17ème rapport d'activités 2009/2010

Vous trouvez ci-dessous une sélection des articles du 17ème rapport d'activités du PFPDT. Le texte intégral peut être téléchargé sous forme PDF depuis notre site ou être commandé auprès de l'Office fédéral des constructions et de la logistique OFCL. Vous trouvez les informations à ce sujet à droite sur cette page.

Avant-propos

Ruée vers l'or sur Internet - la fin de la sphère privée?

Il ne se passe guère de semaine sans que des géants de la Toile comme Google ou Facebook ne lancent de nouveaux produits ou services, aussi novateurs qu'impressionnants. Ceux-ci fonctionnent toujours selon le même modèle: ils sont gratuits, les fournisseurs assurant leurs revenus par le biais de la publicité. Plus le nombre des utilisateurs s'accroît et plus leurs besoins sont analysés de manière ciblée, plus les recettes publicitaires des fournisseurs augmentent. Ces derniers mettent donc tout en oeuvre pour rassembler un maximum d'utilisateurs et de possibilités de publicité. Voici quelques exemples récents:

Certification de systèmes de gestion de la protection des données: accréditations

Le Service d'accréditation suisse (SAS) a accrédité les premières entreprises privées suisses pour la certification de l'organisation et de la procédure en matière de protection des données. Nous avons pu l'accompagner dans ce processus. Les noms des entreprises accréditées sont publiés sur le site web du SAS.

Recensement 2010

En 2010, grâce à l'harmonisation des registres, le recensement de la population sera pour la première fois effectué selon le nouveau système. Avec ce dernier, de gros volumes de données seront collectés chaque année auprès des citoyennes et citoyens. Nous avons accompagné plusieurs projets et nous avons pu constater que les acteurs sont en principe sensibilisés aux questions de protection des données.

ESPA - Enquête téléphonique statistique de la Confédération

En automne 2009, les personnes physiques ont été pour la première fois obligées de répondre à ESPA, l'enquête suisse sur la population active. Cette obligation ainsi que le fait que l'enquête a été effectuée par un institut privé, mandaté par l'Office fédéral de la statistique (OFS), a soulevé une vague de protestations et déconcerté beaucoup de citoyennes et citoyens. Nous avons conseillé l'OFS dans cette affaire et avons pris position à ce sujet.

La nouvelle loi relative à la recherche sur l'être humain

Le projet de loi relatif à la recherche sur l'être humain a été adopté en octobre 2009 par le Conseil fédéral, puis déféré au Parlement pour qu'il en débatte. Nous avons eu l'occasion, dans le cadre d'une consultation des offices, de prendre préalablement position. Le projet de loi prévoit une clause échappatoire pour les chercheurs travaillant dans le domaine de la réutilisation d'échantillons biologiques et de données personnelles relatives à la santé d'une personne. Nous considérons cela comme hautement problématique.

Procédure de consultation relative à la loi fédérale sur le numéro d'identification des entreprises

Lors des diverses procédures de consultation, nous avons souligné les possibilités de surveillance et d'atteintes à la personnalité inhérentes à l'utilisation du numéro d'identification des entreprises (IDE) dans le domaine Business to Business, en particulier le risque de profilage. De plus, nous avons recommandé d'une part que l'utilisation de l'IDE dans ce domaine soit interdite ou à tout le moins limitée, d'autre part que l'Office fédéral sur la statistique ne publie l'IDE sur internet que si la personne concernée a donné son consentement.

Systèmes de reconnaissance biométrique: Suivi du contrôle au centre sportif KSS

Le Tribunal administratif fédéral considère que le stockage des données biométriques dans une base de données centralisée dans le cadre du contrôle d'accès à un centre de sport et de détente représente une atteinte disproportionnée à la personnalité des personnes concernées.

Prise de position sur le registre des accidents de la route (Via sicura)

Nous avons pris position sur le projet de registre des accidents de la route. Celui-ci comprend un registre de saisie et un registre d'analyse. Comme des données personnelles sensibles devront également être traitées, un tel traitement doit être prévu par une loi au sens formel.

La mise au pilori des chauffards?

Il n'est sans aucun doute pas dans l'intérêt de la protection des données de protéger les chauffards irresponsables. Nous doutons cependant que l'exposition publique soit un moyen de dissuasion adéquat. La souveraineté policière en matière de répression des infractions au code de la route appartient aux cantons. Cela signifie donc que les responsables cantonaux de protection des données sont appelés à concerter leurs actions.

Révision de la loi sur l'encouragement du sport

Dans le cadre de la révision totale de la loi fédérale encourageant la gymnastique et les sports, nous avons proposé deux adaptations législatives constituant une base légale pour les contrôles de dopage, ce qui devrait faciliter l'échange de données entre les différents organes de lutte antidopage. Nos propositions ont été acceptées et intégrées dans la loi. La révision de loi accroît la sécurité du droit pour les sportifs dans le domaine de la lutte contre le dopage.

