Préposé Rapport 2011-2012

19e Rapport d'activits 2011/2012
Prpos fdral la protection des donnes et la transparence
Rapport dactivits 2011/2012 du Prpos fdral la protection des donnes et la transparence
Le Prpos fdral la protection des donnes et la transparence est tenu de fournir priodiquement lAssemble fdrale un rapport sur son activit (art. 30 LPD). Le prsent rapport couvre la priode du 1er avril 2011 au 31 mars 2012.
19e Rapport dactivits 2 0 11/2012 du PFPDT
Ce rapport est galement disponible sur Internet (www.edoeb.admin.ch) Distribution: OFCL, Vente des publications fdrales, CH-3003 Berne www.bbl.admin.ch/bundespublikationen No dart. 410.019.d/f
Table des matires

Avant-propos Bilan et perspectives .................................................. 7 Rpertoire des abrviations ..................................................................... 13 1. Protection des donnes................................................................... 17
1.1
1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7
Droits fondamentaux ............................................................................. 17

Externalisation dans le cadre du recensement de la population .................... 17 Demandes de citoyens concernant les enqutesstatistiques ......................... 18 Utilisation du numro AVS dans la statistique .................................................. 19 Aspects thoriques du nouveau numro AVS .................................................. 19 Cas non recenss de violence des jeunes ........................................................ 21 change de donnes facilit entre les autorits fdrales et cantonales ...... 21 Thinkdata.ch un outil de sensibilisation la protection des donnes et la transparence ............................................................................ 23
1.2
1.2.1 1.2.2 1.2.3 1.2.4 1.2.5 1.2.6 1.2.7 1.2.8 1.2.9 1.2.10 1.2.11 1.2.12 1.2.13 1.2.14
Protection des donnes Questions dordre gnral ........ 24

Protection des donnes et dons en cas de deuil ............................................. 24 Protection des donnes dans les bibliothques .............................................. 25 Exonration de la redevance radio et tlvision ............................................... 26 Vidosurveillance dans les transports publics ................................................. 26 change de donnes concernant les resquilleurs ........................................... 28 Vidosurveillance de lespace public effectue par des particuliers ............... 30 Enregistrement de donnes biomtriques: variantes conformes aux exigences de la protection des donnes .......................................................... 31 Systme de reconnaissance biomtrique pour la rservation despaces sportifs: Clture de la procdure ....................................................................... 33 Stockage centralis de photos de clients dans les stations de ski .................. 34 Le traitement de donnes personnelles en relation avec des manifestations sportives .................................................................................... 35 Publication de photos de hooligans par un club de football ............................ 36 Formulaire pour le contrle mdical subsquent effectu par un mdecin-conseil ................................................................................................. 37 Contrles relatifs llaboration des rglements de traitement dans ladministration fdrale .................................................................................... 37 Exigences envers un rglement de traitement ................................................. 38
1.3
1.3.1 1.3.2 1.3.3 1.3.4
Internet et tlcommunication ........................................................ 40

Golocalisation laide dappareils mobiles ..................................................... 40 Marketing en ligne: protection des utilisateurs dInternet................................ 41 Courriels non sollicits (pourriels ou spam) ...................................................... 43 Prises de vue des voies publiques sur Internet ................................................ 44
1.3.5 1.3.6 1.3.7 1.3.8 1.3.9 1.3.10 1.3.11

1.3.12 1.3.13 1.3.14
1.4
1.4.1 1.4.2 1.4.3 1.4.4 1.4.5 1.4.6 1.4.7 1.4.8 1.4.9
1.5
1.5.1 1.5.2 1.5.3 1.5.4 1.5.5
Intgration de plugins sociaux sur des sites Internet ....................................... 45 Plateforme Internet dvaluation des bailleurs immobiliers ............................. 46 change de contenus sur Internet Situation juridique aprs larrt Logistep .................................................................................................... 47 Surveillance lectronique: protection contre la copie des jeux informatiques .............................................................................................. 49 Utilisation des donnes dadresses issues de formulaires de contact pour lvaluation de sites web ........................................................................... 50 Intgration de moteurs de recherche trangers sur les sites web de la Confdration ............................................................................................ 51 La surveillance de lutilisation des moyens dinformation et de communication au sein de ladministration fdrale ....................................... 52 Les normes de cyberadministration et le nouveau numro AVS ..................... 53 Avant-projet de lordonnance GEVER ................................................................ 54 Programme GEVER-Bund: traitement des donnes condentielles et sensibles ......................................................................................................... 55 Justice/Police/Scurit .......................................................................... 56 Mise en uvre Schengen: contrle auprs de lambassade de Suisse Moscou ................................................................................................. 56 Mise en uvre Schengen: analyse des logles du SIS ..................................... 57 Groupe de coordination Schengen des autorits suisses de protection des donnes ..................................................................................... 58 Droit daccs direct dans le domaine de la scurit intrieure (LMSI) ............ 59 Demandes daccs concernant le systme dinformation ISIS ........................ 60 Essai pilote du systme dinformation ISAS ...................................................... 61 Demandes de vrication concernant le N-SIS et les systmes dinformation JANUS et GEWA ........................................................................... 62 Rglementation plus claire pour la surveillance de la correspondance par poste et tlcommunication (LSCPT) .......................................................... 63 Formation au Service de renseignement de la Confdration ........................ 64 Sant et recherche .................................................................................. 65 SwissDRG: rvision de la loi et de lordonnance sur lassurance maladie....... 65 Loi fdrale sur le dossier lectronique du patient .......................................... 66 Saisie systmatique des dossiers par la SUVA.................................................. 67 Examen des faits auprs de la SUVA ................................................................. 68 Circulaire 7.1 de lOfce fdral de la sant publique ...................................... 69
1.5.6
Transmission de donnes un centre de recherches par les services de soins domicile ............................................................................................. 71 1.5.7 La transmission des donnes dans le cadre dessais cliniques ....................... 72 1.5.8 Systme boule de neige dans la recherche ...................................................... 73 1.6 Assurances ................................................................................................... 75 1.6.1 Rvision totale de la loi sur le contrat dassurance .......................................... 75 1.6.2 Lutte contre la fraude lassurance dans le domaine des assurances-vhicules moteur ......................................................................... 76 1.6.3 Entraide administrative fournie aux autorits scales cantonales par lassurance-accidents ............................................................... 77 1.7 Secteur du travail ..................................................................................... 79 1.7.1 Questions du public concernant la surveillance sur le lieu de travail.............. 79 1.7.2 Remise de certicats des caisses de pension Jugement du Tribunal administratif fdral ............................................................................. 80 1.7.3 Dossiers personnels lectroniques dans ladministration fdrale ................. 80 1.7.4 Contrle du systme dinformation en matire de placement et de statistique du march du travail ........................................................................ 81 1.8 conomie et commerce ........................................................................ 83 1.8.1 La protection des donnes face linformatique en nuage............................. 83 1.8.2 Traitement de donnes par des socits de renseignements commerciaux, conomiques et sur la solvabilit ............................................. 84 1.8.3 Traitement de donnes personnelles par un fournisseur de services de tlcommunication ....................................................................................... 85 1.8.4 Nouvelle ordonnance de la FINMA sur les donnes ........................................ 86 1.8.5 Traitement de donnes personnelles dans le secteur de la vente dadresses ................................................................................................ 87 1.8.6 Utilisation de ladresse publie dans lannuaire des ns de marketing........ 88 1.9 Finances ......................................................................................................... 90 1.9.1 Communication de donnes des autorits scales trangres ................... 90 1.9.2 tude concernant la modernisation des poursuites en Suisse ....................... 92 1.9.3 Rvision de lordonnance rgissant la taxe sur la valeur ajoute ................... 94 1.9.4 Obligation de renseigner des tablissements cantonaux dexcution des peines envers les ofces des poursuites ................................................... 94 1.10 International................................................................................................ 97 1.10.1 Coopration internationale ................................................................................ 97
2.
2.1
2.1.1 2.1.2 2.1.3
Principe de la transparence ....................................................... 107

Demandes daccs ................................................................................. 107
Dpartements et ofces fdraux ................................................................... 107 Services parlementaires ................................................................................... 108 Ministre public de la Confdration .............................................................. 108
2.2 2.3
2.3.1 2.3.2
Demandes en mdiation..................................................................... 109 Procdures de mdiation closes.................................................... 110

Recommandations ........................................................................................... 110 Mdiations ........................................................................................................ 114
2.4
Dcisions judiciaires relatives la loi sur la transparence ........................................................................ 117

Tribunal administratif fdral ........................................................................... 117
2.4.1
2.5
2.5.1 2.5.2
Consultation des ofces..................................................................... 119

Rvision de la loi sur les cartels ....................................................................... 119 Rvision de lordonnance sur laccrditation et la dsignation ..................... 120 Le PFPDT..................................................................................................... 121 Migration vers Windows 7 et systme de gestion des affaires GEVER .......... 121 Sixime journe de la protection des donnes .............................................. 122 Publications du PFPDT au cours de lanne sous revue ................................ 123 Matriel denseignement pour les jeunes adultes.......................................... 125 Formation pour les tudiants de lUniversit de Neuchtel ........................... 126 Journe de protection des donnes au centre CEDIDAC ............................... 127 Statistique des activits du PFPDT du 1er avril 2011 au 31 mars 2012......................................................................... 128 Statistique des demandes daccs prsentes auprs des dpartements en vertu de lart. 6 de la loi sur la transparence Priode: 1er janvier 2011 au 31 dcembre 2011) ............................................ 131 Statistique des demandes daccs prsentes auprs du Ministre public de la Confdration en vertu de lart. 6 de la loi sur la transparence (Priode: 1er janvier 2011 au 31 dcembre 2011) ........................................... 140 Statistique des demandes daccs prsentes auprs des Services du Parlement en vertu de lart. 6 de la loi sur la transparence (Priode: 1er janvier 2011 au 31 dcembre 2011) ........................................... 141 Nombre de demandes de mdiation par catgories de requrants (Priode: 1er janvier 2011 au 31 dcembre 2011) ........................................... 142 Secrtariat du Prpos fdral la protection des donnes et la transparence .......................................................................... 143
3.
3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8
3.9
3.10
3.11 3.12
Avant-propos Bilan et perspectives

Des amliorations considrables ont t ralises lanne passe dans le domaine de la protection de lEtat. Au cours de la session de dcembre 2011, loccasion de la rvision de la loi fdrale instituant des mesures visant au maintien de la sret intrieure (LMSI), le Parlement a adopt une modication dcoulant du message que nous navons eu de cesse dexprimer: le droit daccs indirect affaiblit les droits des citoyens et ne rsisterait trs probablement pas un examen de la Cour europenne des droits de lhomme. Dsormais, cest le droit daccs direct conformment aux art. 8 et 9 de la loi fdrale sur la protection des donnes (LPD) qui est en principe applicable; celui-ci peut toutefois tre diffr si des intrts prpondrants lexigent. Dans ce cas, la personne ayant requis laccs des donnes la concernant peut demander quun examen soit effectu par le PFPDT qui, en cas derreurs, peut mettre une recommandation. Aucune demande de rfrendum nayant t dpose contre cette modication, le Conseil fdral devrait xer lentre en vigueur de cette modication de loi pour le dbut du mois de juillet 2012. En parallle, suite un recours, le Tribunal fdral sest pench sur la rglementation tablie actuellement lart. 18 LMSI et a, pour la premire fois examin la conformit de cette disposition avec les exigences de la Convention europenne des droits de lhomme (CEDH) dans un arrt rendu le 2 novembre 2011. Cet arrt a amlior considrablement le statut juridique des personnes concernes. La cour suprme helvtique a tabli quun droit daccs indirect tait conforme la CEDH tant que les intrts de la protection de lEtat le justiaient. Nanmoins, contrairement au libell de la disposition, les juges fdraux ont exig quen cas derreurs, le PFPDT puisse mettre non seulement des recommandations, mais aussi des instructions contraignantes. Selon eux, cest le seul moyen pour que le mcanisme de contrle exerc par le PFPDT et le Prsident de la Cour du Tribunal administratif fdral soit vritablement efcace et rponde aux exigences dun contrle indpendant des traitements de donnes effectus par les organes de protection de lEtat. lavenir, le nouvel art. 18 LMSI permettra explicitement au Tribunal administratif fdral dordonner que ces derniers remdient aux erreurs. Nous partons du principe qu lentre en vigueur de la nouvelle LMSI, larrt du Tribunal fdral sera toujours valable et que de ce fait, les recommandations du PFPDT devront avoir un caractre contraignant. Comme en 2010, la formation des jeunes a t un point fort de notre action et nous avons poursuivi nos efforts tout au long de lanne. En effet, nous sommes persuads qu lre des rseaux sociaux, la sensibilisation des jeunes utilisateurs requiert des initiatives particulires et nous ne voulons pas nous contenter de lancer des appels aux coles et aux parents. Nous sommes donc la recherche de partenariats, notamment et aussi en raison des limites de nos moyens. Le projet NetLa, lanc en 2011
en collaboration avec le Conseil pour la protection de la sphre prive, a aussi t port la connaissance dun grand nombre dcoliers. Pour le seul mois de novembre, dernier mois de la campagne, 6000 internautes ont cliqu 225000 fois pour visiter le portail mutimdia. Nous avons galement mis au point un matriel denseignement sous forme de leons an de sensibiliser les jeunes adultes la scurit des donnes lorsquils utilisent les nouveaux mdias. Ces leons sont disponibles gratuitement en ligne sur Internet et sont cibles sur les lves de lenseignement secondaire suprieur. Par ailleurs, nous avons collabor des cours de formation organiss par les universits de Neuchtel et de Lausanne. Nous avons en outre dvelopp le service interactif Thinkdata.ch en collaboration avec lautorit de protection des donnes du canton de Genve, lUniversit de Genve, lObservatoire technologique de lEtat de Genve, lIDHEAP Lausanne ainsi que dautres acteurs. Ce site en franais bientt disponible en allemand offre sous forme de scnarios des rponses prcises et concises toutes les personnes qui sintressent la protection des donnes et la transparence ou qui y sont directement confrontes. Nous sommes actuellement la recherche de moyens nanciers an dlargir notre offre et de la mettre en ligne dans dautres langues. Enn, pour la quatrime fois, nous avons organis la Journe suisse du droit de la protection des donnes avec les universits de Berne, Neuchtel et Fribourg. 2011 a galement t une anne jalonne de nombreux contrles et dtablissements des faits. Ainsi, nous avons examin le systme de surveillance vido auprs de cinq entreprises de transports publics et propos un certain nombre damliorations qui ont t acceptes. Dans le cadre de la mise en uvre de laccord de Schengen, nous avons procd une visite de contrle auprs de lambassade de Suisse Moscou et mis diverses recommandations. Nous avons galement achev avec succs deux procdures dtablissement des faits, lune auprs dun club de tennis disposant dun systme de rservation bas sur la reconnaissance biomtrique, la seconde concernant le traitement de donnes sur la solvabilit. Nous avons clos le dossier relatif la plateforme dinformations Car Claims Information Pool, gre par les assureurs, et suggr diverses amliorations. Citons encore les diffrentes modications que nous avons proposes un prestataire de services dans le domaine des manifestations de sport amateur; nous demeurons en contact avec lui propos de la mise en uvre des mesures en question. Enn, nous avons introduit une procdure dexamen des faits concernant un nouveau jeu informatique qui transmet de manire illicite au fabricant des donnes concernant les ordinateurs des utilisateurs. Parmi les nombreuses consultations des ofces, je citerai en particulier celle concernant la rvision de la loi fdrale et de lordonnance sur la surveillance de la correspondance par poste et tlcommunication. cet gard, nous avons obtenu la cration dune base lgale sur laquelle reposera lutilisation de programmes de type GovWare.
Lors de llaboration de ce type de bases lgales en vue de la surveillance de lutilisation de linfrastructure lectronique au sein de ladministration fdrale, nous avons galement attir lattention sur la ncessit dune rglementation claire concernant lenregistrement, la conservation, mais aussi lanalyse des donnes secondaires gnres par les communications. Dans le cadre de la rvision de loi touchant le systme tarifaire SwissDRG, nous avons contact les diffrents acteurs concerns et exig que les assurances ne reoivent que les donnes dont elles ont vraiment besoin. De plus, loccasion de la rvision totale de la loi sur le contrat dassurance, nous avons soulign limportance dinscrire dans la loi linstitution du mdecin-conseil. Parmi les publications parues sur notre site Internet durant lanne sous revue, numres au chiffre 3.3, nous mentionnerons en particulier nos commentaires explicatifs concernant la directive de lUnion europenne Vie prive et communication lectronique et ceux concernant linformatique en nuage (cloud computing) en tant que mode de traitement de donnes. En 2011, la situation a galement volu dans le domaine du principe de la transparence. Le nombre des demandes daccs adresses ladministration fdrale a presque doubl et 65 demandes en mdiation nous ont t transmises. Nous avons men bien 30 procdures de mdiation et dans la grande majorit des cas, nous sommes parvenus une solution plus favorable pour le demandeur. Toutes les recommandations sont rsumes au chiffre 2.3.1 et peuvent tre consultes sur notre site Internet. Suite des recours, le Tribunal administratif fdral a d se pencher sur quatre de nos recommandations et a soutenu nos argumentations. En outre, dans le cadre de la rvision de la loi sur les cartels, nous avons obtenu que les autorits en matire de concurrence ne soient pas soustraites du champ dapplication de la loi sur la transparence. Nous pouvons dire dores et dj que divers thmes vont continuer nous occuper durant lanne venir. Citons entre autres la requte politiquement trs dlicate mise par les tats-Unis visant dcouvrir, dans le cadre dune procdure hit/no hit, si une personne dtermine est enregistre avec son empreinte digitale ou son ADN dans les banques de donnes suisses Codis ou As. Au cours des ngociations, il sera important de veiller ce que les personnes concernes qui gurent tort dans ces deux banques de donnes se voient accorder les mmes droits aux tats-Unis quen Suisse. Il ne sera pas facile dobtenir cette garantie car notre avis, les tats-Unis ne disposent en principe pas dune protection des donnes sufsante. Cest pourquoi lapprciation dans le cas despce ne doit pas tre effectue par un privacy ofcer dpendant de ladministration, mais par une autorit judiciaire indpendante. Il est en outre important que dans tous les cas o une concordance des donnes est constate, la suite de la procdure se droule dans le cadre de la procdure dentraide judiciaire
xe par une loi. En dautres termes, les conditions de communication de donnes personnelles doivent tre examines dans chaque cas despce sur la base des accords en vigueur; les automatismes doivent tre exclus. Il va galement de soi que ce type dchange doit tre limit aux formes graves de criminalit et que la Suisse doit bncier dun droit de rciprocit. Les rseaux sociaux vont continuer nous proccuper, notamment la politique commerciale de Facebook. Nul nignore que lobjectif de ce dernier est daccder un maximum dinformations sur ses utilisateurs et de gnrer des prols de la personnalit des ns publicitaires. Lentreprise ralise ainsi un chiffre daffaire de plusieurs milliards et modie sans cesse les conditions gnrales dutilisation, au dtriment des utilisateurs et sans demander leur consentement. Depuis peu, non seulement les personnes qui sont sur Facebook, mais aussi celles qui ne lutilisent pas en sont la cible. Dans le projet des conditions dutilisation de mars 2012, on peut lire que celles-ci sont aussi applicables aux non-utilisateurs qui interagissent avec Facebook en dehors des tatsUnis. Autrement dit, ces non-utilisateurs sont rputs consentir la transmission et au traitement de leurs donnes aux tats-Unis, ce qui englobe aussi le traitement des ns publicitaires. Le scandale dans cette histoire est que la plupart des non-utilisateurs ne savent absolument pas quils interagissent avec Facebook. Comment est-ce possible? Sur bon nombre de sites Internet se trouve la petite icne Jaime qui est li Facebook (reconnaissable p. ex. la lettre en minuscule f). La visite de lutilisateur sur la page consulte est automatiquement communique Facebook, ceci mme sil na pas cliqu sur licne Jaime. Ce systme permet donc dtablir des prols de la personnalit trs prcis aussi sur les personnes qui se refusent utiliser Facebook. Nous allons concentrer nos efforts pour obtenir des exploitants de sites quils donnent leurs visiteurs la possibilit de dcider sils consentent ce type de transmission ou non. Rien dtonnant ce quentre-temps, une certaine dance ait galement vu le jour au niveau parlementaire. La conseillre nationale valaisanne Viola Amherd a dpos en septembre 2011 un postulat dans lequel elle enjoint le Conseil fdral dexaminer ltat actuel de la lgislation sur les mdias sociaux, de dire quelles sont les lacunes du droit et de se prononcer sur la ncessit de crer une loi proprement dite sur les mdias sociaux. Il est notamment mentionn dans le dveloppement du postulat que les mdias sociaux apportent une dimension nouvelle dans la communication et lutilisation des mdias, qui menace de remettre en cause lapplication des lois nationales et des valeurs-cls. Cela se passe de commentaires! Dans le domaine des droits dauteur, larrt du Tribunal fdral en la cause Logistep a fait bouger les choses. Tout dabord un bref rappel: le Tribunal fdral a considr que les recherches dadresses IP effectues secrtement par Logistep dans le but dintenter une action civile contre des utilisateurs souponns de violer les droits dauteur
10
ntaient pas licites. Cet arrt a provoqu un certain moi auprs des dtenteurs de droits. Dans son rapport de gestion 2010, le Tribunal fdral a fait observer que la situation actuelle tait insatisfaisante sous langle juridique et quil appartenait au lgislateur de prendre les mesures ncessaires pour assurer une protection des droits dauteurs approprie aux nouvelles technologies. ce jour, cette initiative remarquable et inhabituelle de notre cour suprme na suscit aucune raction de la part du Conseil fdral. Des interventions parlementaires demandant une amlioration de la situation ont entre-temps t dposes au Parlement. Nul ne conteste que la protection des droits dauteur est un thme trs dlicat et fait lobjet de vives discussions, pas seulement en Suisse (pour preuve, le succs du Parti Pirate allemand). La position qui tait dj la ntre durant la procdure na pas chang: sur la base du droit en vigueur, on ne peut utiliser une adresse IP que dans le but de dterminer, dans le cadre dune procdure pnale, la personne qui a viol des droits dauteur. Les actions civiles ne peuvent entrer en jeu quensuite. Le 9 dcembre 2011, le Conseil fdral a approuv le rapport sur lvaluation de la loi sur la protection des donnes et la soumis au Parlement. Outre la constatation positive que la loi sur la protection des donnes avait permis datteindre un niveau de protection sensible dans les domaines o les ds taient dj connus au moment de son entre en vigueur et que le PFPDT stait avr un instrument efcace pour amliorer la protection offerte par la loi, ce rapport nen souligne pas moins clairement la ncessit dagir: De lavis du Conseil fdral, la rvision de la LPD devrait avoir pour objectif principal dadapter la loi aux dveloppements technologiques et socitaux intervenus depuis son entre en vigueur. Cest pourquoi il entend axer sa rexion sur les quatre problmatiques centrales lies aux volutions technologiques et socitales en cours, soit 1. laccroissement du volume des donnes traites; 2. les traitements de donnes difciles reconnatre comme tels, aussi bien pour les intresss que pour le PFPDT; 3. linternationalisation croissante des traitements de donnes; 4. la difcult toujours plus marque garder le contrle de donnes une fois quelles ont t rendues publiques. Dans ce contexte, le Conseil fdral souhaite examiner quelles mesures lui permettraient datteindre en particulier les objectifs suivants: Assurer la protection des donnes plus en amont: une rexion globale doit permettre de dtecter les ventuels problmes et dy remdier ds la phase de conception des nouvelles technologies. Lide est dviter que lon se contente de corriger des problmes aprs coup, avec des programmes de correction (approfondissement de la notion de protection intgre de la vie prive ou privacy by design). Il importe galement de favoriser les technologies respectueuses de la protection des donnes.
11
Sensibiliser davantage les personnes concernes: les personnes concernes doivent tre plus au fait des risques que reprsentent les nouvelles technologies pour la protection de la personnalit. Amliorer la transparence: il convient damliorer la transparence des traitements de donnes, notamment dans les nouveaux contextes complexes dans lesquels ni les personnes concernes ni le PFPDT ne peuvent les identier facilement. On veillera ce faisant ne pas submerger les personnes concernes dinformations. Amliorer le contrle et la matrise des donnes: le contrle et la matrise des donnes aprs leur divulgation est un aspect primordial. Ainsi, la possibilit de renforcer les mcanismes de contrle disposition du PFPDT et dadapter aux dveloppements technologiques les droits des personnes concernes devrait tre analyse. On examinera par exemple dans ce cadre un renforcement des voies de droit collectives ainsi quune prcision du droit loubli. Protger les mineurs: il faut tenir compte du fait que les mineurs ont une conscience moindre des risques et consquences inhrents au traitement de donnes caractre personnel.
12
Le Conseil fdral entend en outre examiner si et dans quelle mesure il est souhaitable de renforcer lindpendance du PFPDT. Il sintressera galement la possibilit dtendre linstrument de lautorgulation, en incitant par exemple les organisations sectorielles laborer des rgles de bonne pratique qui seraient ensuite approuves par le PFPDT. Ces vises exprimes par le Conseil fdral sont les ntres depuis des annes et nous sommes trs heureux que la ncessit dagir soit dsormais reconnue ce niveau. Cela dit, le souhait exprim par le Conseil fdral dattendre les rsultats des rformes en cours dans lUnion europenne nous cause un certain souci. Bien entendu, tout projet de rforme suisse doit tre coordonn aux mesures prises au niveau europen. Mais cela ne doit pas empcher le gouvernement de crer en parallle un groupe dexperts qui examinera la problmatique du point de vue suisse. En matire de protection des donnes, notre pays doit aussi avoir lambition dlaborer ses propres solutions au lieu de se cantonner ladaptation autonome au droit europen.
Hanspeter Thr
Rpertoire des abrviations

