16ème rapport d'activités 2008/2009

Vous trouvez ci-dessous une sélection des articles du 16ème rapport d'activités du PFPDT. Le texte intégral peut être téléchargé sous forme PDF depuis notre site ou être commandé auprès de l'Office fédéral des constructions et de la logistique OFCL. Vous trouvez les informations à ce sujet à droite sur cette page.

Avant-propos

Ténacité et pragmatisme: les deux maîtres-mots d'une véritable protection des données

Facebook et les autres sites de réseautage social sur Internet rencontrent un succès croissant. Leurs utilisateurs se comptent aujourd'hui par millions. Les jeunes surtout trouvent très «cool» de se faire des «amis» par voie électronique et d'échanger nouvelles et impressions, étalant ainsi au grand jour des aspects très personnels de leur vie. Mais les moins jeunes ne sont pas en reste et utilisent de plus en plus ce qui est devenu un véritable instrument de mobilisation: en effet, les acteurs de la vie politique ont compris que les plateformes de réseautage social permettaient d'atteindre de nombreux électeurs par effet de boule de neige, et ce presque gratuitement. Ainsi, il semblerait que le nouveau président des Etats-Unis Barack Obama doive son élection à l'utilisation des médias sociaux durant sa campagne électorale. En Suisse aussi, les politiques ont découvert le réseautage social. Le référendum contre les passeports biométriques est le premier ayant abouti grâce à Internet. Aujourd'hui, la Toile est une source d'informations toujours plus riche que de très nombreux acteurs de la société, de l'employeur aux services secrets, mettent à profit au service de leurs intérêts.

Certification de produits/systèmes en matière de protection des données

Nous avons reçu le mandat d'édicter dans les meilleurs délais les directives fixant les critères spécifiques qu'un produit doit remplir dans le cadre d'une certification. Or, cette tâche s'avère particulièrement difficile, étant donné qu'une certification ISO 15408 étendue à la protection des données est intrinsèquement complexe, en partie déphasée par rapport à notre situation législative et surtout difficile à mettre sur pied. Pour ce qui concerne les services de la technologie de l'information (services TI), la norme ISO 20000 se prêterait a priori assez bien, mais le législateur ne semble pas avoir voulu couvrir ce domaine. Finalement, il y a bien le catalogue de critères EuroPriSe, mais ce dernier forme un amalgame assez hardi entre produits et services, et ressemble plus à une liste de questions portant sur des produits ou services et leurs exploitants, et n'est en outre guère adapté au droit suisse.

Conclusion d'un accord établissant une sphère de sécurité entre la Suisse et les Etats-Unis («U.S-Swiss safe harbor framework»)

Les Etats-Unis ne disposent pas d'une protection des données d'un niveau adéquat, de sorte que le transfert de données personnelles vers une entreprise aux Etats-Unis nécessite que les deux parties conviennent de garanties spéciales. En collaboration avec le Secrétariat d'Etat à l'économie (SECO), nous avons élaboré avec les Etats-Unis un ensemble de règles garantissant un niveau suffisant de protection des données pour les entreprises enregistrées. Ainsi, le transfert de données entre les entreprises suisses et les entreprises américaines enregistrées est considérablement facilité.

Vidéosurveillance respectueuse de la protection des données grâce au chiffrement

La vidéosurveillance est en constante évolution. Grâce aux diverses méthodes de cryptage des images et à la division des clés de chiffrement, il est possible de développer des technologies respectueuses de la protection des données et d'éviter d'éventuels abus. Les accords entre développeurs et producteurs permettent de mieux diffuser ces technologies.

Traitement de données par des instituts de recherche de marché et sociales

Soucieuse de respecter les principes de la LPD et de se démarquer ainsi de certaines entreprises peu sérieuses actives dans le domaine du marketing direct, l'Association suisse des spécialistes en recherches de marché et sociales nous a contactés pour nous soumettre diverses questions de protection des données et pour s'assurer que ses méthodes ainsi que sa documentation sont bien conformes à la législation suisse. Nous avons répondu aux questions posées et proposé à la branche diverses améliorations. L'association a suivi nos remarques et adapté ses règlements et directives internes.

Evaluation en ligne de praticiens de la santé

Suite à de nombreuses plaintes relatives au site d'évaluation en ligne de praticiens de la santé www.okdoc.ch, nous avons procédé à un établissement des faits et précisé les exigences en matière de protection des données dans le cadre de l'évaluation en ligne anonyme de praticiens de la santé.

Observations concernant les sites d'évaluation sur Internet

Les évaluations sur Internet de groupes professionnels divers (médecins, professeurs, enseignants, etc.) sont devenus de plus en plus populaires. Une évaluation en ligne pouvant porter atteinte à la personnalité de l'individu évalué, nous avons décidé d'analyser plusieurs sites d'évaluation. Au terme de nos analyses, nous avons mis au point des principes portant sur la structure et l'utilisation des sites d'évaluation dans le but de fournir des conseils utiles aux utilisateurs, aux administrateurs de ces sites et aux personnes concernées. Ce rapport peut être consulté en annexe (ch. 4.1.2) ou sur notre site web www.leprepose.ch, sous la rubrique Thèmes - protection des données - internet.