Protection des données et RFID

La plupart des citoyens connaissent la technologie RFID (Radio Frequency Identification) par les commerces, dans lesquels des appareils de lecture et écriture sont placés près de la caisse. Lorsqu'une radio-étiquette RFID non désactivée se trouve encore sur ou dans un produit, le lecteur déclenche une alarme au passage. De telles étiquettes se rencontrent de plus en plus fréquemment sur les marchandises, mais se trouvent également p.ex. dans les titres de transport des chemins de fer de montagne, les livres de bibliothèque, les dispositifs antidémarrage de voitures et la gestion des bagages d'avions. La technologie RFID présente en particulier le risque de pouvoir traiter des données à l'insu des personnes intéressées. 

La cyberadministration et le citoyen numérique

Le nouveau numéro AVS est de plus en plus utilisé comme identificateur de personne dans divers projets de cyberadministration. On ignore volontiers dans ce contexte qu'une utilisation de ce numéro à ces fins doit d'abord faire l'objet d'une base légale.

Prises de vue des voies publiques sur Internet: Google Street View

Après examen approfondi de Google Street View, nous avons estimé que ce service de navigation en ligne présentait des lacunes importantes du point de vue de la protection des données. Par ailleurs, nous avons reçu de nombreuses plaintes de personnes concernées. Nous avons donc établi une recommandation, puis déposé plainte contre Google auprès du Tribunal administratif fédéral.

Prises de vue de la voie publique sur Internet: Touchtown

Une entreprise exploite sur le site «touchtown.ch» un produit concurrent à Google Street View, aux fonctions tout à fait comparables. Toutefois, par rapport à Google, la société Annularspace GmbH a une autre approche de la collecte de données que nous considérons comme conforme aux principes de la protection des données.

Analyse de l'utilisation de sites web

Google Analytics est un service d'analyse de l'utilisation de sites web fourni par la société Google, Inc. Les données nécessaires sont transmises aux serveurs de Google situés aux Etats-Unis pour y être analysés. La société Google ayant adhéré aux principes de la «sphère de sécurité» (Safe harbor), Google Analytics peut être utilisé à certaines conditions tant par les organes fédéraux que par des particuliers sans que des garanties spécifiques ne doivent être convenues.

Mise en œuvre Schengen: contrôle du PFPDT auprès de la Police judiciaire fédérale

Le premier contrôle relatif aux traitements des données effectués dans le Système d'information Schengen a montré que la Police judiciaire fédérale, en tant qu'utilisatrice finale, respecte les exigences légales de sécurité et de protection des données.

Groupe de coordination Schengen des autorités suisses de protection des données

Sur la base de l'ordonnance correspondante, nous avons pris l'initiative de constituer un groupe de coordination des autorités suisses de protection des données dans le cadre de la mise en œuvre des accords d'association à Schengen. Nous avons convoqué ce groupe de coordination à deux reprises en 2009.

Avant-projet de révision de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication

Dans le contexte de l'introduction du nouveau code de procédure pénale suisse et dans le cadre de la consultation des offices, nous avons apporté diverses remarques sur l'avant-projet de révision de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Nous avons en particulier critiqué le manque d'informations sur l'efficacité de l'installation des programmes informatiques sur des systèmes de traitement des informations à l'insu des personnes concernées,. Nous avons également critiqué la notion très vague de fournisseur de services Internet, ainsi que l'application confuse des délais de conservation.

Cybersanté (eHealth): appréciation de l'architecture proposée

L'architecture proposée pour la cybersanté (eHealth) peut être qualifiée de conforme aux exigences de la protection des données. Nous nous sommes particulièrement engagés dans le groupe restreint du projet partiel «Normes et architecture» pour que les exigences fondamentales telles que le droit à l'autodétermination en matière d'information soient prises en compte dans la structure décentralisée et l'adéquation de l'architecture.

Collecte de données de patients pour la recherche médicale

Nous avons constaté que les hôpitaux bénéficiant d'une autorisation générale de la commission d'experts dérogeant au secret professionnel dans la recherche médicale sont, dans de nombreux cas, faussement partis du principe qu'ils ne devaient pas obtenir de consentement auprès des patients concernés pour les travaux de recherche. Avec une autorisation générale, il n'est pas nécessaire d'obtenir le consentement uniquement lorsque cela serait disproportionnellement difficile, impossible ou inacceptable.

Case management (Gestion des cas)

Des données personnelles sensibles sont traitées dans le cadre du case management (gestion des cas). Du fait que les gestionnaires de cas agissent tant dans l'intérêt du mandant que dans celui de la personne concernée et que des conflits d'intérêts peuvent en résulter, les principes de la finalité et de la transparence doivent être scrupuleusement respectés.

Enregistrement des fichiers des caisses-maladie

Les assurances-maladie obligatoires sont considérées comme des autorités fédérales et doivent nous déclarer leurs fichiers ou désigner un responsable de la protection des données. Manifestement, certaines incertitudes subsistent notamment auprès des petites caisses-maladie.