ACC AFAPDP Autorit de contrle commune Association francophone des autorits de protection des donnes personnelles Administration fdrale des contributions Arrt du Tribunal fdral Confrence des directrices et directeurs des dpartements cantonaux de justice et police Confrence des directrices et directeurs cantonaux des affaires sociales Centrale de compensation Contrle fdral des nances Conventions contre les doubles impositions Confrence suisse des directrices et directeurs cantonaux de la sant Chancellerie fdrale Commission fdrale pour les vaccinations Commission fdrale de scurit nuclaire Commission de la concurrence Dpartement fdral de la dfense, de la protection de la population et des sports Dpartement fdral de lenvironnement, des transports, de lnergie et de la communication Dpartement fdral des affaires trangres Dpartement fdral de lconomie Dpartement fdral des nances Dpartement fdral de lintrieur Dpartement fdral de justice et police Diagnoses Related Groups
AFC ATF CCDJP

CDAS
CdC CDF CDI CDS
13
ChF CFV CSN COMCO DDPS
DETEC
DFAE DFE DFF DFI DFJP DRG
ESPA EVA FATCA fedpol FINMA GEWA
Enqute suisse sur la population active Etablissement lectronique de visas Foreign Account Tax Compliance Act Ofce fdral de la police Autorit fdrale de surveillance des marchs nanciers Systme de traitement des donnes en matire de lutte contre le blanchiment dargent Systme dinformation scurit extrieure Inspection fdrale de la scurit nuclaire Systme de traitement des donnes relatives la protection de lEtat Systme informatis commun des Ofces centraux de police criminelle de la Confdration Loi fdrale sur lassurance-accidents Loi fdrale sur lassurance-maladie Loi fdrale sur le contrat dassurance Loi sur la concurrence dloyale Loi fdrale sur lharmonisation des registres des habitants et dautres registres ofciels de personnes Loi fdrale sur limpt fdral direct Loi fdrale instituant des mesures visant au maintien de la sret intrieure Loi sur lorganisation du gouvernement et de ladministration Loi fdrale sur la poursuite pour dettes et la faillite Loi fdrale sur la protection des donnes Loi fdrale sur le personnel de la Confdration Loi fdrale sur la partie gnrale du droit des assurances sociales Loi fdrale sur la prvoyance professionnelle vieillesse, survivants et invalidit
ISAS
IFSN ISIS
JANUS
LAA LAMal LCA LCD LHR
14
LIFD LMSI
LOGA LP LPD LPers LPGA LPP
LSIP
Loi fdrale sur les systmes dinformation de police de la Confdration Loi sur les tlcommunications Loi fdrale sur le principe de la transparence dans ladministration Partie nationale du Systme dinformation Schengen Numro AVS 13 chiffres Ordonnance rglant ladmission des personnes et des vhicules la circulation routire Ordonnance sur le systme suisse daccrditation et la dsignation de laboratoires dessais et dorganismes dvaluation de la conformit, denregistrement et dhomologation Ordonnance relative lassistance administrative daprs les conventions contre les doubles impositions Ordonnance sur lassurance-maladie Organisation pour la coopration et le dveloppement conomiques Ofce fdral des migrations Ofce fdral de lagriculture Ofce fdral des assurances sociales Ofce fdral de la culture Ofce fdral de lnergie Ofce fdral de lenvironnement Ofce fdral de linformatique et de la tlcommunication Ofce fdral de la justice Ofce fdral du personnel Ofce fdral de la statistique Ofce fdral de la sant publique Ofce fdral des transports Ofce fdral de la justice
LTC LTrans N-SIS NAVS13 OAC
OAccD
OACDI
OAMal OCDE ODM OFAG OFAS OFC OFEN OFEV OFIT OFJ OFPER OFS OFSP OFT OFJ
15
OFPP OFSP OLPD OPrI
Ofce fdral de la protection de la population Ofce fdral de la sant publique Ordonnance relative la loi fdrale sur la protection des donnes Ordonnance concernant la protection des informations de la Confdration Ordonnance sur la surveillance par poste et tlcommunication Ordonnance sur les systmes dinformation du Service de renseignement de la Confdration Ordonnance sur les services de tlcommunication Ordonnance sur le principe de la transparence dans ladministration Ordonnance rgissant la taxe sur la valeur ajoute Policy Enforcement Point Prpos fdral la protection des donnes et la transparence Public Key Infrastructure Secrtariat dEtat lconomie Systme dinformation Schengen Service de renseignements de la Confdration Systme dinformation central sur la migration Institut suisse des produits thrapeutique Tribunal administratif fdral Unique Person Identication Verkehrsbetriebe Zrich (Transports de la ville de Zurich) Systme dinformation sur les visas Verkehrsverbund des Kantons Zrich (Communaut des transports publics du canton de Zurich)
OSCPT OSI-SRC
OST OTrans OTVA PEP PFPDT PKI SECO SIS SRC SYMIC Swissmedic TAF UPI VBZ VIS ZVV
16
1.
1.1
1.1.1
Protection des donnes

Droits fondamentaux
Externalisation dans le cadre du recensement de la population
Suite notre intervention, la lettre envoye par lOfce fdral de la statistique pour demander aux personnes de participer ses enqutes informe dsormais de manire transparente sur le caractre volontaire de la participation lenqute. Des progrs ont galement t accomplis dans le domaine de lassurance qualit par lentreprise mandate pour effectuer lenqute. Dans notre 18e rapport dactivits 2010/2011, au chiffre 1.1.1, nous avons rendu compte de nos contrles portant sur les traitements de donnes et les ux dinformations dans le cadre du recensement de la population. Entretemps, la partie du contrle qui concerne lOfce fdral de la statistique (OFS) a pratiquement pu tre mene terme. Suite notre critique, lOFS amliore le contenu de linformation transmise dans la lettre invitant les citoyens participer une enqute. Jusquici, cette lettre ne contenait pas dinformations claires sur une ventuelle obligation de participer, an de ne pas inuencer ngativement le taux de rponse. Durant lanne coule, lOFS a test diverses formes dinformations plus transparentes et nous a ensuite soumis une proposition acceptable: dornavant toute lettre annonant lenqute sera accompagne dun petit dpliant (Leporello). Le but de ce dpliant est dinformer clairement sur lobligation de participer. Nous vrierons lapplication de cette amlioration sur la base de quelques cas concrets. notre avis, des informations adquates sur le caractre volontaire ou obligatoire de la participation sont requises pour toutes les enqutes menes par lOFS. Un autre aspect sur lequel nous ne sommes pas encore tombs daccord concerne le contrle des employs de linstitution prive qui ralise lenqute. Nous considrons le contrle de qualit, tel quil est pratiqu jusquici, comme tant disproportionn. Pour linstant, nos arguments nont pourtant pas russi convaincre lentreprise concerne. Celle-ci a relev que la pratique quelle a dveloppe est largement rpandue dans la branche et quun droulement diffrent du contrle de la qualit ntait pas en mesure de rpondre aux exigences du mandant (en loccurrence lOFS). Nos recherches ont abouti un constat similaire. Toutefois, le fait quune certaine pratique soit trs rpandue ne justie en aucun cas un traitement de donnes illicite. Nous aimerions, en collaboration avec cette entreprise, trouver une solution qui puisse servir de solution modle pour la branche. Cette solution doit tenir compte du progrs
17
technique et de la baisse constante du prix des supports de stockage le prix permettant aujourdhui un enregistrement audio de lensemble du matriel li lenqute. Nous nous sommes entretemps mis daccord avec lentreprise concerne sur la dmarche adopter. Celle-ci nous soumettra pour examen un concept dassurance qualit qui prend en compte les exigences de la protection des donnes, et nous accompagnerons sa mise en uvre. Nous poursuivrons notre contrle dans ce domaine et continuerons en informer le public.
1.1.2
Demandes de citoyens concernant les enqutes statistiques
Nous recensons ces derniers temps une augmentation du nombre de questions de citoyens relatives aux enqutes statistiques. Ces questions portent principalement sur la proportionnalit des valuations, sur lutilisation du numro AVS dans la statistique et sur lobligation de rpondre. Nous avons donc poursuivi nos activits dans ce domaine. De manire gnrale, nous constatons que le nombre de demandes des citoyens relevant de la statistique na cess de crotre ces deux dernires annes. Ce sont trois domaines principaux qui proccupent les citoyens: Lenvergure du questionnaire: la critique la plus frquente est quil comporte trop de questions et que celles-ci font trop fortement intrusion dans la sphre prive. Pour chaque enqute, lOfce fdral de la statistique (OFS) publie une profusion dinformations, parfois mme le questionnaire. Si ce nest pas le cas, nous pouvons sur demande y avoir accs. Notre rle dans ce domaine se limite cependant vrier le caractre plausible des questions. Utilisation du numro AVS: pour les personnes concernes, il existe une contradiction entre lidentication exacte de la personne interroge et le but non personnel dune collecte de donnes personnelles dans la statistique. En plus du conseil donn aux personnes concernes, nous nous sommes engags pour des rgles plus claires dans le domaine de la lgislation (cf. ch. 1.1.3 du prsent rapport dactivits). Obligation de fournir une rponse: cest la raison la plus frquente pour laquelle les citoyens et citoyennes nous contactent. ce jour, lobligation de rpondre nexiste que pour lEnqute suisse sur la population active (ESPA) et lenqute structurelle (dans le cadre du recensement de la population). Une initiative parlementaire vise supprimer lobligation de rpondre pour lenqute
18
ESPA. Nous avons uvr dans le sens qu lavenir lOFS informe de manire plus transparente sur le caractre facultatif ou obligatoire de la participation une enqute (cf. ch. 1.1.1 du prsent rapport dactivits).
1.1.3
Utilisation du numro AVS dans la statistique
Le numro AVS joue un rle important dans la statistique. Nous avons examin de plus prs les bases lgales qui permettent son utilisation. Avec lexemple du projet de lOfce fdral de la statistique (OFS) pour la modernisation de la statistique de la formation, nous avons tudi lutilisation du numro AVS de manire gnrale dans le domaine de la statistique. La question de savoir si les bases lgales existantes sont sufsantes pour que lOFS puisse exiger des coles quelles leur livrent les numros AVS ne faisait pas lunanimit. Notre position initiale est dcrite plus en dtail au chiffre 1.1.3 de notre 18e rapport dactivits 2010/2011. Dans notre prise de position, nous avions dfendu lavis que lOFS dispose de bases lgales sufsantes uniquement dans le cas des relevs indirects, bass sur la loi sur lharmonisation des registres. LOFS a mandat une expertise ce sujet dans laquelle lexpert mandat parvient la conclusion oppose. Nous sommes conscients du fait que pour lOFS le numro AVS joue un rle essentiel en tant qulment dappariement indispensable. Lui seul permet, en qualit dlment didentication, dtablir des relations entre les diffrentes enqutes. An de simplier la situation juridique pour les participants une enqute, situation dj complique mme aux yeux des experts en droit, nous nous sommes mis daccord avec lOFS sur le fait que celui-ci crera une nouvelle norme lors de la prochaine rvision de la loi sur la statistique fdrale. Cette norme aura pour objectif de rglementer lutilisation du numro AVS pour lensemble du domaine de la statistique.
19
1.1.4
Aspects thoriques du nouveau numro AVS
Le nouveau numro AVS est entr en vigueur depuis 2008 et remplace progressivement lancien numro AVS. Nous avons rencontr lOfce fdral des assurances sociales et la Centrale de compensation pour comprendre comment ce nouveau numro est attribu et utilis et qui sont ses utilisateurs. partir de 2008, lancien numro AVS 11 chiffres a t progressivement remplac par le nouveau numro AVS 13 chiffres (NAVS13). La Centrale de compensation (CdC) a effectu ce passage. Nous avons rencontr lOfce fdral des assurances sociales
(OFAS) et la CdC qui nous ont expliqu le processus dattribution de ce nouveau numro, son utilisation et les problmes qui subsistent. Lors du passage de lancien au nouveau numro AVS, les problmes sont survenus dans deux situations particulires et distinctes. En effet, il arrive quune personne possde plusieurs numros AVS ou alors que le mme numro soit attribu plusieurs personnes. Dans le premier cas, la solution consiste fusionner les numros: un numro est choisi et les autres sont dsactivs ils ne pourront plus tre attribus. Dans le second cas, tous les numros sont dsactivs et de nouveaux numros sont attribus aux diffrentes personnes.
lheure actuelle, 20 millions de personnes sont enregistres dans UPI, le registre national de rfrence pour le NAVS13 gr par la CdC. La CdC estime que 1% des cas au maximum ont plus dun numro attribu, tandis que 10000 20000 personnes partagent un numro identique. Ces derniers cas sont rsorbs au fur et mesure quils sont dcouverts. Ces cas problmatiques proviennent derreurs humaines lors de lpuration de lancien registre avant lattribution des nouveaux numros, mais galement de difcults techniques relatives aux communications lectroniques entre les registres fdraux et UPI. Ils peuvent aussi tre imputs en partie la qualit des registres qui fournissent les donnes au registre UPI. Il est possible pour diffrentes organisations de sannoncer comme utilisateur systmatique du NAVS13 auprs de la CdC. Celle-ci ne peut refuser dinscrire une organisation qui sannonce comme utilisateur systmatique. Toutefois, paralllement la publication de lannonceur dans lannuaire lectronique disponible sur Internet, elle dtermine si le statut dutilisateur systmatique est reconnu. Si lutilisateur demande un accs au registre UPI ultrieurement, celui-ci lui sera accord en fonction de sa lgitimit en tant quutilisateur systmatique. La CdC met disposition des utilisateurs systmatiques des outils dinterrogation qui permettent de retrouver des donnes identitaires partir dun NAVS13 ou dobtenir le NAVS13 dune personne partir de donnes identitaires. Il est galement possible grce ces outils de vrier la validit dun NAVS13. Pour diminuer les risques derreurs lors des re-synchronisations, la CdC impose aux registres tiers de grer le NAVS13 conjointement avec, au minimum, cinq autres champs de donnes: le nom, le prnom, la date de naissance, le sexe et la nationalit. Nous avons constat que la CdC est consciente des problmes lis lunicit du numro AVS et quelle ne recommande pas forcment lutilisation de ce numro dans tous les domaines (cf. ch. 1.3.12), en particulier dans des domaines trs sensibles comme celui de la Cybersant (eHealth).
20
1.1.5
Cas non recenss de violence des jeunes
Dans le cadre dune consultation des ofces, nous avons pris position sur la mise en place dun relev rgulier au niveau national des cas non dclars dans le domaine de la violence et de la criminalit chez les jeunes. Dans le cadre dune enqute nationale sur les cas non signals de violence des jeunes, il tait prvu dinterroger galement des enfants gs de dix ans. Nous avons pris position en critiquant dune part labsence de base lgale pour une telle enqute; dautre part, nous sommes davis que lenqute doit tre effectue sur une base volontaire, ce qui veut dire que les participants doivent accepter de plein gr aprs avoir t pralablement informs. Un enfant peut le faire en conformit avec la loi pour autant quil soit capable de discernement en ce qui concerne lobjet du consentement. Compte tenu de la quantit et de la nature des donnes personnelles qui sont traites dans lenqute, nous avons toutefois dfendu le point de vue que le consentement devait tre obtenu non seulement de lenfant interrog, mais aussi de ses reprsentants lgaux, savoir ses parents. Dautre part, tout tiers (tel que parent ou autre proche), dont les donnes personnelles seraient traites, devrait galement tre inform avant que celles-ci soient enregistres.
21
1.1.6
change de donnes facilit entre les autorits fdrales et cantonales
En octobre 2007, un postulat chargeant le Conseil fdral dtudier les moyens de faciliter lchange de donnes entre autorits fdrales et cantonales a t dpos au Conseil national. Un examen men grande chelle a dmontr que lon ne pouvait pas blmer la protection des donnes pour les ventuelles difcults au niveau de ces changes. Divers incidents, en particulier dans le domaine de lassistance sociale, ont ces dernires annes donn limpression au public que les changes de donnes entre les autorits fdrales et cantonales laissaient dsirer. plusieurs reprises, on a suspect une protection des donnes trop rigoureuse dempcher les changes de donnes ncessaires dans les situations durgence. Cest dans ce contexte que le 5 octobre 2007 le conseiller national Lustenberger a dpos un postulat demandant de faciliter lchange de donnes entre autorits fdrales et cantonales. Ce dernier charge le Conseil fdral dexaminer comment simplier lchange de donnes entre les autorits de la Confdration et celles des cantons. Le postulant a estim que le risque dabus tait particulirement lev dans les domaines de lassistance sociale, de la naturalisation, de la scalit et des assurances sociales. Il a donc galement jug
ncessaire de vrier si la protection des donnes dans ces domaines constituait un obstacle un change efcace des donnes. Le Conseil fdral a mandat le Dpartement fdral de justice et police (DFJP) de prparer le rapport. La responsabilit a t cone lOfce fdral de la justice (OFJ), qui a mis sur pied un groupe de travail. Celui-ci tait constitu dun reprsentant de lOfce fdral des assurances sociales (OFAS), de lAdministration fdrale des contributions (AFC), lOfce fdral des migrations (ODM), lOfce fdral de la police (fedpol), la Confrence des directrices et directeurs cantonaux des affaires sociales (CDAS), la Confrence des directeurs cantonaux de justice et police (CCDJP), et de chaque canton pour les domaines de la naturalisation, de la scalit et de la protection des donnes. Par ailleurs, nos spcialistes des divers domaines taient galement invits ces runions. Au printemps 2009, lOFJ a charg le bureau Vatter AG dexaminer lchange de donnes personnelles entre les autorits fdrales, cantonales et communales. Ltude a conclu que les changes avaient lieu principalement entre les autorits cantonales et communales et que linuence possible de la Confdration tait donc restreinte. Le Conseil fdral a pu prendre connaissance du fait que de manire gnrale le ux de donnes fonctionnait bien. Il repose sur des bases lgales et nest pas entrav par la protection des donnes. Ltude a galement montr que les problmes de collecte des donnes critiqus lorigine navaient pas t causs par des dispositions de protection des donnes, mais plutt par un manque de connaissances juridiques des autorits impliques. Le rapport aboutit ainsi la conclusion importante nos yeux quune rvision de la loi sur la protection des donnes nest donc pas ncessaire. Lenqute a galement rvl des points faibles au niveau de lchange de donnes entre les autorits. Le Conseil fdral a dans les grandes lignes suivi les recommandations de ltude. Par dcision du 22 dcembre 2010, il a alors transmis divers mandats dexamen au DFJP au Dpartement fdral de lintrieur (DFI) et au Dpartement fd, ral de lconomie (DFE). Fin novembre 2011, lOFJ a rsum ces mandats ainsi que les rsultats obtenus jusque-l dans le rapport Faciliter lchange de donnes entre autorits fdrales et cantonales. Lapplication du postulat Lustenberger nous a montr, en tant quaccompagnateurs de cette intervention, que les efforts parfois importants qui doivent tre fournis pour lchange de donnes ne peuvent pas tre imputs la protection des donnes.
22
1.1.7
Thinkdata.ch un outil de sensibilisation la protection des donnes et la transparence
Nous avons particip un groupe de travail initi par ThinkServices Genve. Ce groupe a dvelopp un outil de sensibilisation la protection des donnes et la transparence lintention des organisations. Cet outil, labor en franais, a t prsent loccasion de la 6e journe de la protection des donnes. Contacts par lautorit genevoise de protection des donnes et de transparence en janvier 2011, nous avons rejoint le groupe de travail Documents, Socit, Transparence pour participer ses travaux. Le groupe, compos de chercheurs de lUniversit de Genve et de lUniversit de Lausanne entre autres, dautorits de protection des donnes cantonales et fdrales et dindpendants, sest runi une fois par mois durant lanne 2011. Lobjectif que le groupe sest x rapidement tait de produire un outil de sensibilisation la protection des donnes et la transparence lintention des organisations. Par le biais des organisations en gnral, lide tait de sadresser plus spciquement aux diffrents acteurs de celles-ci, en fonction de leur mtier. Ainsi quatre groupes ont t dnis: les cadres, les responsables des ressources humaines, les responsables IT et les employs. Loutil prsente sous langle des mtiers mais galement des types de donnes diffrents scnarios inspirs dhistoires relles. Ces scnarios relatent un problme li la protection des donnes ou la transparence dans le but de sensibiliser lutilisateur de loutil. Des conseils sont associs aux scnarios pour permettre aux utilisateurs de se positionner et damliorer le traitement des donnes au sein de leurs organisations. Une premire version de cet outil a t mise en ligne loccasion de la 6e journe de protection des donnes qui a eu lieu le 27 janvier 2012 (www.thinkdata.ch).
23
1.2
1.2.1
Protection des donnes Questions dordre gnral

