS comme identificateur de personnes

Le nouveau numéro d’assuré AVS sera utilisé comme numéro d’assurance sociale et comme identificateur administratif de personnes dans les registres harmonisés. Ainsi en a décidé le Parlement. Les cantons prévoient également d’utiliser ce numéro de manière systématique.

Communication d’informations au public par un office fédéral

Un office fédéral a le droit, même sans le consentement de la personne concernée, de communiquer des données personnelles dans le cadre de l’information officielle du public. Encore faut-il que ces informations soient en rapport avec l’accomplissement de tâches publiques et que la communication réponde à un intérêt public prépondérant. Il convient dans chaque cas d’espèce de veiller au respect des principes généraux de la protection des données, en particulier au respect du principe de la proportionnalité.

La publication d'arrêts du Tribunal fédéral sur Internet

Les arrêts du Tribunal fédéral à partir de l’année 1954 (et, depuis leur fusion, également ceux du Tribunal fédéral des assurances) ont été publiés sur Internet. Les jugements n’ont pas tous été anonymisés et peuvent contenir des données personnelles sensibles. Nous conseillons dans de tels cas de demander une anonymisation de la publication sur Internet.

L’engagement de drones de reconnaissance

Le Conseil fédéral a approuvé l’engagement de drones de reconnaissance et d’hélicoptères équipés de systèmes à infrarouges en faveur du Corps des gardes-frontière. Il convient néanmoins de créer maintenant la base légale pour l’engagement d’installations de surveillance de l’armée à des fins civiles.

Révision de la loi sur l’armée et l’administration militaire

Le Conseil fédéral a mis en consultation le projet de loi fédérale sur les systèmes militaires d’information. La plupart de nos Remarques ont été acceptées; de grandes divergences demeurent néanmoins en ce qui concerne les moyens de surveillance.

Révision de l’ordonnance sur les douanes

Les données biométriques sont en principe des données sensibles. Une loi doit donc établir quelles données biométriques peuvent être traitées par une autorité et dans quel but. Dans le cadre de la révision de l’ordonnance sur les douanes, nous avons veillé à ce que les données biométriques - de même que les modalités de traitement - soient au moins détaillées dans les dispositions d’exécution.

Contrôles biométriques d’accès à des établissements de sport et de détente

L’examen des pratiques en matière de protection des données auprès des établissements de sports et de détente «KSS Sport- und Freizeitanlagen Schaffhausen» (ci-après KSS) a montré que l’utilisation des données biométriques pour contrôler l’accès aux établissements n’était pas entièrement conforme aux règles de la protection des données. Nous sommes donc intervenus pour que les données biométriques ne soient plus stockées de manière centralisée. En outre, une solution alternative doit être proposée aux clients qui ne souhaitent pas que leurs empreintes digitales soient relevées. Nous considérons que ces recommandations peuvent s’appliquer par analogie à d’autres établissements privés du même secteur qui utilisent des données biométriques pour leurs systèmes de contrôle d’accès.

La lutte contre le hooliganisme

Depuis quelque temps, des actes de violence lors de manifestations sportives peuvent également être observés en Suisse. Pour combattre ce problème, la Confédération a entamé en 2002 des travaux de législation. Les dispositions qui en résultent sont contenues dans la loi fédérale sur les mesures visant au maintien de la sûreté intérieure (LMSI) et dans l’ordonnance qui s’y rapporte (OMSI) et sont entrées en vigueur le 1er janvier 2007.

Augmentation de la durée de conservation des données de communication

Dans le cadre d’un rapport du Conseil fédéral donnant suite à un postulat intitulé «lutter plus efficacement contre le terrorisme et le crime organisé», nous avons été invités à prendre position notamment sur la question de l’augmentation de la durée de conservation des données de communication de six à douze mois. Nous estimons qu’une telle mesure est disproportionnée.

Les activités du PFPDT en rapport avec l’Euro 08

Dans le cadre des préparatifs pour l’Euro 08, on nous a prié à diverses reprises de prendre position. Les thèmes soulevés ont été d’une part la décision du Conseil fédéral relative au service d’appui de l’armée, d’autre part l’accréditation et le marketing sauvage.

Protection des données dans le cadre de l’évaluation Schengen

La protection des données est un élément important de l’évaluation menée par les experts européens dans le cadre de Schengen. Celle-ci se base sur un questionnaire et sur des inspections locales et concerne les autorités fédérale et cantonales de protection des données.

Avant-projet d’article constitutionnel et de loi fédérale relative à la recherche sur l’être humain

Nous approuvons la création d’une disposition constitutionnelle et d’une loi fédérale relative à la recherche sur l’être humain. L’avant-projet établit en tant que principe le consentement éclairé de la personne concernée pour chaque activité de recherche. Nous avons requis un certain nombre d’adaptations concernant le contenu des informations fournies au patient. Ces adaptations ont pour but d’améliorer la transparence du traitement de données pour les personnes concernées. En outre, nous avons exprimé nos préoccupations au sujet du projet de dissolution de la Commission fédérale d’experts du secret professionnel en matière de recherche médicale et critiqué la suppression de notre compétence en matière de surveillance et de recours.