Outils d'évaluation pour les sites web

Sur mandat de l'administration fédérale et suite à diverses demandes émanant de particuliers, nous avons analysé les outils d'évaluation de sites web sous l'angle de la protection des données. A notre avis, différentes conditions doivent être remplies lorsque des outils d'évaluation sont utilisés pour établir des statistiques d'accès à des sites web. En particulier, il faut signaler à l'utilisateur, dans une déclaration de protection des données, que des données le concernant sont collectées et lui indiquer à qui elles sont transmises (y compris l'indication du pays). Si les données sont acheminées vers un pays dont le niveau en matière de protection des données n'est pas adéquat, il faut convenir, avec le prestataire de l'outil d'évaluation, des garanties qui assurent un niveau de protection suffisant.

Demandes d'accès concernant le système d'information ISIS

Le nombre des demandes d'accès concernant le système d'information ISIS a connu une augmentation fulgurante en 2008. C'est d'ailleurs la première fois que nous avons pu à informer de manière appropriée quelques-uns des requérants sur l'existence d'enregistrements. Il serait souhaitable qu'un droit d'accès direct soit introduit pour ISIS, tel que cela vient d'être fait pour JANUS et GEWA.

Introduction de données biométriques dans les documents d’identité

Plusieurs demandes nous ont été adressées en rapport avec le référendum contre l'arrêté fédéral du 13 juin 2008 portant approbation et mise en oeuvre de l'échange de notes entre la Suisse et la Communauté européenne concernant la reprise du Règlement (CE) 2252/2004 relatif aux passeports biométriques et aux documents de voyage (Développement de l'Acquis de Schengen). Nous avons renvoyé à notre position (cf. 15e rapport d'activités 2007/2008, ch. 1.1.3) en rappelant d'une part que le règlement susmentionné ne prévoit pas la conservation des données biométriques au-delà du temps nécessaire à l'établissement des documents et d'autre part que nous ne soutenons pas la conservation centralisée des données biométriques dans les fichiers relatifs aux documents d'identité.

Systèmes de reconnaissance faciale dans les stades de sport

Nous avons été invités à prendre position sur deux des aspects du projet «Sécurité dans le sport». Il s'agissait avant tout des sujets «Recours à la biométrie ou à des dispositifs de reconnaissance faciale aux entrées d'un stade» et «Mise en relation des enregistrements vidéo dans les stades avec la biométrie ou la reconnaissance faciale». Le recours à des systèmes de reconnaissance faciale dans les stades est autorisé selon la loi sur la protection des données lorsque certaines conditions sont respectées.

Transmission d’expertises médicales

La transmission d'une expertise médicale est une procédure délicate car elle consiste à transmettre des données personnelles particulièrement sensibles à un tiers. C'est pourquoi des bases légales spéciales claires existent dans certains cas pour la transmission intégrale d'expertises médicales sans le consentement explicite de la personne concernée. En l'absence de telles bases, les dispositions générales sur la protection des données doivent être respectées. Il y a lieu en particulier d'observer le principe de la proportionnalité.

Normes et architecture de la stratégie suisse en matière de cybersanté «eHealth»

Le 27 juin 2007, le Conseil fédéral a adopté la stratégie suisse en matière de cybersanté «eHealth». Celle-ci désigne entre autres deux objectifs: définir les standards nécessaires à la mise en œuvre de la stratégie ainsi qu'une architecture appropriée pour la cybersanté. Le mandat qui en résulte a été attribué au projet partiel «Normes et architecture». Les résultats de ce travail serviront de base aux autres projets partiels. C'est la raison pour laquelle nous avons décidé de collaborer activement à ce projet.

Le consentement des personnes concernées lors de projets de recherche médicale

Les données pour la recherche doivent en principe être mises à disposition des chercheurs de manière anonyme. Dans la mesure où cela n'est pas possible, les personnes concernées doivent donner leur consentement. Si l'obtention du consentement n'est pas envisageable, il existe la possibilité d'effectuer les projets de recherche avec une autorisation de la Commission d'experts pour le secret professionnel dans la recherche médicale. Il existe aujourd'hui des systèmes qui prennent en compte différentes procédures permettant de mettre les données à disposition des chercheurs sous forme anonymisée.

Révision totale de la loi sur le contrat d’assurance

Le Conseil fédéral a adopté le message relatif à la révision totale de la loi sur le contrat d'assurance (LCA). Cette révision améliore les dispositions concernant l'information précontractuelle. Une nouveauté est le droit de révocation pour tous les contrats d'assurance. Les dispositions sur les informations relatives à la protection des données ont été reprises mot pour mot. En outre, conformément au projet de révision, les informations précontractuelles devront désormais être remises impérativement à l'assuré avant la déclaration de volonté qui le lie. La majorité de nos commentaires et requêtes ont été pris en compte.