Protection des donnes et dons en cas de deuil
Les faire-part de dcs invitent souvent faire un don au prot dune institution de bienfaisance au lieu de remettre des eurs. Si ces institutions transmettent ensuite les informations concernant les dons reus la famille du dfunt ou de la dfunte, ceci peut constituer une divulgation de donnes personnelles. Nous expliquons donc dans quelles conditions une telle transmission de donnes est admissible du point de vue de la protection des donnes.
Lorsquun faire-part de dcs contient une invitation faire un don au bnce dune institution de bienfaisance, les familles en deuil ressentent souvent le besoin de connatre les donateurs ainsi que les montants des dons, an de pouvoir les remercier. la suite de plusieurs demandes qui nous sont parvenues, nous avons constat que ces organisations ne savent souvent pas quelles informations elles sont en droit de transmettre dans de tels cas. Lorsquune institution de bienfaisance communique les noms des donateurs (ou toute autre information qui permet de les identier), il sagit dune communication de donnes personnelles. Cela signie que celle-ci doit respecter les conditions gnrales de la lgislation en matire de protection des donnes et que ces informations ne peuvent tre communiques la famille endeuille quavec le consentement du donateur. Comme il ne sagit pas de donnes personnelles sensibles, une option de retrait (optout) suft. Une manire de mettre ceci en uvre consiste prvoir un champ sur le bulletin de versement, dans lequel le donateur peut indiquer quil ne dsire pas que ses donnes soient communiques. Pour les personnes qui choisissent cette option, on se bornera communiquer uniquement les donnes qui ne sont pas personnelles (tel que le montant du don). Si la famille en deuil dsire que ces donateurs reoivent galement une lettre de remerciement, ils peuvent la remettre linstitution de bienfaisance. Celle-ci pourra transmettre ces lettres aux donateurs sans devoir dvoiler leur identit la famille endeuille.
24
1.2.2
Protection des donnes dans les bibliothques
Il savre que les donnes des usagers de bibliothques ne sont pas aussi anodines quelles pourraient paratre premire vue car, une fois combines, elles peuvent former un prol de la personnalit signicatif. Cest pourquoi nous avons publi un document expliquant comment traiter ce genre de donnes dune manire qui soit conforme la protection des donnes. Une information en provenance des tats-Unis a alarm il y a quelques annes le monde bibliothcaire: dans le cadre de sa lutte contre le terrorisme, le FBI (Federal Bureau of Investigation) a demand des bibliothques amricaines de leur remettre les donnes de leurs usagers. Cest au plus tard ce moment-l quil est devenu vident que les informations apparemment anodines concernant les livres emprunts la bibliothque et les recherches effectues dans ses ordinateurs pouvaient tre relies entre elles pour crer des prols de personnalit signicatifs. Par consquent, un examen du traitement des donnes personnelles dans les bibliothques simposait an de pouvoir, le cas chant, ladapter aux exigences de la protection des donnes. Une invitation un colloque de lAssociation des bibliothques juridiques suisses nous a incits analyser les divers traitements de donnes effectus dans les bibliothques et rdiger une prise de position sur un traitement de ces donnes qui soit conforme aux exigences de la protection des donnes. Cette prise de position devrait notamment montrer comment les bibliothques peuvent traiter les donnes personnelles dont elles ont besoin pour fournir leurs prestations, sans pour autant cumuler inutilement des informations qui pourraient tre mises en relation pour crer ces fameux prols de la personnalit particulirement dlicats. Laccent est mis sur les donnes de base et de transaction des oprations de prt ainsi que sur les traces laisses sur les ordinateurs avec accs Internet disposition du public. Les donnes de base doivent se limiter aux informations ncessaires pour le prt et tre supprimes une fois que la relation avec le client a pris n ou au plus tard lchance du dlai lgal de conservation. Les donnes concernant le prt doivent tre supprimes une fois quune opration de prt a t boucle. Dans les systmes interconnects, chaque bibliothque doit avoir accs uniquement aux donnes des utilisateurs qui ont effectivement emprunt des livres dans cette bibliothque. Si la bibliothque met disposition de ses clients des ordinateurs avec accs Internet, elle doit dune part congurer le systme de manire que les donnes de lutilisateur soient automatiquement supprimes en n de session et quun utilisateur ne puisse pas voir les donnes de la personne qui a utilis lordinateur avant lui. Dautre part, nous recommandons que les ordinateurs ne puissent pas tre utiliss de manire
25
anonyme. Nous jugeons opportun que les utilisateurs doivent, pour leur propre scurit, senregistrer au pralable et que leurs donnes soient conserves pour une dure de six mois. Plus dinformations sur la manire de traiter les donnes personnelles dune bibliothque en conformit avec la protection des donnes se trouvent dans larticle prcit (www.leprepose.ch, sous Documentation Protection des donnes Articles, confrences, expertises sous Autres contributions, uniquement sur le site version allemande) ainsi que sur notre site web www.leprepose.ch, sous Thmes Protection des donnes Autres thmes.
1.2.3
Exonration de la redevance radio et tlvision
Au 1er janvier 2011, Billag SA a introduit de pair avec les assurances sociales un procd conforme la protection des donnes, exonrant les bnciaires de prestations complmentaires du paiement de la redevance radio et tlvision. Dornavant, il suft pour les personnes concernes de fournir une attestation de leur assurance sociale. Dans notre 17e rapport dactivits 2009/2010, ch. 1.2.9, nous avions dj prcis quil tait disproportionn de demander une dcision dnitive sur le droit des prestations complmentaires, et le montant de celles-ci pour pouvoir bncier de lexonration de la redevance. Lentreprise Billag SA a donc labor avec les assurances sociales une attestation standard. Ce document ne mentionne que la perception de prestations complmentaires, sans en prciser le montant. Depuis le 1er janvier 2011, les assurances sociales tablissent cette attestation lattention de la socit Billag SA et la remettent aux bnciaires des prestations en question.
26
1.2.4
Vidosurveillance dans les transports publics
En nous fondant sur la loi fdrale sur le transport des voyageurs, nous avons procd des contrles de la vidosurveillance auprs de cinq entreprises de transport. Indpendamment de cela, lOfce fdral de la justice a soutenu quil nous incombait dapprcier la licit des vidosurveillances dans la mesure o celles-ci concernent lactivit exerce dans le cadre dune concession. Le 1er janvier 2010 a vu lentre en vigueur de la loi fdrale sur le transport des voyageurs et de la version rvise de la loi sur les chemins de fer. Cela signie que toutes les activits des entreprises de transports publics, quelles soient exerces dans le cadre de leur concession et donc autorises ou quelles soient de droit priv, sont rgies
par la loi fdrale sur la protection des donnes. Il nous incombe den assurer la surveillance. La vidosurveillance est explicitement rglemente dans les deux lois ainsi que dans lordonnance sur la vidosurveillance dans les transports publics (cf. notre 18e rapport dactivits 2010/2011, ch. 1.2.3). Suite lutilisation croissante de la vidosurveillance dans les moyens de transport public, nous avons dcid deffectuer des contrles auprs de plusieurs entreprises de transport au bnce dune concession. Nous avons examin la vidosurveillance dans les vhicules (trains, trams, bus), dans les gares/stations et dans les infrastructures (btiments, dpts). Nos cinq contrles ont montr que les entreprises concernes mettent correctement en uvre leur vidosurveillance et prennent au srieux les aspects lis la protection des donnes: ainsi, elles utilisent toutes des pictogrammes pour signaler la vidosurveillance et dnissent clairement les responsabilits, accs, ux de donnes, dure de conservation et conditions rgissant la remise des images. Lapprciation des enregistrements est effectue par des personnes dtermines, dans une pice spare sur des ordinateurs scuriss, et uniquement en cas dincident ou de sinistre. Dans un tel cas, les images en question sont values, enregistres sur un support de donnes spar (cl USB ou CD-ROM) puis remis aux autorits de poursuite pnale. En revanche, aucune des socits contrles na labor de concept crit pour le traitement des demandes daccs. Il est vrai qu ce jour personne na encore dpos une telle demande de renseignements en rapport avec une vidosurveillance. Par consquent, les dpouillements dimages effectus jusquici ont toujours concern des incidents concrets ou des sinistres. Nous avons attir lattention des entreprises sur le fait quun tel concept ne devait pas tre compliqu. La personne qui fait valoir son droit daccs doit pouvoir justier son identit et indiquer la date, lheure et le lieu o elle se trouvait dans langle de prise de vue dune camra exploite par lentreprise (voir notre lettre-type sur notre site web www.leprepose.ch, sous Services Protection des donnes Lettres-type Vidosurveillance). Le dpouillement des images peut alors tre effectu de la mme manire que dans le cas dun incident. Au cas o les images auraient dj t effaces, la personne concerne doit en tre informe avec mention des dlais de conservation. Les enregistrements, qui selon les cas peuvent tre spars de quelques minutes, sont transmis la personne concerne, sous forme dimages imprimes, sur un cdrom ou comme squence de lm. Il est important de veiller ce que toute personne tierce apparaissant sur les images soit auparavant rendue mconnaissable ou supprime. Dans le concept, lentreprise peut mentionner ces diffrentes manires de communiquer et indiquer quelle dcidera de cas en cas des modalits exactes. Lors des cinq examens effectus, nous navons pas eu besoin dmettre des recommandations, mais avons nanmoins fait des propositions damlioration aux diverses
27
entreprises dans les cas o nous le jugions ncessaire. Nous avons notamment demand llaboration du concept mentionn ci-dessus pour le traitement des demandes daccs en rapport avec la vidosurveillance. Les autres propositions damlioration concernaient par exemple llaboration dun rglement crit sur la vidosurveillance, une meilleure scurisation dune porte donnant accs au local des serveurs ainsi quune mthode plus sre pour la gnration des mots de passe. Les entreprises ont accept ces suggestions. Dans le contexte de la nouvelle lgislation, lAssociation des commissaires suisses la protection des donnes Privatim a soumis lOfce fdral de la justice (OFJ) plusieurs questions sur la dlimitation de nos responsabilits par rapport aux leurs ainsi que sur le droit applicable. Ceci aprs que lOFJ ait retenu, dans une expertise date de dcembre 2010, que la disposition de la loi sur les transports de voyageurs, qui attribue la comptence de rglementation et de supervision de la protection des donnes la Confdration, tait conforme la Constitution. Dans sa rponse Privatim, lOFJ a soulign quil fallait apprcier de cas en cas ce qui fait partie des activits autorises au bnce dune concession. Dans la mesure o une vidosurveillance effectue dans un dpt de trams ou un arrt de bus concernait de telles activits, la licit de la mesure devait tre juge selon la loi fdrale sur la protection des donnes et la comptence de surveillance incombait donc au PFPDT. En revanche, les aspects de protection des donnes lis la relation de travail sont en principe rgis par les rglementations cantonales.
28
1.2.5
change de donnes concernant les resquilleurs
Suite une plainte dpose auprs de lOfce fdral des transports comme autorit de surveillance, nous avons examin la question de savoir si la lgislation sur la protection des donnes permettait aux entreprises de transport dchanger leurs donnes relatives aux passagers qui ont t attraps sans titre de transport valable. Dans le cadre dune plainte dpose auprs de lautorit de surveillance, lOfce fdral des transports (OFT) nous a pris dexaminer plus fond laspect juridique de la protection des donnes. La question tait de savoir sil est licite que les entreprises de transport CarPostal, CFF, Thurbo et VBZ changent les donnes quelles ont collectes sur les resquilleurs. Nos examens ont rvl ce qui suit: Les entreprises qui sont au bnce dune concession selon la loi fdrale sur le transport de voyageurs sont tenus davoir des tarifs qui doivent tre appliqus de manire
identique chacun. Les voyageurs qui ne peuvent pas prsenter de titre de transport valable doivent payer un supplment; ce dernier peut tre augment en cas de rcidive. Sappuyant sur cette base juridique, la Communaut de transports publics du canton de Zurich (ZVV) a cr un pool de donnes. Ce pool est une base de donnes centralise, commune lensemble du rseau tarifaire. Il contient les donnes de resquilleurs collectes par les bureaux dencaissement (CFF, VBZ, CarPostal, Thurbo) et permet ces derniers de comparer les donnes enregistres. Le but de ce pool de donnes est de pouvoir appliquer le mme tarif dans lensemble du rseau et de garantir lgalit de traitement entre les voyageurs. Il se fonde sur une directive concernant le traitement des donnes relatives aux personnes voyageant sans titre de transport valable (Richtlinie ber den Datenschutz fr die Erhebung von Gebhren sowie die Erfassung von Personendaten und deren Aufbewahrung und Verwendung im ZVV-Datenpool bei Fahren ohne gltigen Fahrausweis). Le pool de donnes est limit la rgion tarifaire du ZVV. Dans le cas prsent, aussi bien les CFF que les transports de la ville de Zurich VBZ avaient saisi les donnes concernant le plaignant dans le pool de donnes ZVV. Les CFF recueillent les donnes des personnes voyageant sans titre de transport valable et se chargent de lencaissement, aussi bien dans leur propre intrt que dans celui dautres entreprises de transport du ZVV. Les CFF saisissent dans le pool de donnes ZVV uniquement les donnes collectes dans le cadre du mandat de contrle qui leur a t con par le ZVV. Ainsi, dans le cas prsent, les CFF ont effectu le contrle dans le RER de Zurich sur mandat du ZVV, puis transmis les donnes au pool. Indpendamment de cette opration, les transports de la ville de Zurich VBZ ont galement, en leur qualit dofce dencaissement, saisi les donnes de la mme personne dans le pool de donnes ZVV. Les deux entreprises, SBB et VBZ, disposent dun accs clairement dni ce pool de donnes. Les donnes enregistres sont supprimes deux ans aprs lincident. Il apparat clairement que dans le cas prsent les donnes ont t saisies dans le pool ZVV dans le but de faire appliquer le tarif de manire uniforme et conformment aux dispositions susmentionnes. Ainsi, aucune communication de donnes illicite au sens de la loi sur la protection des donnes na eu lieu.
29
1.2.6
Vidosurveillance de lespace public effectue par des particuliers
Que faire si lon constate souvent la prsence de personnes suspectes devant sa proprit ou si le jardin devant sa maison est utilis comme dcharge? La solution apparemment la plus simple consiste installer une camra vido qui surveille la route devant le jardin. Ceci nest cependant pas admissible, quelques exceptions prs. Nous avons publi des informations complmentaires ce sujet dans notre feuillet thmatique Vidosurveillance effectue par des particuliers. Lutilisation de la vidosurveillance dans le domaine de la scurit sest depuis longtemps tablie en Suisse. De plus en plus de personnes installent des camras sur leurs proprits pour se protger contre les visiteurs indsirables et pour faciliter la recherche des auteurs en cas de vandalisme, de cambriolage ou dautres dlits. Ce faisant, on prouve souvent le besoin de surveiller galement lespace public situ devant la proprit prive. Ceci porte cependant atteinte aux droits de la personnalit dun grand nombre de personnes. Ainsi, nous avons reu ces derniers temps de nombreuses demandes de personnes concernes qui ont t lmes par de telles camras vido prives dans lespace public. Ces citoyens et citoyennes se sentent gns par ces camras, entravs dans leur libert de mouvement et demandent juste titre si une telle surveillance est permise. Assurer la scurit et lordre dans lespace public est une tche qui incombe en principe la police. Si un problme de scurit apparat sur une proprit et quil provient de lespace public, la premire mesure prendre est dalerter la police. En rgle gnrale, il ny a donc pas de motifs justiant linstallation dun systme priv de vidosurveillance dans lespace public. Plus de dtails sur ce thme ainsi que sur les exceptions possibles se trouvent dans notre feuillet thmatique Vidosurveillance effectue par des particuliers sur le site www.leprepose.ch sous Thmes Protection des donnes Vidosurveillance.
30
1.2.7
Enregistrement de donnes biomtriques: variantes conformes aux exigences de la protection des donnes
Aprs le jugement rendu en la cause KSS, qui a quali datteinte disproportionne la personnalit des clients le stockage centralis de donnes biomtriques dans les tablissements de loisirs, la question se pose de savoir comment stocker les donnes biomtriques tout en se conformant aux exigences de la protection des donnes. Nous avons test diffrentes variantes de stockage de ces donnes quant leur conformit avec la protection des donnes et publi les rsultats sur notre site web. Ces variantes devraient dune part rpondre aux besoins divers des exploitants de systme, dautre part sauvegarder les droits de la personnalit des personnes concernes. Les donnes biomtriques sont des donnes personnelles trs particulires. Elles permettent didentier une personne sur la base de caractristiques dpendantes de leur corps, qui ne peuvent ni tre choisies librement, ni changes ou modies facilement. Par consquent, toute utilisation abusive de caractristiques biomtriques reprsente un trs grave danger pour la personnalit des personnes concernes. Cest la raison pour laquelle les traitements de telles donnes doivent se conformer des exigences svres en ce qui concerne la protection et la scurit des donnes. Ceci a galement t reconnu par le Tribunal administratif fdral qui a jug un simple stockage centralis de donnes biomtriques dans le secteur des loisirs comme tant disproportionn. Les systmes de reconnaissance biomtrique se rpandent de plus en plus, aussi dans les tablissements de loisirs. Larrt du Tribunal administratif fdral soulve donc la question de savoir comment ces donnes peuvent tre stockes sans violer les droits de la personnalit des personnes concernes. Nous avons examin plusieurs variantes, en accordant une attention particulire aux divers besoins des exploitants de systmes, notamment la facilit de mise en uvre dans la pratique. Nous sommes arrivs la conclusion que pour pouvoir tenir compte du risque particulirement lev datteinte la personnalit, les exigences suivantes doivent toujours et imprativement tre remplies lors de lutilisation dun systme de reconnaissance biomtrique: Ces systmes ne peuvent tre utiliss que si les personnes concernes ont donn leur consentement. En dautres termes, toutes les personnes concernes doivent tre informes de manire adquate sur le systme. Elles doivent en outre pouvoir choisir une alternative qui nutilise pas de caractristiques biomtriques. Les donnes biomtriques brutes contiennent plus dinformations sur chaque personne quun gabarit (template) et peuvent ventuellement permettre de
31
tirer des conclusions sur ltat de sant ou la race dune personne. tant donn que les systmes de reconnaissance biomtrique ne requirent pas une telle quantit dinformations, on utilisera des gabarits au lieu de donnes brutes. An de minimiser tout risque dutilisation non autorise, les gabarits doivent en outre tre stocks sous forme chiffre.
Pour la conception future dun systme de reconnaissance biomtrique dans les tablissements de loisirs, nous voyons trois possibilits: Les donnes biomtriques sont stockes de manire dcentralise sur un support de donnes qui est en possession du client concern. Cela garantit que cette personne garde le contrle sur ses donnes biomtriques et que ces donnes ne peuvent donc pas tre utilises sans une coopration consciente de sa part. Cette variante rpond le mieux aux exigences de la protection des donnes et cest donc celle-ci quil faut prfrer. Les donnes biomtriques sont stockes de manire centralise. Elles ne peuvent cependant tre rattaches dautres donnes personnelles que moyennant un code dattribution qui est enregistr sur une carte dtenue par la personne concerne. Ainsi, les donnes biomtriques sortent de leur domaine de contrle mais, comme les rfrences dautres donnes de la personne concerne ne peuvent pas tre tablies sans sa collaboration consciente, le risque dabus sen trouve fortement limit. Les donnes biomtriques sont stockes de manire centralise. La rfrence dautres donnes personnelles nexiste pas et ne peut pas non plus tre tablie ultrieurement. Dans ce cas, seules des caractristiques biomtriques qui ne laissent pas de traces peuvent tre utilises (p. ex. forme des doigts, rseau veineux du doigt, forme de la main, mais pas les empreintes digitales, voir ce sujet notre guide mentionn ci-dessous). Comme il ny a pas de rfrence dautres donnes personnelles, le potentiel dabus est fortement restreint. De plus, lutilisation de caractristiques biomtriques ne laissant pas de traces garantit que les caractristiques biomtriques ne peuvent pas tre recueillies et utilises linsu des personnes concernes.
32
Plus de dtails gurent dans notre complment au Guide relatif aux systmes de reconnaissance biomtrique sur notre site www.leprepose.ch, sous Documentation Protection des donnes Brochures.
1.2.8
Systme de reconnaissance biomtrique pour la rservation despaces sportifs: Clture de la procdure
Un club de tennis a introduit un nouveau systme de rservation avec reconnaissance biomtrique des personnes. Notre examen sur place a montr que le systme doit tre adapt pour quil soit conforme aux exigences de la protection des donnes. Le club de tennis a accept notre recommandation et met actuellement en uvre les changements ncessaires. Nous avions dj constat lan dernier, lors de notre contrle du systme de rservation, que celui-ci ne satisfaisait pas aux exigences de protection des donnes certains gards (cf. notre 18e rapport dactivits 2010/2011, ch. 1.2.6 et 4.1.2). Ainsi, les membres du club ntaient pas sufsamment informs sur le traitement des donnes lies la reconnaissance biomtrique, le systme tait librement accessible sur le site web du club, aucun dlai de destruction navait t dni, ni pour les donnes des membres, ni pour les donnes biomtriques, et les moyens mis en uvre pour assurer la scurit physique et logique des donnes ntaient pas sufsants. En particulier, les donnes dactyloscopiques taient galement stockes de manire centralise sans mesures de scurit supplmentaires, ce qui, selon larrt du Tribunal administratif fdral en la cause KSS, est absolument disproportionn. Le club de tennis partage notre avis que la manire dont il a trait les donnes biomtriques jusquici nest pas conforme aux exigences de la protection des donnes. Il a cependant dclar que cela stait fait sans mauvaises intentions et quil souhaitait protger les droits de la personnalit de ses membres, et a entirement accept nos recommandations. Linformation aux membres a t nettement amliore, le site web remani de manire respecter les exigences de la protection des donnes, des dlais de destruction des donnes ont t dnis et diverses mesures ont t prises pour amliorer la scurit des donnes. Au dbut du prochain exercice du club, le systme de rservation actuel sera dailleurs modi dans le sens que les donnes biomtriques seront dornavant enregistres sur une carte individuelle en possession du membre concern (cf. le complment au Guide relatif aux systmes de reconnaissance biomtrique sur notre site web www.leprepose.ch, sous Documentation Protection des donnes Brochures). Cela signie qu partir de la mise en uvre du nouveau systme, aucune donne biomtrique ne sera plus stocke de manire centralise et que les membres auront ainsi nouveau le contrle sur leurs donnes biomtriques. Avec ces adaptations, le club de tennis remplit nos exigences envers une utilisation proportionnelle et donc respectueuse de la protection des donnes de systmes de reconnaissance biomtrique. La procdure peut donc tre close avec succs.
33
1.2.9
Stockage centralis de photos de clients dans les stations de ski
Dans le cadre de ltablissement des faits effectu dans une station de ski, nous avons examin le systme de contrle daccs dun fabricant renomm. Cet examen a rvl que le systme satisfait en majeure partie aux exigences de protection des donnes mais que des amliorations sont ncessaires en ce qui concerne la scurit des donnes lors du stockage central des photos des clients. Un grand nombre de stations de ski en Suisse utilisent des systmes de contrle daccs du mme fabricant. Dans le cadre dun examen effectu dans une station de ski suisse, des questions concernant la conformit de leur systme avec la protection des donnes sont apparues. Nous avons alors pris contact avec le fabricant pour, avec sa collaboration, analyser ses produits et ainsi pouvoir mettre en uvre les ventuelles amliorations de manire centralise chez lui. Nous avons alors constat que le systme respecte la plupart des principes de protection des donnes pour autant que les stations de ski le congurent correctement. Ainsi, il est possible de congurer le systme de manire quil collecte uniquement les informations ncessaires des clients, que celles-ci ne soient pas stockes plus longtemps que ncessaire et que les droits daccs certaines catgories de donnes soient dnis de manire restrictive. Dautre part, le systme a un concept clair et permet facilement de corriger ou de supprimer des donnes incorrectes. Il est donc possible dexploiter le systme de manire que le traitement des donnes soit proportionn et que lexactitude des donnes puisse tre garantie. Que ces systmes soient exploits de manire conforme la protection des donnes ou non dpend donc des stations de ski. Le seul point damlioration que nous avons constat concerne la protection des prises de vue, qui ncessite dtre adapte. Le systme a pourtant t conu de sorte que les donnes ne puissent pas facilement tre lues et utilises dautres ns ou mme soustraites. Mais, la base de donnes photographiques pouvant galement contenir des donnes personnelles sensibles, cette protection doit tre amliore. Nous examinons actuellement avec le fabricant quelles mesures pourraient tre mises en uvre dans les futurs systmes pour rpondre entirement aux exigences de protection des donnes.
34
1.2.10 Le traitement de donnes personnelles en relation avec des manifestations sportives