Traitement de données médicales dans le cadre d’un mandat (sous-traitance)

Les activités quotidiennes dans les hôpitaux devenant de plus en plus complexes du point de vue informatique, et ne cessent de soulever de nouvelles questions, notamment en ce qui concerne les données des systèmes d’imagerie qui nécessitent une mémoire importante. Contactés par une entreprise du secteur privé, nous avons examiné les conditions-cadres juridiques de la communication de données médicales par des hôpitaux privés à des tiers dans un but de sauvegarde des données et de délégation de gestion.

Questions de protection des données liées à l’introduction de la carte d’assuré

L’élaboration des bases techniques et du projet d’ordonnance ont été les grandes étapes du projet «carte d’assuré» dans l’exercice écoulé. L’introduction de la carte d’assuré représente un événement fondamental pour la santé publique. C’est pourquoi il est également essentiel que les exigences de base de la protection des données soient rigoureusement respectées. Des erreurs qui seraient commises dans la phase initiale d’introduction de la carte-santé ne pourront être corrigées après coup que moyennant des efforts très importants aussi bien au niveau organisationnel que financier.

Contrôle auprès de la société ALDI SUISSE SA

Au cours de l’année 2006, nous avons procédé à un contrôle approfondi en matière de protection des données dans une succursale du groupe ALDI Suisse. Ce contrôle a porté principalement sur la surveillance vidéo dans le commerce de détail. Le but principal d’une telle surveillance – la protection contre le vol et les agressions – a été mis en rapport avec la proportionnalité de la mesure et son impact sur les droits de la personnalité. Après avoir procédé à une appréciation nuancée de l’ensemble de la situation, nous avons dû recommander que des adaptations soient faites en matière de protection des données. En plus de certaines améliorations, ALDI devra en particulier positionner les caméras situées dans le secteur des caisses de manière à ce que la surveillance des collaborateurs ne soit pas possible. ALDI s’est en outre engagé à utiliser des technologies respectueuses de la protection des données (techniques de floutage).

Le droit d’accès et de rectification dans le domaine du renseignement commercial et des informations sur les crédits

Comme nous l’avons mentionné dans notre dernier rapport d’activités, nous avons vérifié en 2005 auprès de quatre grandes entreprises de renseignement commercial comment celles-ci garantissaient les droits des personnes concernées en matière de protection des données. Bien que nos appréciations aient en général été positives, cela ne signifie pas que les personnes concernées ne rencontrent pas de problèmes.

La protection des données dans le trafic international des paiements (SWIFT)

La majeure partie du trafic international des paiements est effectuée par l’intermédiaire de la Society for Worldwide Interbank Financial Telecommunication (SWIFT), sise en Belgique. En juin 2006, une information a été rendue publique par les médias: les autorités américaines de lutte contre le terrorisme auraient accès aux données des transactions bancaires du réseau mondial de la SWIFT. Sur la base des informations reçues, nous avons procédé à des éclaircissements avec les principaux responsables du secteur bancaire en Suisse et agi à différents niveaux en vue de trouver une solution à cette affaire SWIFT.

Conférence internationale des commissaires à la protection des données

La 28ème Conférence internationale des commissaires à la protection des données et à la vie privée s’est déroulée à Londres les 2 et 3 novembre 2006. Sous le thème «Vers une société de surveillance?», les dangers de la société de surveillance étaient au centre des débats. Les commissaires ont fait le constat que la société de surveillance était aujourd’hui une réalité et ont souligné l’importance que revêt dans ce contexte le droit à la protection des données. Celui-ci constitue un droit fondamental nécessaire à l’exercice des autres droits et des libertés fondamentales dans une société démocratique. Les commissaires ont en outre adopté une résolution sur la protection de la vie privée et les moteurs de recherche. Ils ont unaniment soutenu une initiative de la CNIL visant à améliorer la communication sur la protection des données et de rendre cette dernière plus effective.

Loi fédérale sur le principe de la transparence dans l’administration

Le principe de transparence a été introduit dans l’administration fédérale le 1er juillet 2006. Il crée un droit d’accès aux documents officiels, directement invocable en justice. Il attribue en outre de nouvelles tâches au Préposé fédéral à la protection des données: désormais, celui-ci est l’organe de conseil et de médiation en matière de transparence et se dénomme Préposé fédéral à la protection des données et à la transparence (PFPDT).

Informations complémentaires

Documents

Publications

Commande

Le rapport annuel peut être commandé à l'OFCL, Vente de publications, 3003 Berne. Art. no. 410.014

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/14e-rapport-d-activites-2006-2007.html