La fonction de médecin-conseil dans les divers domaines d’assurance

En tant que service de conseil juridique, le PFPDT reçoit régulièrement des demandes concernant des problèmes liés à la protection des données dans le domaine de la santé publique. Un des thèmes qui tient l'affiche est celui de l'engagement de médecins-conseil dans les divers domaines d'assurance.

Révision de la loi sur le personnel fédéral de la Confédération

La révision de la loi fédérale sur le personnel de la Confédération a pour but de créer la base formelle pour le traitement de données personnelles sensibles et de profils de la personnalité dans le système de gestion des données relatives au personnel de l'administration fédérale BV PLUS. La plupart des recommandations que nous avions émises à l'occasion de la première consultation des offices ont été également ignorées dans le nouveau projet de règlement.

Questionnaire relatif à l’admission dans une caisse de pension

Ce n'est que dans le domaine de l'assurance surobligatoire que des données relatives à la santé peuvent être prélevées au moment de l'admission dans une caisse de pension. S'agissant de l'admission dans l'assurance obligatoire, la caisse de pension n'est pas autorisée à demander ce genre d'informations puisqu'il existe un devoir légal d'admission.

Révision du droit des poursuites et faillites

Nous estimons que l'inscription de données sur l'extrait du registre des poursuites est actuellement réglementée de manière trop peu différenciée. Nous avons donc proposé, dans le cadre de la consultation des offices en vue de la révision de la loi sur la poursuite pour dettes et faillites (procédure d'assainissement), de modifier les délais d'inscription. A notre avis, un échelonnement de ceux-ci répond mieux aux exigences de la protection des données et peut inciter la personne concernée à régler plus rapidement ses factures impayées.

Recommandation en matière d’évaluation des locataires

Au cours de l'année 2008, nous avons procédé à un examen des faits auprès d'une société de renseignements économiques. La société en question offre depuis peu un service permettant aux bailleurs de vérifier les données concernant les locataires et de réduire le risque de pertes de loyers. Nous avons constaté des lacunes au niveau de la pertinence en matière de solvabilité des données offertes ainsi que de la garantie du droit à l'information et du droit à l'effacement des données. Nous avons donc émis une recommandation.

Communication de données personnelles à des tiers par des associations et des organisateurs de manifestations sportives

Les associations ou les organisateurs d'une manifestation ne peuvent sans autre communiquer à leurs sponsors ou à d'autres tiers les adresses de leurs membres ou des participants. Une communication de données personnelles à des fins de marketing ne peut être justifiée que par le consentement libre et éclairé des personnes concernées. Nous avons rendu les personnes responsables attentives aux conditions légales d'un traitement de données et leur avons recommandé d'adapter leurs statuts et leurs règlements en conséquence.

Mise en œuvre Schengen: La protection des données au niveau fédéral

Après avoir collaboré à l'évaluation de protection des données effectuée par l'Union européenne, nous avons commencé à développer nos activités de surveillance et d'information dans le cadre de Schengen. Nous avons mis en place un groupe de coordination avec les autorités cantonales de protection des données. Nous avons procédé à un contrôle auprès d'une représentation diplomatique suisse à l'étranger et publié des documents d'information sur notre site web.

Mise en œuvre Schengen: Contrôle du PFPDT auprès de la représentation diplomatique suisse en Ukraine

En notre qualité d'autorité de surveillance des organes fédéraux autorisés à utiliser le système d'information Schengen (SIS), nous avons procédé à un contrôle auprès de la représentation diplomatique suisse en Ukraine à Kiev. Celui-ci avait pour objet les processus de traitement de données personnelles dans la procédure d'établissement des visas et autres titres de séjour en vue de l'entrée de ressortissants d'Etats tiers dans l'espace Schengen via la Suisse.

Demandes d’accès reçues auprès de l’Administration fédérale

Selon les offices fédéraux, le nombre de demandes d'accès et de demandes en médiation a légèrement diminué par rapport à l'année précédente. On peut cependant se demander si toutes les demandes ont effectivement été saisies et communiquées. Le pourcentage des accès (communiqués) qui ont été entièrement ou partiellement accordés est plus ou moins égal à celui de l'année précédente. En ce qui concerne les demandes en médiation, nous avons réussi dans la moitié des cas à obtenir un résultat plus favorable pour le requérant.

Demandes en médiation déposées auprès du PFPDT

En 2008, nous avons reçu en tout 25 demandes en médiation (cf. la statistique au chiffre 3.7). L'année précédente, elles étaient encore au nombre de 36.En tout, 27 demandes en médiation déposées dans les années 2007 et 2008 ont pu être closes.

Informations complémentaires

Documents

Publications

commande

Le rapport annuel peut être commandé à l'OFCL, Vente de publications, 3003 Berne.
Art. no. 410.016

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/16eme-rapport-d-activites-2008-2009.html