Dans le cadre de rencontres dites de sport de masse, les donnes personnelles de participants font lobjet de diffrents traitements. Nous avons donc soumis un fournisseur de services de la branche un examen des faits. cette occasion, nous avons pris en considration la fois les traitements de donnes auxquels il procde lui-mme et linterface utilisateur quil offre aux organisateurs des vnements sportifs. Dune manire gnrale, les organisateurs dun vnement sportif qui dsirent traiter des donnes personnelles doivent avoir un motif justicatif. Pour les participants, il est vident lorsquils sinscrivent que leurs donnes seront traites dans le cadre de lvnement sportif an dtablir la liste de dpart, adresser des informations, attribuer un numro de dossard, tablir les listes de classement afcher, ainsi que pour la crmonie de remise des prix, les comptes-rendus dans les mdias et les informations des commentateurs. Ces utilisations sont justies par lintrt priv des organisateurs et lintrt public rattach la manifestation sportive. Nanmoins, une communication de donnes par lorganisateur sur Internet, par exemple sous forme de publication des listes de dpart, de listes de classement ou sous forme de lien avec des photos de lvnement sportif ne va gnralement pas de soi. Cest la raison pour laquelle ce genre de communication doit tre indiqu dans la dclaration de protection des donnes ou gurer dans la description des prestations contenues dans les frais dinscription. La personne concerne doit avoir la possibilit de contester une telle publication de ses donnes sur Internet. De mme, lorganisateur nest pas autoris transmettre sans information pralable des donnes personnelles des tiers, par exemple des photographes qui, aprs la manifestation, vendent des photos des participants ou des entreprises qui poursuivent des objectifs publicitaires. Toutefois, il ne suft pas dinsrer un renvoi dans le rglement ou dans la dclaration de protection des donnes; en effet, ce genre de traitement de donnes est inhabituel en marge des manifestations sportives. Lorganisateur doit donc disposer du consentement valable des participants; ce consentement prsuppose que lon a attir explicitement leur attention sur la transmission de donnes se rapportant des personnes, sur son but ainsi que sur les possibilits de sopposer la publication. Nous demandons donc aux organisateurs de manifestations sportives de prsenter clairement et de manire complte sur le formulaire dinscription ou sur linscription en ligne les nalits du traitement de donnes et de prciser quels tiers les donnes seront communiques. En outre, les organisateurs doivent donner la possibilit tout
35
participant de refuser que ses donnes personnelles soient publies (sur Internet, dans des journaux) ou transmises des tiers. Nous suggrons de prvoir cet effet une case cocher sur le formulaire ou par lindication dune possibilit de contact (e-mail, tlphone ou autres) auprs de laquelle le participant peut faire valoir son refus. Linterface dadministration offerte aux organisateurs favorise un traitement proportionn des donnes. Ainsi le fournisseur a limit les donnes personnelles saisies dans le systme celles qui sont ncessaires lorganisation. Leffacement, la n de la manifestation, des numros de tlphones librement indiqus pour pouvoir envoyer les SMS ncessaires au droulement de lvnement sportif, fait galement partie de ce traitement proportionn des donnes. Pour ce qui est des banques de donnes, une solution est offerte aux organisateurs permettant de sparer clairement ces banques de donnes et de traiter les informations requises. En outre, la cration de listes partir des informations ncessaires la manifestation sportive est limite. Pour ce qui est des donnes personnelles appartenant aux organisateurs, le mode daccs et deffacement doit encore tre adapt au cas o les demandes sont adresses par erreur aux fournisseurs.
1.2.11 Publication de photos de hooligans par un club de football

Un club de football na pas le droit de publier sur son site web des photos de personnes souponnes davoir lanc des ptards et pas non plus dappeler les visiteurs du site communiquer toute information utile sur les personnes en question. Un tel avis de recherche public est exclusivement du ressort de la police, dans les cas o les conditions requises sont remplies. Un club de football a publi sur son site les photos de deux personnes en exhortant les visiteurs communiquer par courriel toute information utile concernant les deux hommes (dont lun tait prsum avoir lanc des ptards et lautre ly avoir aid). Les hommes ont rapidement pu tre identis, sur quoi les images ont t retires du site. Nous avons attir lattention du club sur le fait quil navait pas le droit de publier des photos de cette faon. notre avis, une telle publication ne peut pas tre justie au sens de la loi sur la protection des donnes, tant donn que ni lassentiment de la personne concerne, ni un intrt prpondrant public ou priv, ni une loi nexiste. La dmarche correcte consisterait remettre les photos, accompagnes dune plainte pnale, la police. Il incomberait ensuite celle-ci de vrier si les conditions permettant une publication sur son site web sont runies, comme la fait par exemple la police municipale de Zurich avec un avis de recherche public.
36
1.2.12 Formulaire pour le contrle mdical subsquent effectu par un mdecin-conseil

Le contrle mdical subsquent effectu par un mdecin-conseil en vue de vrier laptitude conduire ainsi que les formulaires correspondants font lobjet dune rglementation au niveau fdral. Lapprciation du traitement des donnes effectu par le service cantonal des automobiles relve cependant de la comptence de lautorit cantonale de protection des donnes. Nous avons reu diverses demandes en rapport avec ces contrles mdicaux. Ces contrles sont rglements au niveau fdral, savoir dans lordonnance rglant ladmission des personnes et des vhicules la circulation routire (OAC). Larticle 27 de cette ordonnance prcise qui doit se soumettre un tel examen mdical. Sont concerns en particulier tous les conducteurs gs de plus de 70 ans. La formule reproduite lannexe 2 de lOAC numre les points qui sont examins lors de ce contrle mdical. En revanche, le rsultat de lautorit cantonale doit tre communiqu par la formule de lannexe 3 (art. 27 OAC, ch. 3). La responsabilit dapprcier si le service cantonal des automobiles traite correctement ces donnes incombe lautorit cantonale de protection des donnes.
37
1.2.13 Contrles relatifs llaboration des rglements de traitement dans ladministration fdrale
Dans le cadre de notre activit de surveillance, nous avons vri auprs de plus dune vingtaine dofces sils respectaient leur obligation lgale dlaborer un rglement de traitement pour les chiers rpondant certains critres. Ce contrle a mis en lumire dimportantes lacunes et nous a permis dattirer lattention des conseillers la protection des donnes des ofces fdraux concerns sur leurs obligations lgales et sur nos explications relatives llaboration dun tel rglement de traitement. Au cours de lanne sous revue, nous avons vri auprs de plus dune vingtaine dofces sils respectaient leur obligation lgale dlaborer un rglement de traitement pour les chiers rpondant aux critres de larticle 21, 1er alina, de lordonnance relative la loi fdrale sur la protection des donnes (OLPD). Ce dernier stipule que les organes fdraux sont tenus dtablir un rglement de traitement pour les chiers automatiss, notamment sils contiennent des donnes personnelles sensibles ou des prols de la personnalit ou sils sont utiliss par plusieurs organes fdraux.
Lobjectif de ce contrle tait de vrier lexistence des rglements de traitement et non pas de nous prononcer sur le contenu de ces derniers. Nous avons contrl une trentaine de chiers et avons constat de manire gnrale que lobligation dlaborer un rglement de traitement tait souvent mconnue. Ainsi, plusieurs rglements de traitement faisaient dfaut ou avaient t rdigs il y a plusieurs annes sans tre mis jour depuis. Dautres chiers taient annoncs dans notre registre alors quils nexistaient plus. Nous avons donc prot de ce contrle an de rappeler aux conseillers la protection des donnes des ofces fdraux concerns leurs obligations lgales et nous avons attir leur attention sur nos explications relatives llaboration dun rglement de traitement publies sur notre site web www.leprepose.ch, sous Documentation Protection des donnes Brochures Mesures techniques et organisationnelles. Nous leur avons par ailleurs rappel quindpendamment de lobligation lgale prcite, toute mise en place dun systme dinformation dans ladministration fdrale implique llaboration dun rglement de traitement dj au niveau de la phase danalyse prliminaire de tout projet informatique, comme le prvoit clairement la procdure Hermes (cf. point 3.3.4 du manuel Hermes: Adaptation de systmes, respectivement point 3.3.3: Dveloppement de systmes). Ce contrle a permis une importante sensibilisation aux lacunes constates ds lors quau dbut de notre contrle, seuls 10 chiers parmi les 34 contrls possdaient un rglement de traitement, alors quau terme de notre contrle tous les chiers rpondant aux critres de larticle 21 OLPD sont dots dun rglement de traitement.
38
1.2.14 Exigences envers un rglement de traitement

