11.09.2020 - Dispositions sur le traitement des données dans la nouvelle loi sur la police douanière insuffisantes

11.09.2020 - Sous l'acronyme « loi fédérale sur les tâches d'exécution de l’OFDF », le Conseil fédéral a ouvert aujourd'hui la procédure de consultation sur un paquet législatif avec lequel il entend créer la base légale du programme de numérisation et de transformation (DaziT) de l'Administration fédérale des douanes. DaziT est un grand projet financièrement important et sensible pour la protection des données. Il prévoit notamment le transfert de l'actuelle Administration douanière et du Corps des gardes-frontières intégré à celle-ci vers un office de police douanière nouvellement créé, « l’Office fédéral de la douane et de la sécurité des frontières » (OFDF). L'ensemble du personnel de cet office sera doté de pouvoirs de police et donc de la compétence pour collecter des données de manière contraignante.

Lors de la consultation des offices, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a fait remarquer en vain à l'Administration fédérale des douanes que, selon lui, les dispositions prévues en matière de traitement des données personnelles présentent de graves lacunes. En particulier, ils manquent la certitude requise par la loi sur la protection des données, qui permettrait à la population d'évaluer le traitement étatique des données qui empiète sur leur vie privée et leur autodétermination, ainsi que les droits de protection dont ils disposent à cet égard.

Le Préposé a conseillé au Conseil fédéral que le Gouvernement et le Parlement, en tant qu'organes politiques de la Confédération, se réservent le droit de régler les principales caractéristiques du nouveau traitement des données à effectuer dans un système d’information unique de police douanière et les interfaces avec ce système. Dans sa forme actuelle, le projet de loi laisse au nouvel office de police douanière le soin de procéder au traitement des données personnelles dans son système, qui repose sur un grand nombre de tâches administratives, fiscales, policières et pénales, selon des règles largement autonomes et de relier les informations en fonction des besoins. Le rapport explicatif ne contient pas de justification convaincante de la nécessité de cette dérogation drastique à la législation douanière actuelle.

Ces lacunes juridiques dans le traitement des données sont aggravées par des lacunes factuelles dans les règlements. Par exemple, le concept «d'analyse de risque», qui est mentionné 44 fois, court comme un fil rouge à travers le projet de loi, sans que celui-ci ne précise suffisamment en quoi consiste ce mode de traitement, dans le cadre duquel le nouvel office de police douanière doit traiter des données personnelles sensibles concernant, entre autres, la sphère intime ou les opinions religieuses, idéologiques et politiques.

Sur la base de ces indications, le Conseil fédéral a chargé l'administration de réviser les dispositions relatives au traitement des données, ce qui est insinué dans les documents de la consultation. Le Préposé s'en félicite. Cependant, il a fait valoir en vain que la révision aurait dû être faite avant l'ouverture de la procédure de consultation.