Permanence téléphonique dédiée aux abus de l'aide sociale

Un parti politique a publié un numéro de téléphone que les citoyens désirant dénoncer un abus de l'aide sociale pourront composer. Plusieurs questions d'ordre juridique se sont posées dans ce contexte. Nous estimons que la lutte contre l'abus en matière d'aide sociale répond certes à un intérêt public, mais le traitement de ces informations est la tâche exclusive des autorités compétentes.

Le contrôle de présence à l'aide des empreintes digitales

Une entreprise nous a demandé comment mettre en place un système de contrôle de la présence et de saisie du temps de travail des collaborateurs sur la base des empreintes digitales. Afin de limiter les risques de traitement de données biométriques, nous avons recommandé à l'entreprise de n'utiliser non pas les empreintes digitales elles-mêmes, mais seulement un extrait des images d'empreintes.

Logiciels espions au poste de travail

Au cours de l'année écoulée, nous avons à plusieurs reprises reçu des plaintes concernant l'utilisation de divers programmes informatiques permettant une surveillance absolument continue des collaborateurs sur leur lieu de travail. Dans tous les cas, nous avons réussi à convaincre les entreprises concernées de modifier cette pratique, conformément aux principes de la protection des données.

Contrôle de santé pour les collaborateurs de la Poste

La Poste nous a présenté un projet de gestion de la santé visant pour l'essentiel la promotion de la santé, la gestion des absences ainsi que la gestion des cas d'accident ou de maladie. Certaines données médicales des collaborateurs seront traitées par l'employeur. Nous avons analysé ce projet et n'avons rien à lui objecter dans la mesure où, du point de vue de la protection des données, certaines conditions sont respectées.

Obligation de déclarer pour les maîtres de fichiers étrangers

L'obligation de déclarer un fichier est une disposition de droit public s'appliquant selon le principe de la territorialité. Cette obligation existe pour des personnes privées lorsqu'elles traitent régulièrement des données personnelles sensibles ou des profils de la personnalité, ou lorsqu'elles communiquent régulièrement des données personnelles à des tiers.

Communication de données des membres d'une association sportive à des fins de marketing (RO)

Une fédération sportive suisse a demandé à ses clubs une liste de tous leurs membres. Ces données devaient être vendues à des fins de marketing. Plusieurs clubs nous ont demandé si cette manière de faire était correcte et s'ils avaient le droit de transmettre ces données personnelles. Nous leur avons expliqué qu'ils avaient besoin, pour transmettre ces adresses, du consentement des personnes concernées et nous avons enjoint la fédération d'attirer l'attention des clubs sur la situation juridique et de n'utiliser en aucun cas les données déjà livrées. Le recueil du consentement de chaque membre pourrait cependant être externalisé par les clubs et être confié à la fédération.

Protection des données dans le trafic international des paiements (SWIFT)

Suite au conflit concernant l'accès des Etats-Unis à des données de transactions financières qui étaient enregistrées sur les serveurs du prestataire de services financiers SWIFT, ce dernier a ouvert en Suisse deux nouveaux centres opérationnels. Cette mesure devrait permettre de répondre à nos préoccupations et à celles des autorités européennes en matière de protection des données. En outre, les Etats-Unis ont passé avec l'Union européenne (UE) une convention devant permettre, dans le cadre de la lutte contre le terrorisme international, l'accès aux données SWIFT enregistrées dans l'UE.

Révision totale de l'ordonnance relative à la nouvelle loi régissant la taxe sur la valeur ajoutée

L'ordonnance relative à la nouvelle loi régissant la taxe sur la valeur ajoutée (OTVA) prévoit la communication de données par procédure d'appel. Le principe de légalité ainsi que le secret fiscal sont applicables en matière de législation fiscale. Notre remarque concernant la procédure d'appel ainsi que notre proposition de créer une ordonnance séparée sur la protection des données ont été complètement ignorées dans le projet d'OTVA. Il manque donc actuellement une base légale suffisante pour une procédure d'appel.

Demandes d’accès reçues auprès de l’Administration fédérale

Le nombre des demandes d'accès déposées est pratiquement identique à celui de l'année précédente. Considéré sur plusieurs années, le pourcentage des accès entièrement refusés est en diminution constante. Par contre, au cours de l'année écoulée, davantage d'accès partiels ont été accordés et les demandes de médiation déposées sont en nette augmentation.

Demandes en médiation déposées auprès du PFPDT

En 2009, nous avons reçu en tout 41 demandes en médiation. L'année précédente, elles étaient au nombre de 25. En tout, 29 demandes en médiation ont pu être menées à terme. Dans neuf cas, une solution consensuelle a pu être trouvée avec les parties impliquées. Dans 18 cas nous avons émis des recommandations, car une solution à l'amiable n'a pu être trouvée ou était d'emblée inenvisageable, Parfois nous avons pu clore plusieurs demandes en médiation avec une seule recommandation. Une demande a été retirée et dans un cas, celle-ci n'a pas été remise dans les délais.

Informations complémentaires

Documents

Publications

Commande

Le rapport annuel peut être commandé à l'OFCL, Vente de publications, 3003 Berne.
Art. Nr. 410.017

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/17eme-rapport-d-activites-2009-2010.html