Le rglement de traitement slabore dj dans les tapes de planication dun projet pour tre ensuite mis jour dans la phase dexploitation du systme. An deffectuer cette mise jour, la personne responsable doit disposer des informations ncessaires, notamment sur les modications apportes au systme et sur les contrles effectus. Le rglement de traitement est destin assurer la transparence ncessaire aussi bien en termes de protection des donnes que de scurit des donnes et de linformation. La premire version du rglement de traitement doit tre disponible au terme des phases de planication du projet. Il est ensuite mis jour durant la priode dexploitation du systme. En phase dexploitation, il sagit de documenter en particulier tant les modications apportes au systme que les contrles effectus avec leurs rsultats. Il convient de noter quune telle documentation ne peut tre mise jour que si la personne qui a labor le rglement et le complte par la suite obtient les informations ncessaires.
Nos exigences envers un rglement de traitement sur notre site web www.leprepose.ch, sous la rubrique Documentation Protection des donnes Brochures Mesures techniques et organisationnelles, dans la colonne de droite. Hermes, le standard de ladministration fdrale suisse pour la gestion et lexcution des projets relatifs aux technologies de linformation et de la communication, attire lattention plusieurs reprises au stade de lanalyse prliminaire sur le rglement de traitement de la protection des donnes. Le rglement de traitement constitue un rsum clair des points importants en matire de protection des donnes et de scurit de linformation. Au cas o des informations (telles quun concept de scurit ou une documentation dtaille des processus) ont t labores de manire plus approfondie, le rglement y renverra, aprs une documentation de synthse dans le rglement mme. Le rglement de traitement doit tre rdig de manire claire et concise, de manire que mme des non-spcialistes puissent comprendre et juger le systme.
39
1.3
1.3.1
Internet et tlcommunication
Golocalisation laide dappareils mobiles
Les appareils mobiles permettent de relever des donnes de position gographique pour des services de golocalisation. Si ces donnes sont stockes sur une longue priode, elles permettent dtablir un prol de mouvement dtaill des utilisateurs des appareils. Dans le cadre dun examen des faits, nous avons donc analys les traitements de donnes quApple ralise ce sujet; en mme temps Apple lanait une mise jour du logiciel permettant dempcher la saisie des donnes de position gographique. Au printemps 2011, on a appris que les appareils mobiles fonctionnant sous iOS enregistraient des donnes de position gographique, les envoyaient Apple et en plus, les dposaient sur les ordinateurs chargs de les synchroniser. tant donn que la collecte de donnes de positionnement relatives une personne ou un appareil constitue un traitement de donnes personnelles, nous avons procd un examen des faits. Selon Apple, tous les emplacements dantennes de tlphonie mobile et de bornes WiFi (hotspots) ntaient pas enregistrs par lappareil lui-mme. La socit Apple fournissait elle-mme des informations relatives des emplacements se trouvant ventuellement proximit du tlphone. Lobjectif de cette collecte de donnes est de permettre de dterminer plus rapidement la position de lappareil pour diverses applications. En outre, en raison dune erreur de programmation, les emplacements dantennes taient saisis dans le secteur de rception de lappareil mme aprs la dsactivation des services de localisation et taient envoys Apple. La mise jour iOS du 4 mai 2011 a permis dliminer cette erreur. Par ailleurs, depuis la mise jour, le chier avec les donnes de position gographique nest plus sauvegard par lintermdiaire du programme iTunes sur dautres appareils. Les donnes collectives recueillies par les utilisateurs (crowd-sourcing) en matire de Wi-Fi, hotspot et tlphonie mobile sont effaces au bout de sept jours et toutes les informations de localisation temporaires sont effaces lorsque les services de localisation sont teints. Les modications gnres par la mise jour mentionne du systme dexploitation permettent aux utilisateurs deffacer les informations locales ainsi que dempcher leur saisie et leur transmission. Les exigences poses par le droit de la protection des donnes taient ainsi satisfaites et nous avons pu clore notre examen des faits. Il reste toutefois souligner quindpendamment du systme dexploitation, les utilisateurs sont, comme auparavant, libres de choisir les applications, programmes ou
40
fabricants auxquels ils coneront leurs donnes (de positionnement) et livreront ventuellement des informations permettant dtablir un prol (de mouvement) dtaill. Dans le but de rduire au maximum les risques lis ces actions, ils devraient dune part lire attentivement les conditions gnrales de vente et la dclaration de protection des donnes de la marque, dautre part adapter les paramtrages daccs pour les programmes.
1.3.2
Marketing en ligne: protection des utilisateurs dInternet
En novembre 2009, le parlement de lUE a rvis la Directive Vie prive et communications lectroniques. Une des modications importantes concerne les exigences relatives au stockage des cookies sur un terminal, ou laccs ces derniers. La solution de loption de retrait (optout) propose dans lancienne version de la directive a t remplace par une solution de consentement inform (informed consent), cest-dire par une volont (opt-in) exprime par lutilisateur aprs avoir t inform en dtail sur la nature et le but du traitement des donnes. Il est faux de croire que lon est anonyme lorsquon navigue sur le web. LInternet est un mdia interactif, et chaque visite dun site web laisse des traces sous forme dinformations collectes. Ainsi, la mthode de lonline tracking, qui enregistre les actions des utilisateurs sur plusieurs sites web, utilise divers procds et moyens en fonction des buts poursuivis. Elle constitue une atteinte la vie prive et peut, dans une certaine mesure tre contourne par des mesures techniques, ce qui est rarement le cas tant donn que les utilisateurs ne sen rendent pas compte. Les nouvelles exigences de lUE ont cr passablement de remous, notamment dans le secteur du marketing en ligne. Cette branche ralise une grande partie de ses revenus publicitaires grce ce ciblage comportemental (Online Behavioral Advertising OBA). On regroupe sous cette appellation toutes les offres publicitaires qui safchent sur lcran de lutilisateur en se basant sur les donnes collectes lors des visites prcdentes, le plus souvent laide de cookies. Inquits par les nouvelles dispositions de lUE, nombre dacteurs importants y ont vu une mise en danger de la publicit en ligne alli une crainte que les prestations gratuites sur Internet puissent disparatre. La European Advertising Standards Alliance ainsi que le Interactive Advertising Bureau Europe dsirent empcher une lgislation stricte dans les tats membres de lUE et ont donc labor un code de conduite (Code of Conduct) comme mesure dautorgulation pour leurs membres. Ce code prvoit, pour lessentiel, une option de retrait (opt-out) qui permet lutilisateur de sopposer lenregistrement de
41
ses habitudes de navigation. Le Groupe de travail Article 29 lorgane consultatif de la Commission europenne en matire de protection des donnes , a cependant relev une nouvelle fois dans un document publi en dcembre 2011 que les mesures dautorgulation proposes ne satisfaisaient pas aux exigences lgales. Selon lui, linformation et la transparence lors de lutilisation des outils OBA doivent tre amliores. Il est en outre davis que le systme opt-out propos pour sopposer recevoir de la publicit en ligne cible est incompatible avec loption opt-in prvue dans la directive pour les cookies. Certains tats membres de lUE ont dj mis en uvre les exigences de la directive dans leur droit national, alors que dautres ont encore du mal. En fait, il semble que cela reprsente un norme d de rpondre aux exigences lgales du consentement inform, tout en vitant de limiter trop fortement la convivialit lors de la navigation sur Internet. Alors que les pays europens soccupent de la problmatique des cookies, les tatsUnis luttent pour trouver leur propre solution, qui devrait restreindre laccs quasi illimit des entreprises aux donnes prives sur Internet. Ladministration Obama a lanc un vaste projet de loi, qui selon un rapport publi dans le Wall Street Journal trouve lappui des dmocrates, mais aussi des milieux industriels, tels que Microsoft. Ils ne sont pas les seuls, puisque mme les principaux organismes du commerce tels que la Federal Trade Commission (FTC) et la Chamber of Commerce sont devenus actifs: voyant dun ct les proccupations grandissantes des citoyens et de lautre une activit de suivi quasi illimite, de mme quune vive commercialisation des donnes prives, les gouvernements se sentent obligs dintervenir. Les utilisateurs disposent eux aussi de moyens pour endiguer lenregistrement par des tiers de leurs actions sur la Toile. Les principaux navigateurs web tels que Internet Explorer, Mozilla Firefox, Safari ou Google sont aujourdhui quips de fonctions de respect de la vie prive. Tout dabord, il est conseill dinstaller toujours la dernire version dun navigateur. Ensuite, il est possible de grer les cookies laide de fonctions de recherche et de rglages spciques. Une autre mthode permettant de limiter le suivi des visites de site consiste utiliser le mode navigation prive. Dans Chrome, la fonction sappelle Incognito. Il y a cependant lieu de noter que le mode navigation prive ne bloque pas les cookies. Par contre, une fois que lon ferme le navigateur ils sont tous supprims de mme que lhistorique des sites visits. Linstallation de modules dextension (Plugins ou Addons) dans le navigateur peut en outre contribuer mieux contrler les atteintes la vie prive. Nous soutenons dune part les initiatives prives visant amliorer le respect de la vie prive dans le domaine du marketing en ligne, en dialogue avec les reprsentants de la
42
branche en Suisse. Dautre part, nous suivons de prs les dveloppements ltranger. Bien sr, une solution spciale pour la Suisse est impensable, ne serait-ce que parce que les sites web des prestataires ou des rseaux publicitaires suisses ne sarrtent pas nos frontires. Il est incontestable que linformation et la transparence doivent tre garanties lors de lutilisation de ces outils de traage. En fonction de la sensibilit des donnes traites, les exigences envers le devoir dinformation peuvent tre accrues. Il se peut mme que certains traitements ncessitent le consentement explicite de lutilisateur pour quils soient autoriss.
1.3.3
Courriels non sollicits (pourriels ou spam)
Nous recevons rgulirement des demandes sur le thme des pourriels, par exemple sur la qualication dadresses de courriel en tant que donnes personnelles. Par ailleurs, le cadre rglementaire a t adapt durant ces dernires annes aux ds techniques. Ceci nous incite exposer succinctement la situation de droit actuelle. Par pourriel (ou spam) il faut entendre un message lectronique non sollicit, gnralement indsirable et rpt, envoy en masse. Nous avons abord ce sujet plusieurs reprises dj (cf. notre 9e rapport dactivits 2001/2002, ch. 8.2, et notre 10e rapport dactivits 2002/2003, ch. 8.1 et 13.7.3). La Commission fdrale de la protection des donnes a conrm notre avis par son arrt du 15 avril 2005: les adresses de courriel sont des donnes personnelles au sens de la loi sur la protection des donnes quil sagisse ou non de dsignations de fantaisie. Le but protecteur de la loi est en consquence dterminant: Selon le jugement, lorsque des personnes mettent disposition des canaux de communication actifs (numros de tlphone, adresses de courriel) et sont atteignables de cette manire, il existe un couplage incontestable entre les personnes et ces donnes. La personne a droit lautodtermination individuelle en matire dinformation dans le cadre que lui accorde la loi. Cest pourquoi sous rserve de dispositions contraires elle dtermine seule si ses donnes peuvent tre traites ou non. Le fait que ces donnes soient constitues de sries de chiffres ou de dsignations de fantaisie ne peut jouer aucun rle, tant quelles sont explicitement attribues cette personne. Cest clair demble pour les numros de tlphone. Il nen va pas autrement des adresses de courriel (Jugement de la Commission fdrale de la protection des donnes du 15 avril 2005, consid. 2.4). Une collection dadresses de courriel (telle que les expditeurs de spams en constituent) est ainsi un chier de donnes personnelles et la personne dont ladresse de courriel y gure a, aux termes de la loi sur la protection des donnes, un droit daccs envers le matre de chier. La provenance des donnes doit tre clairement rvle,
43
dans la mesure o les indications correspondantes sont disponibles pour le matre de chier. Dautres lois fdrales offrent galement des moyens lgaux pour agir en cas de harclement par des courriels non sollicits: Depuis le 1er avril 2007, la lgislation suisse interdit expressment lenvoi de courriels non sollicits. La loi fdrale contre la concurrence dloyale (LCD) prvoit plusieurs actions de protection face au pollupostage. La loi sur les tlcommunications (LTC) prvoit les mesures que les fournisseurs de services de tlcommunications sont tenus de prendre contre le spam. Pour tre licite, le publipostage de masse par Internet ou par voie de tlcommunication doit remplir les conditions suivantes:
Les messages publicitaires ne peuvent tre envoys quaux destinataires qui ont pralablement consenti en recevoir (option dadhsion ou opt-in). Les expditeurs de publicit de masse doivent disposer du consentement exprs du destinataire avant mme lenvoi du premier courriel. Lexpditeur de la publicit doit tre clairement identiable. Son adresse doit tre indique correctement. Lidentit de lexpditeur ne doit tre ni camoue, ni falsie. Dans chacun de ses messages publicitaires, lexpditeur doit offrir aux destinataires la possibilit de refuser facilement et gratuitement lenvoi dautres messages et il doit les informer clairement de cette possibilit.
44
Les bases lgales concernant le spam gurent en dtail sur notre site web www.leprepose.ch, sous Documentation Protection des donnes FAQ Informatique de mme que des conseils pratiques pour viter dtre importun par des spams.
1.3.4
Prises de vue des voies publiques sur Internet
Dans notre 18e rapport dactivits 2010/2011, au ch. 1.3.3, nous avions inform sur larrt du Tribunal administratif fdral (TAF) dans laffaire Google Street View; le TAF avait approuv nos recommandations sur tous les points essentiels et leur avait donn un caractre obligatoire. Google a dpos un recours contre ce jugement devant le Tribunal fdral. Le TAF a, comme nous dailleurs, pris position sur les allgus du recourant en demandant que le recours soit entirement rejet. Le jugement du Tribunal fdral est attendu prochainement.
1.3.5
Intgration de plugins sociaux sur des sites Internet
Lintgration de contenus Internet de fournisseurs tiers nest pas un nouveau phnomne. Si au dbut, il sagissait dinformations boursires ou de bulletins mtorologiques, on nous offre aujourdhui, lre du tout interactif, la possibilit de commenter ou dintgrer articles ou blogs. An de faciliter cette interactivit, les fournisseurs de rseaux sociaux offrent leurs plugins aux diteurs de site Internet. Mais leur intgration nest pas sans poser quelques problmes du point de vue de la protection des donnes. En 2006, nous nous sommes dj exprims sur une question analogue, celle des webbugs (les pixels espions), nous avons expos les problmes qui se posent au regard de la protection des donnes et indiqu quelles possibilits daction soffraient aux diteurs de sites et aux utilisateurs dInternet (voir www.leprepose.ch), Thmes Protection des donnes Protection technique des donnes Thmes techniques). Lutilisation de plugins sociaux est aujourdhui un thme comparable; leur forte diffusion accentue toutefois les problmes de protection des donnes. Il convient de souligner cet endroit les possibilits de traage dont disposent les fournisseurs; en effet, linformation signalant quun site Internet contenant des plugins sociaux est visit est transmise ds que le site est appel. An de se conformer aux exigences de loi suisse sur la protection des donnes, lditeur dun site Internet qui intgre les contenus de fournisseurs tiers doit tout particulirement veiller informer de manire prcise les utilisateurs de son site Internet sur les traitements de donnes lis la visite de ce site. Sont galement disponibles sur notre site Internet des indications dtailles sur les points que doit comporter une dclaration de protection des donnes et comment procder pour rdiger cette dclaration (voir www.leprepose.ch, FAQ Protection des donnes Commerce et conomie Dclarations de traitement des donnes dans le commerce lectronique). Par ailleurs, les diteurs de sites Internet doivent prendre des mesures techniques et organisationnelles appropries an dviter les atteintes injusties aux droits de la personnalit. Dans le contexte concret des plugins sociaux, nous renvoyons aux possibilits de mise en uvre conformes aux principes de protection des donnes, librement accessibles sur Internet (boutons de recommandation deux clics). Pour leur part, les utilisateurs dInternet doivent assumer leur responsabilit en adaptant leur comportement en matire de navigation et la conguration de leurs logiciels en fonction des possibilits existant aujourdhui sur Internet et en trouvant le juste milieu entre la protection de leur sphre prive et un confort dutilisation qui rponde leurs besoins.
45
1.3.6
Plateforme Internet dvaluation des bailleurs immobiliers
Un site web permet aux locataires de faire part de leurs commentaires sur leurs bailleurs et de les valuer. Les exploitants de cette plateforme dinformation et dvaluation esprent ainsi amliorer la transparence sur le march de la location immobilire. Du point de vue de la protection des donnes, ces plateformes peuvent toutefois entraner des problmes juridiques. Un site web permet aux locataires de la Suisse entire de faire part, anonymement, des expriences quils ont faites avec leurs bailleurs. Dans un premier temps, ils communiquent les donnes de leur bailleur. Ils procdent ensuite une valuation en rpondant des questions standardises. Les rponses aux questions sont donnes en attribuant de zro cinq toiles. Le nombre dtoiles recueillies est ensuite converti moyennant un systme dvaluation pour donner nalement un taux de recommandation. En principe, de telles plateformes peuvent tre utiles en tant que source dinformation pour certains publics cible. Elles prsentent cependant un gros risque datteinte la personnalit. Sous langle de la protection des donnes, il importe tout dabord de prciser que lexploitant du site en question doit savoir quil rpond lui-mme de la publication de donnes personnelles sur son site. ce jour, les bailleurs nont pas t informs que des donnes les concernant avaient t enregistres et nont donc eu aucune possibilit de donner leur consentement, ni la publication, ni lvaluation subsquente. Pourtant, une publication de donnes de bailleurs immobiliers sur un site web constitue un traitement de donnes personnelles selon la loi sur la protection des donnes, qui, de toute vidence, ne peut tre justi que par le consentement des personnes concernes. Nous avons fait remarquer aux exploitants de ce site quil est indispensable dinformer de manire dtaille les bailleurs sur le traitement des donnes personnelles et sur le but poursuivi et dobtenir leur consentement. Dautre part, il faut tre conscient du fait que la publication sur le web dinformations concernant une entreprise ou une personne peut constituer une atteinte la personnalit. Pour viter cela, lexploitant devrait donc prendre certaines prcautions. Les locataires qui mettent des critiques anonymes devraient sidentier sur le site, de manire que leur identit soit connue de lexploitant du site et quils puissent tre poursuivis en cas datteinte grave la personnalit. Cela ntait pas le cas sur le site susmentionn. Les visiteurs pouvaient sy enregistrer simplement en indiquant leur adresse de courriel, puis dposer de manire anonyme leurs proccupations, commentaires et valuations.
46
Nous avons expliqu aux exploitants quelles taient les lacunes de leur site en termes de protection des donnes et avons discut avec eux des amliorations possibles. Les responsables ont pris connaissance de nos remarques et cherchent maintenant des moyens de remanier leur site pour combler ces lacunes. Le site web reste hors service jusqu la ralisation de ces modications.
1.3.7
change de contenus sur Internet Situation juridique aprs larrt Logistep
Larrt Logistep du Tribunal fdral a encore requis notre attention durant lanne sous revue. Nous avons notamment indiqu les conditions dans lesquelles, notre avis, des particuliers peuvent, aussi aprs le jugement, traiter des donnes personnelles dans le cadre de la poursuite de violations du droit dauteur sur Internet de manire conforme la protection des donnes. Dans notre 18e rapport dactivits 2010/2011, ch. 1.3.5, nous avons rendu compte de larrt du Tribunal fdral en la cause Logistep (ATF 136 II 508). Le tribunal avait exprim dans ses considrants son malaise face lactuelle rglementation lgale manifestement ressentie comme insufsante. Dans son rapport de gestion 2010 (p. 17), il indiquait aussi explicitement quil appartenait au lgislateur de prendre les mesures ncessaires pour assurer une protection des droits dauteur approprie aux nouvelles technologies. Nous sommes toutefois davis que les considrants faisaient aussi Logistep, respectivement son mandant, le reproche davoir en partie prot dincertitudes cres par lentreprise mme pour faire valoir des prtentions civiles (excessives). Et ceci avant que la culpabilit de personnes prsumes violer le droit dauteur nait t constate dnitivement dans une procdure pnale satisfaisant aux exigences dun tat de droit. Selon nos recherches en 2008, cest prcisment sur ce point que la dmarche dautres dtenteurs de droits dauteur poursuivant des personnes prsumes avoir viol les droits dauteur diffre de celle adopte par Logistep: ainsi, lIFPI Suisse (lassociation fatire des producteurs de supports sonores et audiovisuels) attend toujours une condamnation pnale excutoire avant de se porter partie civile contre les personnes ayant viol les droits dauteur. Nous avons inform lIFPI Suisse en mars 2008 dj qu notre avis elle ne viole pas la loi sur la protection des donnes avec cette manire de procder. Suite la dcision Logistep, lIFPI Suisse et SAFE (Association suisse pour la lutte contre le piratage) ont pris contact avec nous. Les deux associations nous ont assur que leur
47
dmarche correspond celle qui nous a t prsente au printemps 2008. Nous leur avons donc communiqu quil nous paraissait toujours possible dadmettre un intrt prpondrant, justiant donc les atteintes la personnalit lies ces traitements de donnes, sil est assur que la collecte et lenregistrement des donnes ne va pas au-del de ce qui est absolument ncessaire pour dposer (auprs des autorits locales comptentes) une plainte pnale contre des personnes prsumes avoir viol les droits dauteur; sil est assur que les ngociations pour les prtentions en rparation du dommage menes entre les dtenteurs des droits dauteur et les personnes prsumes avoir viol ces droits nont lieu qu leur initiative ou alors aprs une condamnation pnale excutoire; et si les dtenteurs des droits dauteur intensient leurs efforts an de rendre la collecte des donnes personnelles et le but de leur traitement aussi reconnaissables que possible pour les personnes concernes. Ils doivent cet effet, notamment un emplacement aisment accessible et visible sur leurs sites web, rvler en toute transparence leur manire de procder (y compris des indications dtailles sur la nature et ltendue des donnes collectes) et exprimer clairement que des actions en rparation du dommage ne seront engages quenvers des personnes condamnes pnalement avec force excutoire pour violation des droits dauteur.
48
Nous avons attir en outre lattention de SAFE et de lIFPI sur le fait que les chiers devaient tre enregistrs chez nous lorsque des donnes personnelles sensibles ou des prols de personnalit sont rgulirement communiqus des tiers. Dans ces conditions, il reste notre avis toujours possible dengager des poursuites conformes la protection des donnes en cas de violation des droits dauteur sur Internet. Toutefois, comme nous navons pas de par la loi le pouvoir dapprouver formellement des traitements de donnes, une valuation juridiquement contraignante ne peut tre faite que par les tribunaux comptents, comme dans le cas Logistep. Dans ce contexte, il importe encore de relever que si les tribunaux pnaux devaient instaurer une jurisprudence stable selon laquelle les adresses IP collectes par des particuliers ne sont gnralement pas utilisables dans une procdure pnale, nous devrions revoir notre analyse. Du point de vue de la protection des donnes, lenregistrement et la communication des adresses IP par des particuliers ne seraient plus possibles selon le droit applicable lors dactions intentes pour violation des droits dauteur. La collecte de donnes serait demble inapproprie pour le but poursuivi, et le traitement des donnes disproportionn en consquence.
1.3.8
Surveillance lectronique: protection contre la copie des jeux informatiques
Un jeu pour ordinateur sorti lautomne dernier a caus un certain moi dans la presse. Apparemment, le systme de protection contre la copie de ce jeu espionnait les ordinateurs des utilisateurs et transmettait au fabricant des informations sur les donnes stockes sur lordinateur, sur le comportement des utilisateurs et bien plus encore. Nous sommes actuellement en train danalyser le logiciel contest quant sa conformit avec la protection des donnes. Tout utilisateur qui dsire utiliser le jeu en question doit dabord installer une application supplmentaire et senregistrer auprs du fabricant sur une plateforme web. Le but de cette mesure est apparemment dempcher lutilisation de copies pirates. Linstallation de lapplication et lenregistrement sont obligatoires, indpendamment du fait que lon joue en mode multijoueur en ligne ou seulement en mode monojoueur hors connexion. Aprs la sortie du jeu, les mdias ont largement rapport que les joueurs taient espionns laide de cette application. Selon eux, le fabricant recevrait des informations dtailles concernant toutes les activits de lordinateur en question ainsi que sur tous les chiers qui y sont stocks sans que lutilisateur ne remarque quoi que ce soit. Dautres informations de presse ont plus tard relativis en partie cette reprsentation. Nous avons entretemps t contacts par de nombreux joueurs inquiets. Ceci nous a incits contacter le sige suisse de ce fabricant et soumettre le traitement de donnes personnelles du jeu incrimin un contrle de conformit la protection des donnes. Ces examens sont en cours. Nous informerons le public sur les rsultats de ce contrle le moment venu.
49
1.3.9
Utilisation des donnes dadresses issues de formulaires de contact pour lvaluation de sites web
Les exploitants de sites web possdent les donnes dadresse des visiteurs qui ont rempli le formulaire de contact pour une communication ou une demande. Il leur vient naturellement lide dutiliser ces adresses pour lenvoi dun questionnaire dvaluation du site web. tant donn que ces donnes dadresse sont des donnes personnelles, une telle utilisation nest pas admissible demble. Comme nous avons pu le constater dans le cadre dune demande, les exploitants de sites web ont un certain intrt utiliser les donnes dadresses collectes par lintermdiaire du formulaire de contact dautres ns. Une utilisation possible est en particulier lenvoi dun questionnaire permettant dvaluer le site; toutes les personnes lies ces adresses ont en effet dj visit une fois le site en question et peuvent donc donner leur avis sur sa facilit dutilisation ou sa conception. Les adresses sont par ailleurs dj disponibles sous forme lectronique, ce qui facilite leur utilisation subsquente. Les visiteurs du site partent quant eux de lide que les informations quils saisissent dans le formulaire de contact sont utilises uniquement pour le traitement de leur demande. Si ces personnes reoivent ensuite un questionnaire leur demandant dvaluer le site, ceci ne suscite pas quun mcontentement tout fait comprhensible; bien plus, un tel envoi est contraire aux principes de la loi sur la protection des donnes. Pour viter cela, les points suivants doivent tre pris en considration lors de lutilisation de ces donnes dautres ns: Lexploitant du site doit informer les personnes ayant rempli le formulaire de contact que leurs donnes peuvent tre utilises dautres ns. Il doit mentionner explicitement de quelles ns il sagit (valuations, envoi dinformations concernant des produits, etc.). Cette information doit tre rdige sous une forme facilement comprhensible par le public cible et tre place un endroit bien visible (de prfrence sur le formulaire de contact mme). Chaque utilisateur doit avoir la possibilit dinterdire lutilisation de ses donnes personnelles trs simplement et gratuitement (option de retrait ou optout). L aussi, la meilleure possibilit consiste prvoir cela directement sur le formulaire de contact (p. ex. au moyen dune case quil suft de cocher). Ceci nexclut pourtant pas que les utilisateurs doivent avoir la possibilit tout moment dinterdire toute utilisation ultrieure de leurs donnes.
50
1.3.10 Intgration de moteurs de recherche trangers sur les sites web de la Confdration
Toute personne cherchant des informations sur un site web de la Confdration, par exemple dans certains domaines politiques ou des thmes lis la sant, doit pouvoir compter sur le fait que les donnes sur sa personne sont traites avec le plus grand soin. Les organes fdraux sont tenus daccorder une attention particulire aux exigences de protection des donnes. La fourniture de services web implique de traiter rgulirement des donnes personnelles. Ainsi, selon la jurisprudence du Tribunal fdral, mme de simples adresse IP sont considres comme donnes personnelles, si lidentication ne ncessite pas de moyens tels que, selon le cours ordinaire des choses, aucun intress ne les mettra en uvre. Par ailleurs, des techniques telles que le recours aux cookies ou lexploitation de ce que lon appelle des referrers (rfrants; indications sur ladresse Internet du site web partir duquel lutilisateur a atteint la page actuelle en cliquant sur un lien) permettent souvent dtablir un rapport avec la personne. La plupart des organes fdraux proposent des services web et nous les conseillons frquemment dans ce contexte. La question se pose alors de savoir si les organes fdraux peuvent intgrer dans leur offre web des moteurs de recherche proposs par des entreprises prives trangres. Le problme dans le cas examin rsidait dans limpossibilit dutiliser la fonction de recherche sans que des informations dtailles sur lauteur et lobjet de la recherche ne soient transmises lentreprise prive domicilie aux tats-Unis. Les algorithmes de recherche reposent prcisment sur le fait que ces donnes (ladresse IP mais aussi dautres identicateurs dutilisateurs explicites et , des indications sur le comportement de recherche, comme les requtes et les rsultats cliqus) sont enregistres et exploites. En outre, selon la dclaration de protection des donnes de lentreprise prive, les donnes pouvaient tre utilises dautres ns, notamment pour lamlioration du propre logiciel de lentreprise permettant lafchage de publicit personnalise. Lentreprise concerne exploite des centres de calcul sur lensemble du globe. Le nombre de personnes au sein de lentreprise et les autres services (entreprises tierces prives, autorits tatiques) qui ont le droit ou la possibilit daccder ces donnes ne sont pas connus et difcilement contrlables. En raison de la multitude de donnes ainsi accessibles, ces entreprises sont rgulirement la cible dattaques pirates du monde entier. Alors que de telles prestations de services semblent avantageuses premire vue, la mdaille a aussi son revers: en divulguant leurs donnes personnelles et en en perdant le contrle, les utilisateurs paient nalement un prix lev.
51
Depuis le 1er dcembre 2010, les autorits fdrales ont une obligation dinformer de manire complte sur leurs collectes de donnes personnelles. Dans le cas du moteur de recherche de lentreprise prive amricaine que nous avons examin, ni le but du traitement, ni les catgories de destinataires des donnes ou les modalits dexercice du droit daccs ntaient sufsamment connus pour pouvoir rpondre lexigence lgale du devoir dinformation. Pour ces raisons, lintgration de telles fonctions de recherche, proposes apparemment gratuitement par des entreprises trangres, nous semble problmatique et pratiquement impossible mettre en uvre dune manire qui soit conforme la loi.
1.3.11 La surveillance de lutilisation des moyens dinformation et de communication au sein de ladministration fdrale
Il est dans lintrt de ladministration fdrale de surveiller lutilisation des moyens dinformation et de communication. Cela doit permettre de garantir lexploitation des systmes et dempcher les abus. An de mener cette surveillance conformment la loi, les bases lgales ncessaires ont t labores. Tout comme dans le secteur priv, il est dans lintrt de ladministration fdrale de surveiller lutilisation des moyens dinformation et de communication an de garantir lexploitation des systmes et dempcher les abus. Cette surveillance repose en premier lieu sur lanalyse des donnes gnres lors de la connexion. Ces donnes dites secondaires indiquent par exemple lorsquun utilisateur surfe sur Internet quelle adresse IP est entre en communication avec quel URL (adresse dun site Internet), quand et combien de temps. Concrtement, ces donnes permettent danalyser ultrieurement le comportement dun collaborateur en matire de navigation sur Internet. Par ailleurs, elles peuvent permettre de trouver par exemple comment un logiciel malveillant (malware) a pu entrer dans le systme. Les donnes secondaires sont automatiquement gnres en tant que donnes de journalisation (logles). Ce sont des donnes personnelles conformment la loi sur la protection des donnes parce quelles se rapportent une personne identie ou identiable. Le traitement de ces donnes par les organes de la Confdration ncessite donc une base lgale (principe de la lgalit). Durant lanne sous revue, nous avons particip un groupe de travail dirig par lOfce fdral de la justice qui avait pour but dlaborer une telle base. Les dispositions fondamentales ont t introduites dans la loi sur lorganisation du gouvernement et de ladministration (LOGA) et les dtails ont fait lobjet dune nouvelle ordonnance (Ordonnance sur le traitement des donnes personnelles lies lutilisation de linfrastructure lectronique de la Confdration). Les
52
nouvelles dispositions de la LOGA et de lordonnance prcite ont pour but dtablir une rglementation claire dune part pour lenregistrement et la conservation des donnes secondaires (y compris les dlais de conservation), dautre part pour les formes de lanalyse, les conditions qui y sont lies et les principes relatifs aux procdures. Les intrts lgitimes de lemployeur, de lexploitant du systme et de lemployeur ont t ici particulirement pris en compte.
1.3.12 Les normes de cyberadministration et le nouveau numro AVS

Il est prvu dutiliser le nouveau numro AVS 13 chiffres, introduit depuis le 1er juillet 2008, comme identicateur de personnes dans certains secteurs de la cyberadministration. Pour cela, une nouvelle norme eCH a t cre an den dcrire le champ dapplication. Nous avons pris position ce sujet des ns de clarication et de complment. Lassociation eCH promeut, dveloppe et adopte des normes de cyberadministration. Il sagit dune coopration entre Confdration, cantons, communes, conomie prive et tablissements de recherche. Les normes ont valeur de recommandations et leur utilisation au niveau fdral, cantonal ou municipal peut tre rendue obligatoire. Il est prvu dintroduire lutilisation du nouveau numro dassur 13 chiffres de lAVS comme identicateur commun de personnes dans les registres ofciels de personnes des communes, cantons et de la Confdration. Une norme eCH a t labore cet effet en dcrivant le champ dapplication du nouveau numro AVS comme identicateur de personne. Lors de lexamen de cette norme, nous avons mentionn sparment les bases lgales et les aspects essentiels de lutilisation du nouveau numro AVS dans les systmes de gestion pour donner ensuite une apprciation des utilisations prvues. La base lgale pour une utilisation systmatique du nouveau numro AVS comme identicateur de personnes se trouve dans la loi sur lAVS. La loi sur lharmonisation de registres (LHR), de par sa qualit de loi spciale en matire de droit fdral, permet quil soit utilis de manire systmatique dans certains registres, mme en dehors du domaine de lassurance sociale. Nous avons soulign que cet usage nest autoris que sil correspond au but et au champ dapplication dnis dans la LHR. Le principal objectif de la loi est de crer une base lgale moderne pour lutilisation des registres de la population cantonale et communale des ns statistiques. En conclusion, nous avons retenu que le numro AVS pouvait tre utilis uniquement dans le champ dapplication de la LHR, cest--dire dans le cadre danalyses statistiques des registres mentionns dans la loi. Il nexiste aucune base lgale permettant
53
une utilisation gnralise, allant au-del du domaine de validit de la LHR, dans un systme de cyberadministration. Dautres comptes-rendus sur le nouveau numro AVS se trouvent aux ch. 1.1.3 et 1.1.4 du prsent rapport dactivits.
1.3.13 Avant-projet de lordonnance GEVER

Nous avons contribu llaboration de lavant-projet de lordonnance GEVER pour ensuite prendre position sur le sujet dans le cadre de la consultation des ofces. Lordonnance GEVER se fonde juridiquement sur larticle 57h de la loi sur lorganisation du gouvernement et de ladministration, qui stipule que tout organe fdral peut grer un systme dinformation et de documentation des ns denregistrement, de gestion, dindexation et de contrle de la correspondance et des dossiers. Nous avons attir lattention en particulier sur la distinction gnrale entre le systme GEVER utilis pour les processus supra- et intra-dpartementaux, et les systmes GEVER des diffrentes units administratives de ladministration fdrale. De plus, nous avons soulign plusieurs reprises quune communication de donnes personnelles au sein dun systme GEVER devait tre conforme larticle 19 de la loi fdrale sur la protection des donnes (LPD). Dans ce contexte, nous avons mis en vidence lalina 3 de cet article, qui stipule que les organes fdraux ne sont en droit de rendre des donnes personnelles accessibles en ligne que si cela est expressment prvu, p. ex. dans une ordonnance. Sil sagit cependant de donnes personnelles sensibles ou de prols de la personnalit, laccs en ligne nest possible que sil est explicitement prvu par une loi au sens formel. Lactuelle LOGA ne contient aucune formulation de ce genre. Cela signie quil nexiste ce jour pas de base lgale permettant de rendre accessibles en ligne des donnes personnelles sensibles ou des prols de la personnalit dans un systme GEVER.
54
1.3.14 Programme GEVER-Bund: traitement des donnes condentielles et sensibles

Dans le cadre du groupe de travail concernant les questions de protection des donnes et de scurit de linformation, nous avons pu requrir des mesures de scurit quivalentes pour les documents condentiels et pour les donnes sensibles. La nouvelle solution architecturale GEVER propose constitue une approche pragmatique mais napporte pas ncessairement toutes les garanties de condentialit. Nous avons particip depuis sa cration au groupe de travail concernant les questions de protection et de scurit des donnes et les questions de protection et de scurit de linformation. Le groupe de travail est arriv la conclusion que les mesures de scurit requises pour les documents classis condentiels selon lOrdonnance concernant la protection des informations de la Confdration (OPrI) et pour les donnes considres comme sensibles selon la LPD devaient tre quivalentes. Dans un premier temps, un pais catalogue dexigences techniques destin aux fournisseurs reconnus de solutions GEVER a t labor; celui-ci na cependant nalement pas t rati par la direction du projet. La nouvelle solution architecturale (SA-GEVER) propose vise en quelque sorte compenser labsence de haute condentialit dans les systmes GEVER par un systme dual complmentaire couvrant les besoins de chiffrement intra- et inter-GEVER. noter que le chiffrement envisag ne concernerait que les quelques documents condentiels et/ou sensibles. Le chiffrement intra-GEVER serait ainsi assur par un Policy Enforcement Point (PEP) qui contiendrait toutes les cls utiles et dpendrait dun Policy Server gr par lofce concern. Sagissant du chiffrement inter-GEVER, il est surprenant de constater que la solution propose recourt ce mme PEP (dot dune nouvelle Public Key Infrastructure [PKI] interdpartementale) en complment de la plateforme SEDEX, plutt que dexploiter la solution standardise Secure Messaging (avec son indissociable PKI) dsormais disponible auprs de quasi chaque ofce fdral. En premire analyse, cette approche pragmatique SA-GEVER napporte cependant pas ncessairement toutes les garanties de condentialit par rapport aux administrateurs internes du bnciaire de prestations (grant les PEP et Policy Server), ainsi quaux prestataires externes de solutions (tous les documents non condentiels et non sensibles soit une norme majorit ne sont pas chiffrs et donc techniquement lisibles par leur personnel).
55
1.4
1.4.1
Justice/Police/Scurit
Mise en uvre Schengen: contrle auprs de lambassade de Suisse Moscou
Dans le cadre de la coopration Schengen, notre contrle auprs de lambassade de Suisse Moscou a permis de se pencher sur diffrents aspects de protection des donnes relatifs au processus dattribution des visas. La gestion des dossiers visas, la mthodologie de recherche des collaborateurs et plus gnralement les mesures de scurit mises en uvre ont fait lobjet de ce contrle. Au nal, diffrentes recommandations et propositions damliorations ont t adresses lambassade mais galement deux directions du Dpartement fdral des affaires trangres. Le contrle auprs de lambassade de Suisse Moscou est le quatrime contrle de ce type que nous avons effectu dans le cadre de la coopration Schengen. Aprs Le Caire, Kiev et Istanbul, la reprsentation suisse Moscou a t choisie au vu du nombre trs important de visas dlivrs. En effet, si le consulat suisse Saint-Ptersbourg met les visas pour la zone nord-ouest du pays, la reprsentation de Moscou est en charge du reste du pays. Ainsi, environ 63000 visas ont t mis en 2010. La section visa de lambassade collabore avec une entreprise russe externe pour la gestion des rendezvous. Ce call center est en charge de lattribution des rendez-vous aux demandeurs individuels. Dautres demandes de visas sont dposes en groupe par des agences de voyage accrdites en accord avec les autres tats membres. Cette manire de faire permet de faciliter le processus dattribution des visas puisque les agences se chargent de rassembler la totalit des documents ncessaires pour tous les demandeurs et deffectuer une premire vrication pour dtecter des documents manquants dans les dossiers des demandeurs. Aprs examen de la documentation transmise par la reprsentation suisse Moscou, notre visite sur place durant deux jours nous a permis de contrler les procdures internes en matire dattribution des visas et de vrier les mesures de scurit mises en uvre. Une visite de lentreprise externe a galement permis de vrier que les mesures de scurit ncessaires y taient appliques de manire approprie au regard des exigences formules dans le cadre de laccord Schengen. Lors de la visite sur place, nous avons interrog les collaborateurs suisses et locaux de la section visa au sujet des diffrents traitements quils effectuent lors de la procdure dattribution de visas. Les collaborateurs suisses qui prennent la dcision nale
56
daccorder un visa ou non ont t plus prcisment interrogs sur la mthodologie de recherche quils appliquent lorsquils consultent les banques de donnes N-SIS et SYMIC, via le masque EVA. la suite de la visite sur place, nous avons consult les logles du systme N-SIS auprs de fedpol et du systme SYMIC auprs de lODM an de vrier si les accs durant le second jour du contrle avaient bien t journaliss. De plus, nous avons procd une analyse plus approfondie de ces logles pour dterminer la plausibilit des requtes effectues par les collaborateurs ce jour-l. Nous avons ainsi pu vrier que la mthodologie de recherche ne posait pas de problmes. Nous avons constat que plusieurs points taient problmatiques et mritaient dtre amliors. Ainsi nous avons adress diffrentes recommandations et propositions damliorations lambassade de Suisse Moscou mais galement deux directions du Dpartement fdral des affaires trangres (DFAE) an quil vrie la conformit de ces points dans lensemble de ses reprsentations ltranger. Parmi ces recommandations, certaines sadressent lambassade et concernent des mesures de scurit insufsantes, en particulier par rapport au serveur principal et au partage des locaux avec des collaborateurs du Swiss Business Hub. Nous avons galement not labsence dune information sufsante relative aux traitements de donnes pour les personnes concernes et mis une recommandation. Nous avons recommand la direction consulaire du DFAE de vrier auprs des reprsentations si le contrat dexternalisation qui lie certaines dentre elles des entreprises locales contenait une clause de protection de donnes. Finalement, comme nous lavons dj fait lors dun prcdent contrle, nous avons adress la direction des ressources du DFAE une proposition damlioration visant la formation des collaborateurs suisses et locaux au sein des reprsentations trangres en matire de protection des donnes.
57
1.4.2
Mise en uvre Schengen: analyse des logles du SIS
Les logles sont intgrs la plupart des systmes informatiques. Ils permettent de garder une trace des diffrentes actions qui ont t mens dans un systme par ses utilisateurs. Lanalyse de ces logles permet de dterminer lors de contrles que lutilisation du systme est correcte. Un logle est un document qui se prsente souvent sous la forme dun tableur Excel o sont retranscrites les informations ncessaires pour tracer les actions des utilisateurs du systme. Nous nous concentrons ici plus particulirement sur les logles du systme SIS mais ces considrations sont, pour la plupart, applicables aux logles dautres systmes galement.
Les logles du systme SIS ont pour but de tracer les recherches qui ont t effectues par les utilisateurs. Ainsi, les principales informations conserves dans les logles SIS sont lidentit de lutilisateur, la date et lheure de la recherche ainsi que les donnes introduites dans le masque de recherche. Les donnes introduites pour la recherche peuvent tre le nom, le prnom ou la date de naissance de la personne recherche. Dautres informations moins importantes pour lanalyse sont galement contenues dans ces logles, par exemple des donnes sur les processus utilises par le systme pour excuter la requte. Les diffrentes informations dun logle ou entres se prsentent habituellement dans un ordre chronologique, mais peuvent tre tries diffremment.
Lorsque nous procdons, en tant quautorit de surveillance, un contrle dans le cadre des accords Schengen, nous faisons une demande daccs aux logles du SIS auprs de fedpol. Nous prcisons dans ce but la liste des utilisateurs concerns ainsi quun intervalle de temps bien dni. La liste et lintervalle sont dnis de faon ce que lanalyse ultrieure des logles reus soit la plus pertinente possible. Les logles ainsi fournis nous permettent de constater que les requtes effectues ont bien t journalises. Une analyse plus dtaille nous permet de vrier la plausibilit et la licit des recherches effectues par les utilisateurs. En cas de doute, nous procdons un contrle plus approfondi en interrogeant directement lutilisateur concern sur les raisons qui lont pouss faire la recherche suspecte. Lutilisateur est ainsi confront aux informations quil a introduites dans le masque de recherche et doit se justier. Les logles du systme SIS sont conservs durant une anne. Ils sont ensuite dtruits et les traces relatives lutilisation du systme sont perdues.
58
1.4.3
Groupe de coordination Schengen des autorits suisses de protection des donnes
Par le biais du groupe de coordination des autorits suisses de protection des donnes dans le cadre de la mise en oeuvre de laccord dassociation Schengen, nous coordonnons avec les autorits cantonales de protection des donnes nos activits de surveillance des traitements de donnes effectus en Suisse en matire de migration, police et justice. Le groupe de coordination des autorits suisses de protection des donnes sest runi le 16 fvrier et le 8 novembre 2011. Lors de ces deux runions, nous avons inform les autorits cantonales de protection des donnes des principaux points abords par lAutorit de Contrle Commune (ACC) Schengen et des activits de cette dernire. Nous avons galement inform nos collgues cantonaux des rsultats de notre
contrle effectu auprs de la reprsentation suisse Moscou. Les cantons quant eux ont prsent les rsultats de leurs activits de contrle auprs dutilisateurs cantonaux du SIS. An de remdier aux quelques cas dutilisations abusives du SIS des ns prives ou de formation, le groupe de coordination a labor, en franais, allemand et italien, un courrier de sensibilisation lintention des services utilisant le N-SIS; ce courrier a t transmis aux autorits fdrales et cantonales concernes.
1.4.4
Droit daccs direct dans le domaine de la scurit intrieure (LMSI)
Dans le cadre de la modication de la loi fdrale instituant des mesures visant au maintien de la sret intrieure, le Parlement a dcid de remplacer le droit daccs indirect par un droit daccs direct comparable celui applicable aux systmes dinformation JANUS et GEWA. Pour les autres points que nous avons critiqus, le Parlement a suivi la proposition du Conseil fdral. Le Parlement a arrt en dcembre 2011 une modication de la loi fdrale instituant des mesures visant au maintien de la sret intrieure (LMSI). Contrairement au projet du Conseil fdral qui prvoyait le droit daccs direct en application des articles 8 et 9 de la loi fdrale sur la protection des donnes (LPD), le Parlement, aprs limination des divergences entre les deux Conseils, a dcid la mise en place dun droit daccs direct bas en grande partie sur la lgislation rgissant laccs aux systmes dinformation JANUS et GEWA telle que prvue dans la loi fdrale sur les systmes dinformation de police de la Confdration (LSIP). Dans le cadre de cette nouvelle rglementation, les demandes daccs doivent tre dposes auprs du Service de renseignement de la Confdration (SRC). Celui-ci peut diffrer sa rponse dans trois cas: Les donnes traites concernant le requrant sont lies des intrts prpondrants qui exigent le maintien du secret dans le cadre de la dtection prcoce et de la lutte contre les dangers en matire de terrorisme, de service de renseignement prohib, dextrmisme violent, des actes prparatoires relatifs au commerce illicite darmes et de substances radioactives et du transfert illgal de technologie ainsi que dans le cadre dune poursuite pnale ou dune autre procdure dinstruction. Les intrts prpondrants dun tiers lexigent. Aucune donne concernant le requrant nest traite.
59
Dans ces trois cas, le SRC informe le requrant du report de sa rponse et lui indique quil peut nous demander de vrier la licit du traitement et lexistence dintrts prpondrants justiant le report. Nous procdons aux vrications demandes et indiquons au requrant quaucune donne le concernant nest traite illgalement ou quen cas derreur relative au traitement des donnes ou au report de la rponse, une recommandation a t adresse au SRC. Nous informons galement le requrant de la possibilit de saisir le Tribunal administratif fdral (TAF) an que celui-ci vrie sa communication ou lexcution de lventuelle recommandation quil a mise. Le TAF effectue la vrication demande et en informe le requrant. En cas derreur, le TAF adresse au SRC une dcision lui ordonnant dy remdier. Le SRC communique au requrant les renseignements quil a demands ds que les intrts lis au maintien du secret ne peuvent plus tre invoqus, mais au plus tard aprs lexpiration du dlai de conservation. Pour le requrant qui nest pas enregistr, le SRC linforme au plus tard trois ans aprs rception de la demande. Exceptionnellement, nous pouvons recommander au SRC de fournir immdiatement le renseignement demand pour autant que cela ne menace pas la sret intrieure ou extrieure. Cette nouvelle rglementation ncessite encore un certain nombre de prcisions quant son application pratique. En ce qui concerne lancrage dans la LMSI des normes gurant dans lordonnance concernant lextension du devoir de renseigner et du droit de communiquer dautorits, dofces et dorganisations visant garantir la scurit intrieure et extrieure, le Parlement na pas tenu compte de nos remarques (cf. notre 18e rapport dactivits 2010/2011, ch. 1.4.6).
60
1.4.5
Demandes daccs concernant le systme dinformation ISIS
En 2011, le nombre des demandes daccs concernant le systme dinformation ISIS a t le troisime plus important depuis 1998. En dcembre, le Parlement a dcid lintroduction dun droit daccs direct comparable celui qui est applicable aux systmes dinformation JANUS et GEWA. En 2011, 66 demandes daccs indirect concernant le systme dinformation ISIS ont t dposes auprs de notre secrtariat. Ce nombre est le troisime plus important depuis 1998. En 2010, 410 demandes avaient t examines (cf. notre 18e rapport dactivits 2010/2011, ch. 1.4.7) et en 2008, 148 demandes avaient t traites (cf. notre 16e rapport dactivits 2008/2009, ch. 1.4.4). Le Parlement a arrt le 23 dcembre la modication de la loi fdrale instituant des mesures visant au maintien de la sret intrieure (LMSI). Dans ce cadre, larticle 18
relatif au droit daccs a t modi; la nouvelle rglementation introduit un droit daccs direct comparable celui qui est applicable aux systmes dinformation JANUS et GEWA. Pour plus de dtails concernant cette nouvelle rglementation, voir le ch. 1.4.4.
1.4.6
Essai pilote du systme dinformation ISAS
La base juridique rgissant lessai pilote ISAS a t adapte an de reter la situation relle et non celle de lexploitation dnitive envisage. Une liste exhaustive des champs de donnes doit tre dnie aussi pour un essai pilote. Ainsi le Conseil fdral et le Dpartement fdral de la dfense, de la protection de la population et des sports ont modi deux ordonnances concernant lessai pilote ISAS. Nous avons demand au Service de renseignement de la Confdrations (SRC) de nous transmettre un rapport intermdiaire concernant lessai pilote ISAS (cf. notre 18e rapport dactivits 2010/2011, ch. 1.4.8). Nous avons mis des remarques concernant ce rapport, notamment sur deux points importants. Premirement, nous avons constat que la situation relle de lessai pilote ne correspondait pas la base juridique. Celle-ci mentionnait que le systme dinformation ISAS tait compos de plusieurs banques de donnes. Dans la ralit, ISAS nest quune seule banque de donnes. Nous avons donc demand au SRC dadapter la conception informatique pour respecter la base juridique en vigueur ou de modier cette dernire an de reter la situation relle de lessai pilote ISAS. Le SRC a choisi dadapter la base juridique. Deuximement, les diffrents champs de donnes ne guraient pas dans la base juridique. On y trouvait la place une description du modle de la banque de donnes utilise. De plus, cette banque de donne tait conue de telle manire que des champs de donnes pouvaient tre dnis par les utilisateurs. Cette solution qui permet de dnir les champs de donnes durant la phase pilote nest pas conforme aux exigences de la protection des donnes. En effet, linstitution de lessai pilote permet que le traitement de donnes personnelles sensibles ou de prols de la personnalit soit rgl par une base lgale provisoire de niveau infrieur. Toutefois, les champs de donnes doivent tre xs de manire exhaustive comme pour lexploitation dnitive dun systme dinformation. Sil apparat au cours de lessai pilote que de nouveaux champs de donnes sont ncessaires, la disposition mentionnant les champs de donnes doit tre modie. En consquence, nous avons demand au SRC dtablir une liste exhaustive des champs de donnes du systme dinformation ISAS et de lintgrer dans la base juridique rgissant lessai pilote, ce quil a fait.
61
La modication de lOrdonnance sur les systmes dinformation du Service de renseignement de la Confdration (OSI-SRC) est entre en vigueur le 1er janvier 2012; lordonnance dcrit enn lessai pilote ISAS tel quil est et non tel quil pourrait tre lors de lexploitation dnitive du systme dinformation. la mme date est entre en vigueur une modication de lordonnance du DDPS sur les champs de donnes et les droits daccs aux systmes dinformation ISAS et ISIS. Cette modication concerne notamment la liste exhaustive des champs de donnes du systme dinformation ISAS.
1.4.7
Demandes de vrication concernant le N-SIS et les systmes dinformation JANUS et GEWA
Nous recevons en moyenne par anne sept demandes de vrication concernant les systmes dinformation JANUS et GEWA. Pour la partie nationale du systme dinformation Schengen, les autorits europennes de protection des donnes nous ont adress 15 demandes de vrication et trois personnes ont dpos des demandes semblables depuis lentre de la Suisse dans lespace Schengen. Dans le cadre des demandes daccs aux systmes dinformation JANUS et GEWA, la loi fdrale sur les systmes dinformation de police de la Confdration prvoit que lOfce fdral de la police (fedpol) diffre sa rponse si les donnes concernant le requrant sont lies des intrts prpondrants pour la poursuite pnale qui exigent le maintien du secret ou si le requrant nest pas enregistr. Dans ces deux cas, fedpol informe le requrant du report de sa rponse et lui indique quil peut demander au Prpos fdral la protection des donnes et la transparence (PFPDT) quil vrie si les ventuelles donnes le concernant sont traites conformment au droit et si des intrts prpondrants lis au maintien du secret justient le report. Depuis lentre en vigueur le 5 dcembre 2008 de la loi susmentionne, nous avons reu 22 demandes de vrication (5 en 2009, 12 en 2010 et 5 en 2011). La lgislation applicable la partie nationale du systme dinformation Schengen (N-SIS) stipule que toute personne a le droit de demander aux autorits de contrle de vrier les donnes la concernant intgres dans le N-SIS ainsi que lutilisation qui est faite de ces donnes. Depuis lentre de la Suisse dans lespace Schengen le 12 dcembre 2008, trois personnes nous ont demand de procder des vrications dans le N-SIS. Durant cette mme priode, nous avons reu de nos collgues europens 15 demandes de vrication. Nous avons galement reu plusieurs demandes de vrication provenant de personnes rsidant ltranger. Ces demandes correspondaient plus des demandes daccs au N-SIS plutt qu des demandes de vrication. Nous
62
avons transmis ces demandes fedpol et avons inform les personnes concernes que le droit daccs au N-SIS est un droit daccs direct en Suisse et que les demandes doivent ainsi tre adresses directement au gestionnaire du N-SIS, savoir fedpol.
1.4.8
Rglementation plus claire pour la surveillance de la correspondance par poste et tlcommunication (LSCPT)
Nous avons, dans le cadre de la consultation des ofces, pris position sur la rvision partielle de lordonnance sur la surveillance de la correspondance par poste et tlcommunication, ainsi que sur les rsultats de la procdure de consultation concernant la rvision totale de la loi fdrale; nous avons cette occasion galement donn notre avis sur lutilisation des chevaux de Troie gouvernementaux. La surveillance de la correspondance par poste et tlcommunication par les autorits de poursuite pnale a t largement dbattue dans les mdias lan dernier, en particulier la surveillance laide de programmes du type GovWare (dits chevaux de Troie gouvernementaux). Nous nous sommes prononcs ce sujet dans le cadre de la consultation des ofces sur la rvision partielle de lordonnance sur la surveillance de la correspondance par poste et tlcommunication (OSCPT) et avons signal notamment que la terminologie concernant le champ dapplication devait tre harmonise avec celle de la loi fdrale sur la surveillance de la correspondance par poste et tlcommunication (LSCPT). Cela permettrait de mieux circonscrire les fournisseurs daccs Internet et les fournisseurs de services de tlcommunication soumis lOSCPT. De plus, nous avons demand que le cercle des prvenus soit dj dni dans lordonnance de manire plus claire par lintgration de critres de recherche. Cette objection que nous avons mise propos de la recherche par champ dantennes a t rejete dans la proposition au Conseil fdral et devrait tre rexamine dans le cadre de la rvision dj amorce de la LSCPT. Nous avons t invits par la Commission des affaires juridiques du Conseil national nous prononcer sur lutilisation de programmes de type GovWare en matire de poursuite pnale. cette occasion, nous avons attir lattention sur le fait que les atteintes aux droits fondamentaux ncessitent une base lgale formelle et matrielle qui, en outre, doit tre formule avec sufsamment de prcision. Cela vaut, en raison de ses multiples possibilits de conguration, la fois pour les fonctionnalits du logiciel que pour les exigences attaches la demande de surveillance et pour la liste des infractions. Il nous semble important, dans la perspective des tches des autorits de poursuite pnale, de crer une base lgale claire rgissant lutilisation des logiciels en vue de poursuivre les infractions graves, y compris le dbat public qui accompagne le sujet. Cette base lgale doit tre cre en parallle la rvision totale de la LSCPT en cours.
63
1.4.9
Formation au Service de renseignement de la Confdration
Nous avons eu loccasion dorganiser une sance de formation continue auprs du Service de renseignement de la Confdration en collaboration avec la conseillre en matire de protection des donnes. Nous avons commenc par donner aux collaborateurs un aperu gnral sur la protection des donnes, pour aborder ensuite les aspects thoriques et pratiques du droit daccs. En collaboration avec la conseillre en matire de protection des donnes du Service de renseignement de la Confdration (SRC), nous avons labor le module Protection des donnes destin la formation continue des collaborateurs. Ce module, intitul Droit daccs direct et indirect Thorie et pratique, a pu tre prsent en tout six fois, soit quatre fois en allemand et deux fois en franais. Dans la premire partie, nous avons expos aux participants les principes gnraux de la loi sur la protection des donnes en soulignant que chacun se trouve quotidiennement confront des questions de protection des donnes. Nous avons cit comme exemples le traitement de donnes personnelles par les socits de renseignement commercial, dans le domaine de la sant, lors de la surveillance vido, par les entreprises lorsquelle utilisent des donnes clients ou par les organes fdraux, p. ex. pour la gestion du registre automatis des autorisations de conduire. Llment principal du module traitait du droit daccs. Aprs avoir donn quelques prcisions sur le droit daccs direct selon la loi sur la protection des donnes, nous avons abord le droit daccs indirect, tel quil existe encore actuellement dans le cadre du systme dinformation ISIS du SRC et avons expliqu comment nous procdons en pratique pour la vrication de ces demandes daccs indirectes. Ensuite, la conseillre en matire de protection des donnes du SRC a expos comment le SRC procde pour fournir les renseignements aux personnes enregistres qui ont dpos une demande daccs, une fois que les ventuels intrts de maintien du secret lis la sret intrieure ont t carts. Pour clore, nous avons expos comment le droit daccs est rgl au sein de la Police judiciaire fdrale pour le systme de traitement des donnes relatives aux infractions fdrales. La sance a t suivie dun bref rsum des dlibrations du Tribunal fdral sur larrt du 2 novembre 2011 concernant une demande daccs indirecte, ainsi quune remarque sur les dbats au Parlement concernant la rvision du droit daccs auprs du SRC. Entretemps, le Parlement a adopt une rglementation analogue celle du systme de traitement des donnes relatives aux infractions fdrales pour le systme dinformation scurit intrieure ISIS (cf. ch. 1.4.4 du prsent rapport dactivits).
64
1.5
1.5.1
Sant et recherche
SwissDRG: rvision de la loi et de lordonnance sur lassurance maladie
Dans le systme SwissDRG, la facturation des prestations ambulatoires dans le domaine des soins somatiques aigus ncessite la rglementation des transmissions des donnes relatives la sant. La conformit de celle-ci avec la protection des donnes constitue un d de taille pour tous les participants. Aprs lchec des conventions tarifaires, une solution lgale doit dsormais tre trouve.
Le nouveau nancement des hpitaux est entr en vigueur le 1er janvier 2012. Les montants forfaitaires en fonction du diagnostic (en anglais Diagnoses Related Groups, soit DRG) sont la cl de vote de ce nouveau systme dans le domaine des soins ambulatoires et somatiques aigus. Sinspirant du systme allemand, la Suisse a mis sur pied le SwissDRG. Conformment au systme de sant applicable en Suisse, les partenaires tarifaires (lAssociation fatire des assurances maladie santsuisse, lAssociation suisse des hpitaux H+ et la Confrence suisse des directrices et directeurs cantonaux de la sant, la CDS) auraient d saccorder aussi, dans le cadre dune structure tarifaire valable pour toute la Suisse et approuve par le Conseil fdral, sur la transmission des donnes relatives aux diagnostics et aux procdures an de contrler les factures dans le cadre de la facturation. Cette convention aurait permis de garantir, conformment au principe de la proportionnalit x dans le droit de la protection des donnes et la jurisprudence du Tribunal administratif fdral, que les assureurs-maladie ne reoivent que les donnes dont ils ont besoin pour le contrle des factures. Ds juillet 2009, les partenaires tarifaires avaient adopt une structure tarifaire galement approuve par le Conseil fdral. Toutefois, ce dernier avait maintenu que justement la transmission de donnes concernant les diagnostics et les procdures ntait pas encore sufsamment rglemente et demanda aux parties damliorer encore cette structure tarifaire. Manifestement, les ngociations avec les partenaires tarifaires, auxquelles nous navons bien entendu pas particip et dont le droulement ne nous a t communiqu quindirectement, ont longuement pitin. Nous avons eu limpression que les questions de protection des donnes taient mles aux questions nancires. Enn, les partenaires tarifaires se sont mis daccord sur une convention additionnelle. Mais en aot 2011, au terme dune votation interne, les membres de lAssociation suisse des hpitaux H+ ont refus cette convention. Comme un rglement amiable entre les partenaires tarifaires ntait plus envisageable dans un dlai raisonnable et quil fallait
65
barrer la route une multitude de rglementations cantonales ventuellement diffrentes, le Dpartement fdral de lintrieur (DFI), comptent en la matire, est alors intervenu et a dclar quil allait rglementer la transmission des donnes dans la loi. La modication de la loi fdrale sur lassurance-maladie (LAMal) oblige dsormais les fournisseurs de prestations mentionner de manire code sur la facture les diagnostics et les procdures. Les dtails concernant la transmission des donnes seront rgls par le Conseil fdral dans lordonnance sur lassurance-maladie (OAMal), conformment au principe de la proportionnalit. Nous avons troitement collabor cet gard avec le Secrtariat gnral du DFI et prsent des propositions de solution. En rsum notre requte est la suivante: lassureur reoit les donnes qui lui sont vraiment ncessaires; en outre, il doit tre garanti quau sein de lassurance, seules les personnes qui en ont vraiment besoin ont accs ces donnes trs sensibles. Ce point doit tre garanti par les assureurs sur la base de mesures techniques et organisationnelle appropries comme les techniques de cryptage et doit tre rgulirement contrl. Il faut surveiller de prs lvolution concernant le systme SwissDRG. La cration dune centrale indpendante de compensation pour le contrle des factures demeure une alternative srieuse au systme actuel.
1.5.2
Loi fdrale sur le dossier lectronique du patient
66
Dans le cadre de la consultation des ofces, nous avons pris position sur lavant-projet de la nouvelle loi fdrale sur le dossier lectronique du patient. Celle-ci rglemente des aspects importants telles que laccs aux dossiers lectroniques des patients. notre demande, certaines exigences cls de la protection des donnes ont t prises en compte dans le projet de loi qui a t mis en consultation n 2011. Le dossier lectronique du patient reprsente llment central de la cybersant. Cest un dossier virtuel permettant de rendre accessibles en ligne des donnes enregistres de manire dcentralise qui sont pertinentes pour le traitement dun patient ou dune patiente. Il sagit en loccurrence de donnes personnelles sensibles. Leur traitement doit tre rglement de manire concrte et contraignante. Pour cette raison, nous avons demand que les exigences de protection et de scurit des donnes soient explicitement mentionnes dans la loi comme conditions requises pour une certication. En ce qui concerne le rglement du consentement, nous avons demand que ce dernier ne soit valable que sil a t donn de plein gr et que la personne concerne a t sufsamment informe sur la nature du traitement des donnes et de ses effets. Le projet de loi a t adapt en consquence.
Par identicateurs on entend les caractristiques personnelles qui rendent une personne identiable. Lauthentication permet de vrier quune personne est vraiment celle quelle prtend tre. Une fois authentie avec succs, la personne peut tre autorise accder ses donnes. La qualit du processus dpend entirement de la qualit de lidenticateur. Si ce dernier contient des caractristiques inappropries, il se peut que lattribution une personne ne soit pas univoque. La Centrale de compensation (CdC), qui a mis en service le nouveau numro AVS (NAVS13) prsume elle-mme que 200000 personnes environ ont reu plus dun numro NAVS13. Cest pourquoi la CdC recommande de combiner le numro AVS avec au moins cinq autres caractres didentication. Nous partageons cet avis.
En outre, nous demandons que le numro NAVS13 ne permette pas, ni directement ni indirectement, dtablir une relation avec des donnes de sant. Ceci parce que leur utilisation de plus en plus frquente dans ladministration (fdrale et cantonale) mne de nombreuses corrlations avec dautres chiers. Selon le projet de loi, le Conseil fdral peut prvoir que des communauts certies puissent utiliser le numro dassur comme caractre didentication des patients. Pour ce cas, nous recommandons de transformer le numro NAVS13 de manire systmatique de sorte quil puisse tre utilis comme identicateur sectoriel.
67
1.5.3
Saisie systmatique des dossiers par la SUVA
Un examen des faits a montr que la SUVA avait pris les mesures requises par la saisie systmatique des dossiers et quen rgle gnrale, le droit daccs peut aussi tre garanti conformment la loi sur la protection des donnes Un avocat nous a crit pour nous signaler certaines incohrences concernant un dossier gr par la SUVA. Dans le cadre dun contentieux judiciaire, il avait effectu sur mandat dun client plusieurs demandes de consultation de dossier conformment lart. 46 de la loi fdrale sur la partie gnrale du droit des assurances sociales (LPGA). Il avait constat ce faisant que le volume du dossier variait et que les documents reus taient en partie numrots de manire diffrente. tant donn que la saisie systmatique de dossiers constitue une condition de base pour pouvoir garantir le droit daccs conformment la loi fdrale sur la protection des donnes, nous avons procd une clarication des faits. Lobjectif ntait pas de tirer au clair le cas dnonc par lavocat, mais dexaminer dune manire gnrale si la SUVA veillait vritablement la saisie systmatique des dossiers. Notre constatation de ltat de fait nous a permis dtablir que divers points pouvaient inuencer de manire ngative la saisie systmatique des documents et en particulier
leur numrotation cohrente: dune part, en cas de contentieux judiciaire entre une personne assure et la SUVA, lagence comptente doit transmettre le dossier original au service juridique du sige principal de la SUVA Lucerne pour que ce dernier puisse le remettre au tribunal. Ainsi, seules des copies demeurent auprs de lagence comptente et du service juridique du sige principal. Dautre part, la SUVA se trouve actuellement dans une phase transitoire entre dossiers sur papier et traitement lectronique du courrier entrant. Ainsi, dans certains cas, cest lagence comptente de dcider quel est le dossier dterminant (dossier papier ou lectronique). Justement lorsquelles se combinent comme dans le cas dnonc par lavocat, ces circonstances constituent des sources potentielles derreurs. Notre clarication des faits a toutefois montr que la SUVA a aussi pris durant cette phase de transition les mesures fondamentales requises pour la garantie dune saisie systmatique des dossiers. Nous navons pas t obligs dmettre une recommandation.
1.5.4
Examen des faits auprs de la SUVA
68
Nous avons procd un examen des faits auprs de la SUVA dans le domaine de la gestion des cas. Cet examen a rvl que la gestion des cas ne soulve en soi pas de problmes de protection des donnes. Nous avons cependant identi des lacunes dans la gestion des droits daccs aux donnes des personnes assures. La SUVA a reconnu le problme et pris des mesures immdiates pour rduire le nombre de personnes autorises. Dans le cadre dun examen des faits effectu la SUVA, nous avons entre autres examin le concept des rles et des droits daccs. Celui-ci prvoit quatre niveaux de droits daccs: laccs des collaborateurs aux dossiers de leur propre agence, celui aux dossiers grs dans dautres agences, laccs des collaborateurs de certains services (p. ex. le service juridique) et laccs aux dossiers concernant les accidents de travail. Nos recherches ont rvl quun nombre disproportionnellement lev de collaborateurs disposait dun droit daccs aux dossiers grs dans les autres agences. Bien que cette autorisation ntait accorde un collaborateur seulement en cas de ncessit pour le traitement dun dossier, elle ntait ensuite pas annule lorsque laccs ntait plus requis. Une autre lacune du concept de la SUVA est que les autorisations daccs sappliquent tous les dossiers dune agence. La Direction de la SUVA a engag une premire mesure immdiate ayant pour objet une rduction des autorisations daccs des dossiers externes aux agences. Les employs perdent leur droit daccs aux agences externes ds quils nen ont plus besoin. La mesure sinscrit dans le cadre dun large remaniement du concept des rles et des
droits daccs. En t 2012, nous procderons conjointement avec la SUVA une analyse des rsultats suivie dune valuation critique. Ce cas est un exemple classique de violation de la protection des donnes cause par une lacune systmatique au niveau du concept des droits daccs. Si lon dicte bien des rgles pour lattribution des rles et des autorisations daccs, on omet toutefois de rglementer la modication du rle ou de lautorisation. Il en rsulte une collection absolument dmesure de droits daccs constitue au l du temps. Une procdure dattribution de droits daccs doit donc toujours tre accompagne dune procdure correspondante pour le retrait de ces droits.
1.5.5
Circulaire 7.1 de lOfce fdral de la sant publique
LOfce fdral de la sant publique a envoy en aot 2011 une circulaire tous les assureurs-maladie. notre avis, celle-ci contient quelques points problmatiques, notamment en ce qui concerne le projet des rglements de traitement, le suivi des donnes relatives au diagnostic et la gestion des cas. En aot 2011, lOfce fdral de la sant publique (OFSP) a envoy tous les assureursmaladie du domaine obligatoire une circulaire intitule Assureurs-maladie: organisation et processus conformes la protection des donnes. Son but tait de rappeler aux assureurs les principes et les prescriptions en vigueur en matire de protection des donnes. Elle a galement attir lattention sur lentre en vigueur et lapplication de nouvelles dispositions de la loi sur lassurance-maladie (LAMal). Nous aimerions relever quelques points qui ont suscit notre tonnement: la circulaire explique dans un premier temps que les assureurs-maladie ne sont pas tenus de payer les fournisseurs de prestations sils ne reoivent pas de facturation dtaille. Ce qui nous a le plus tonns est que cette circulaire a t envoye par lOFSP en t dernier, alors que lintroduction de SwissDRG tait imminente et que le transfert de donnes entre les fournisseurs de prestations et les assureurs-maladie allait, dans le cadre de ce systme-l, tre rgl par une nouvelle ordonnance. La circulaire traite galement de la gestion des cas. Elle ne rpond cependant pas la question de savoir qui les gestionnaires de cas sont subordonns et quelles donnes ils ont accs. Il est ncessaire notre avis que les donnes traites par les gestionnaires de cas ne se retrouvent pas dans le dossier qui est galement accessible aux autres collaborateurs, aprs liquidation du cas. Le consentement la gestion des cas ne peut pas, notre avis, tre considr comme une extension de lautorisation lgale traiter les donnes.
69
Un point prcis de la circulaire a galement des consquences pour nous: lentre en vigueur de larticle 84b LAMal nous concerne dans la mesure o les assureurs-maladie doivent, ds le 1er janvier 2012, spontanment nous remettre leur rglement de traitement pour apprciation. Mais, comme nous lavons dj expliqu la commission comptente avec des propos repris expressment par la conseillre dtat Erika Forster-Vannini lors de la runion de la Chambre du 6 dcembre 2007, nous ne disposons actuellement pas des ressources humaines ncessaires pour examiner de manire systmatique tous les rglements de traitement des assureurs-maladie admis selon la LAMal. Nous procderons plutt des contrles alatoires en fonction des ressources disponibles et des priorits que nous avons xes. Les assureurs-maladie tant des organes fdraux selon la LAMal, ils ont aujourdhui dj, en raison de lordonnance relative la loi fdrale sur la protection des donnes (OLPD), lobligation de prendre les mesures techniques et organisationnelles ncessaires pour protger la personnalit et les droits fondamentaux de la personne dont ils traitent des donnes. Ils doivent galement tenir un rglement de traitement des donnes pour chaque chier automatis quils exploitent, le tenir jour et nous le mettre disposition. En ce sens, larticle 84b ne fait que rpter et prciser des obligations lgales existantes. Ce qui est par contre nouveau, cest qu partir du 1er janvier 2012 les assureurs-maladie doivent, en vertu de larticle 84b LAMal, publier leurs rglements de traitement. Cette obligation est indpendante dune ventuelle apprciation que nous aurions faite. Si nous valuons le rglement de traitement dun assureur-maladie, ceci se fera sous la forme dun examen des faits selon larticle 27, al. 2 LPD. Lassureur-maladie concern en sera videmment inform par crit. Si une recommandation est ncessaire, nous sommes de toute faon obligs dinformer le Dpartement fdral de lintrieur (DFI) en tant que dpartement comptent. Nous pouvons trs bien imaginer informer en mme temps lOFSP et nous souhaiterions que ce dernier nous informe des problmes quil a identis lors de ses audits auprs des assureurs-maladie. En ce qui concerne la validit dun rglement de traitement, nous tenons prciser ce qui suit: Mme larticle 84b de la LAMal ne nous a pas confr la comptence de procder des enqutes prliminaires concernant de tels faits.Les assureurs-maladie admis selon la LAMal sont tenus en tant quorganes fdraux dlaborer un rglement de traitement qui rponde aux exigences lgales. Un rglement de traitement des donnes est considr comme valide ds quil a t accept et dclar obligatoire par lassurance concerne, mme sans notre apprciation.
70
1.5.6
Transmission de donnes un centre de recherches par les services de soins domicile
Par une fonction sens unique (fonction de hachage), partir de donnes identiantes, il est possible de gnrer un code numrique qui permet de fournir des donnes sous forme pseudonymise des ns de recherche ou dassurance qualit. Aujourdhui, la plupart des services daide et de soins domicile utilisent des systmes dinformation modernes pour traiter de manire efcace les donnes des personnes dont ils soccupent. Ces donnes peuvent galement tre utilises des ns dassurance qualit ou pour la recherche. Cela implique que les divers services daide et de soins domicile exportent leurs donnes dans une base de donnes centrale. Pour des raisons de protection des donnes, il faut veiller ne transmettre que des donnes anonymes. Le droulement implique que les donnes des personnes prises en charge, saisies au l du temps, soient correctement attribues aux donnes existantes dans la base centrale. Ceci a t ralis laide dune fonction sens unique (ou fonction de hachage). Cette fonction permet, en partant des mmes donnes initiales (code numrique unique complt par un code supplmentaire [Salt] pour augmenter la scurit), de gnrer un pseudonyme qui peut en tout temps tre reconstitu sur la base des donnes initiales de la personne. Lopration inverse, savoir retrouver les donnes initiales partir du pseudonyme, nest par contre pas possible. Une telle dmarche garantit lanonymat des personnes prises en charge, tant donn quaucune autre donne identiante telle que nom ou adresse nest transmise. En outre, il est important que les champs de donnes transmis avec le pseudonyme la banque de donnes centrale pour lassurance qualit ou la recherche soient analyss quant la prsence de donnes identiantes. Lors de cette analyse, nous avons remarqu que lindication de la profession allie la date de naissance de la personne pouvait se rvler dlicate tant donn quelle peut permettre, pour les professions ou fonctions rares, didentier la personne en question. Dans de tels cas, il est donc indispensable de ne pas saisir la dnomination de la profession ou dutiliser une dnomination plus gnrale.
71
1.5.7
La transmission des donnes dans le cadre dessais cliniques
Les essais cliniques confrontent les services concerns des problmes dlicats du point de vue de la protection des donnes lorsquils utilisent les donnes personnelles de patients la fois pour leur traitement et pour la recherche. Nous sommes intervenus en faveur de solutions appropries. Pour les essais sur le plan international, Swissmedic a dcid en 2010 de ne pas accepter de cahiers dobservation (Case Report Forms) contenant des donnes personnelles des sujets qui prennent part aux essais cliniques. Cette dcision tait fonde sur une prise de position de notre part, dans lequel nous avions, la demande de Swissmedic, expliqu quelles sont les exigences envers une pseudonymisation acceptable du point de vue de la protection des donnes. Suite la dcision susmentionne de Swissmedic, une commission cantonale dthique a suspendu sa prise de position sur un essai clinique dun groupe de recherche. Ce groupe a alors fait appel nous an de trouver une solution conforme la protection des donnes pour les essais thrapeutiques en oncologie pdiatrique. Ces essais sont mens dans des circonstances particulires: ils portent en moyenne sur trois ou quatre patients en Suisse, au maximum 40. En raison du nombre limit denfants souffrant de tumeurs rares, le diagnostic et le traitement ne peuvent tre optimiss que si lon travaille en troite collaboration avec des institutions trangres. Les chercheurs ont fait valoir quil tait ncessaire, pour des raisons de scurit du patient, de communiquer le nom complet et la date de naissance lors des demandes ou entretiens. Nous avons organis une runion avec des reprsentants du groupe de recherche et de Swissmedic an de trouver une solution approprie et conforme la protection des donnes. Dans une prise de position rdige lissue de cette runion, nous nous sommes exprims sur les exigences en matire de protection des donnes. Comme point de dpart, nous avons pris la dnition de lobjectif poursuivi par les traitements de donnes prvus. Dans le cas prsent, il sagissait de deux objectifs: dune part, une amlioration du diagnostic et du traitement des personnes participant lessai, dautre part, la recherche laide des constats obtenus. notre avis, les conditions suivantes devraient tre remplies: Dans la premire phase dun essai clinique, les divers services traitants peuvent, dans les conditions particulires susmentionnes, tre considrs comme une seule quipe largie de traitement. La transmission de donnes personnelles au sein de cette quipe largie est admissible, pour autant que les dispositions
72
lgales applicables soient respectes. Les acteurs doivent notamment veiller ce que les donnes soient transmises de manire scurise et quelles soient accessibles uniquement aux interlocuteurs autoriss. Le concept des essais doit clairement mentionner les diffrentes phases de lessai clinique. Le consentement des sujets doit porter sur toutes les phases de lessai. Le concept des essais doit galement montrer quel moment on passe du traitement la recherche. Lors de cette transition, les donnes personnelles doivent tre anonymises. En ce qui concerne le contexte europen de lessai, les parents ou les enfants doivent donner leur consentement pour la communication des donnes ltranger. Si les donnes transmises par la Suisse des institutions trangres sont plus tard utilises par celles-ci des ns propres (p. ex. pour constituer leur propre base de donnes de recherche), les personnes concernes doivent galement donner leur consentement.
1.5.8
Systme boule de neige dans la recherche
73
Nous avons procd un examen des faits lEPF de Zurich concernant un projet de recherche. La collecte des donnes dadresses utilises pour contacter de nouveaux participants au projet de recherche fonctionnait selon le systme boule de neige. Au cours de lanne sous revue, nous avons effectu un examen des faits lEPF de Zurich. Celui-ci fut motiv par un projet de recherche qui examinait les rseaux sociaux en mettant laccent sur le comportement en matire de mobilit. Le recrutement de nouveaux participants se faisait selon un systme boule de neige, en suivant le rseau social des personnes interroges. Ainsi, les participants communiquaient aux chercheurs les coordonnes de leurs connaissances ainsi que certaines informations complmentaires. Ces nouveaux contacts taient par la suite informs sur le projet par les chercheurs et taient leur tour invits y participer. Aprs avoir dans un premier temps inform lune des personnes concernes sur ses droits, nous avons lan dernier t contacts par lEPF de Zurich suite la diffusion dun reportage tlvis. Nous avons alors dcid de procder un examen des faits. Nous avons constat que les collaborateurs impliqus de lEPFZ sont sensibiliss aux aspects de la protection des donnes et quils sefforcent de respecter les prescriptions lgales applicables. Ainsi, certaines de nos propositions ont t mises en uvre immdiatement, par exemple au niveau du contrle de laccs aux donnes de recherche.
En ce qui concerne les bases lgales, notre examen a fourni un rsultat surprenant. Normalement, un organe fdral doit pouvoir sappuyer sur des dispositions lgales pour traiter des donnes personnelles sensibles ou des prols de personnalit. La loi sur la protection des donnes privilgie cependant le domaine de la recherche par des exigences de traitement moins svres dans certains cas. Pour les faits que nous avons analyss, cela signie concrtement que lEPFZ aurait besoin de telles dispositions dans une ordonnance. Les directives internes sur lintgrit dans le domaine de la recherche dictes pour les collaborateurs ne rpondent pas ces exigences formelles. Les travaux lgislatifs que nous avons proposs concernent lensemble de lEPFZ. Celle-ci a donc pris contact avec le Conseil des EPF ce sujet, et le travail lgislatif a t entam en collaboration avec lOfce fdral de la justice.
74
1.6
1.6.1
Assurances
Rvision totale de la loi sur le contrat dassurance
La loi sur le contrat dassurance fait lobjet dune rvision totale. Le projet prsent au Parlement prvoit enn dancrer linstitution du mdecin-conseil aussi dans le domaine de lassurance prive. La loi sur le contrat dassurance (LCA), qui date de plus de cent ans, ne satisfait plus aux exigences actuelles. Une rvision totale est cense ladapter pleinement aux circonstances et aux besoins de notre temps. Dans le cadre de la consultation des ofces, nous nous sommes exprims sur certains points du projet touchant la protection des donnes. Beaucoup demployeurs assurent leur obligation de continuer verser le salaire laide dune assurance collective pour indemnits journalires en cas de maladie. Notamment dans les cas o les revenus assurer sont levs, les compagnies dassurance demandent de passer un examen mdical avant de signer le contrat. Cela peut avoir pour consquence que certains employs ne sont pas accepts ou seulement avec des rserves, ce qui conduit un dilemme: lemployeur doit savoir dans quels cas lassurance quil a contracte en vue de nancer la continuation du versement du salaire ne paiera pas, tant donn quil devra alors lui-mme prendre en charge ces prestations. Cela peut avoir des consquences graves, particulirement pour les petites entreprises. Dautre part, lemploy peut avoir un intrt digne de protection garder le secret sur ses problmes de sant. Le projet de consultation initial prvoyait de rsoudre ce conit dintrts en laissant lemploy dcider sil voulait communiquer un refus ou une admission sous rserves son employeur. Sil devait craindre de perdre son emploi en rvlant son tat de sant, il devait avoir la possibilit de faire respecter la condentialit. En contrepartie, lobligation de lemployeur continuer payer le salaire serait dans ce cas limite au montant minimum prvu dans le Code des obligations. Cette solution na cependant trouv que peu dapprobation dans la procdure de consultation. Par consquent, cette disposition a de nouveau t retire du projet maintenant soumis au Parlement. Nous trouvons cela regrettable. La problmatique dcrite est du moins partiellement attnue par le fait que la nouvelle lgislation sur lassurance collective pour indemnits journalires en cas de maladie interdira de communiquer lemployeur des informations sur ltat de sant ou la sphre intime de lemploy. Nous avons prcis dans notre prise de position que linformation transmise par la compagnie dassurance lemployeur aprs un examen mdical doit se limiter indiquer si lemploy est admis (le cas chant avec des rserves) ou refus. Cette prcision a entretemps galement t incluse dans le message.
75
Il est trs rjouissant et important pour nous que notre intrt, manifest depuis longtemps plusieurs reprises, dancrer linstitution du mdecin-conseil dans le droit des assurances prives ait t pris en compte par le projet de rvision. Pour linstant, lapplication obligatoire sera cependant limite lassurance-maladie complmentaire et lassurance dindemnits journalires. notre avis, linstitution du mdecin-conseil devrait long terme faire lobjet dune rglementation cohrente pour lensemble du droit des assurances prives et sociales.
1.6.2
Lutte contre la fraude lassurance dans le domaine des assurances-vhicules moteur
Nos examens au sujet du Car Claims Information Pool, une plateforme lectronique de donnes des assureurs de vhicules moteur, sont termins. Les propositions damlioration de la protection et de la scurit des donnes ont t acceptes. Lchange lectronique de donnes par lintermdiaire du Car Claims Information Pool (CC-Info) permet aux assureurs suisses de vhicules moteur de lutter contre la fraude lassurance. Ainsi, il doit permettre par exemple de dcouvrir les cas o un sinistre sur un vhicule est dclar une deuxime fois auprs dun autre assureur. Nous avons, durant lanne sous revue, termin nos recherches concernant CC-Info (cf. notre 18e rapport dactivits 2010/2011, ch. 1.6.1.) et soumis quelques propositions an damliorer la protection et la scurit des donnes: ainsi, CC-Info acceptait jusquici plusieurs connexions simultanes avec le mme identiant, ce qui augmentait le risque que des personnes non autorises accdent au systme. Le processus de connexion a t dsormais adapt de manire ne plus permettre une (nouvelle) connexion lorsquun utilisateur est dj connect au systme avec le mme identiant. Nous avons galement pu obtenir des amliorations concernant le traitement futur des demandes daccs. Il existe dsormais des directives claires ce sujet. Les personnes impliques dans lexamen des faits ont, de manire approprie la situation, fait preuve de sensibilit aux questions de protection des donnes. Nous sommes convaincus que nos propositions damlioration contribueront de manire judicieuse augmenter encore le niveau de protection des donnes, sans pour autant entraver de faon disproportionne la fonctionnalit et la praticabilit du systme.
76
1.6.3
Entraide administrative fournie aux autorits scales cantonales par lassurance-accidents
Dans le cadre dun avis de droit concernant lart. 97 de la loi sur lassurance-accidents, nous sommes arrivs la conclusion que ce dernier rgle de manire exhaustive les cas dans lesquels un assureur-accidents obligatoire doit communiquer des donnes aux autorits scales cantonales, en drogation au devoir lgal de discrtion. Un assureur-accidents obligatoire nous a pris de rendre un avis juridique sur la question de savoir si les assureurs sont toujours tenus de fournir lentraide administrative aux autorits scales cantonales conformment lart. 112, al. 2, de la loi fdrale sur limpt fdral direct (LIFD) ou si lobligation de renseigner se limite aux cas cits lart. 97 de la loi fdrale sur lassurance-accidents (LAA). Nous sommes parvenus la conclusion suivante: Les assureurs-accidents obligatoires sont considrs comme des organes de la Confdration. Ils sont par consquent soumis la loi sur la protection des donnes (LPD). De ce fait, ils ne sont habilits traiter et communiquer des donnes que sil existe une base lgale pour ce faire. De plus, ils peuvent traiter et communiquer des donnes sensibles et des prols de la personnalit uniquement si une loi au sens formel le prvoit expressment. Dans lexercice de leurs tches en matire dassurance-accidents obligatoire, les assureurs traitent rgulirement des donnes personnelles sensibles. Le traitement de ces donnes ncessite donc une base lgale au sens formel qui rgit de manire expresse la manire dont les donnes peuvent tre traites, le genre de donnes qui peuvent tre transmises et qui. La communication de donnes sensibles aux autorits scales par les assureurs-accidents obligatoires doit tre rglemente dans une loi fdrale. Un organe de la Confdration soumis au devoir lgal de discrtion doit refuser la communication de donnes, la restreindre ou lassortir de charges conformment lart. 19, al. 4, let. bLPD. En principe, un assureur-accidents obligatoire est tenu de fournir les renseignements demands aux autorits scales, en vertu des art. 112, al. 2, et 112a LIFD. Cette obligation gnrale de fournir des renseignements est toutefois en contradiction avec lobligation de garder le secret prvue par lart. 33 de la loi fdrale sur la partie gnrale du droit des assurances sociales (LPGA), qui est aussi applicable aux assureurs-accidents obligatoires. On ne peut y droger que si une base lgale le prvoit dans la LPGA ellemme ou dans une loi autonome.
77
Les exceptions au devoir de discrtion dans le domaine dapplication de lassuranceaccidents obligatoire gurent lart. 97 LAA. Cette disposition tablit dans les dtails les cas dans lesquels lassureur-accidents est habilit communiquer des donnes des tiers, en drogation lart. 33 LPGA. Lart. 97 LAA renferme lal. 1, let. c, et lal. 2, une rgle explicite sur la communication de donnes aux autorits scales, en rapport avec limpt la source et limpt anticip. Tous les autres cas sont soumis la communication de donnes conformment lart. 97, al. 6, LAA. Contrairement dautres lois sur les assurances sociales (par ex. lart. 50a, al. 1, let. e, de la loi sur lAVS ou lart. 86a, al. 1, let. e, de la loi fdrale sur la prvoyance professionnelle vieillesse, survivants et invalidit), la LAA ne contient, sagissant des communications de donnes aux autorits scales, aucune rglementation dans des cas despce et sur demande crite et motive. Les tribunaux comptents devraient encore clarier sil sagit ici dun oubli du lgislateur ou dune omission dlibre. Nous sommes donc parvenus, sur la base de la lgislation actuelle, la conclusion que lart. 97 LAA rgle de manire exhaustive les cas dans lesquels on peut droger lobligation lgale de garder le secret conformment lart. 33 LPGA et un assureur-accidents obligatoire doit communiquer les donnes demandes aux autorits scales. Les art. 112 et 112a LIFD ne sont donc pas applicables; en effet, leur application reviendrait vider de sa substance la rglementation spciale de lart. 97 LAA. Si une base lgale manque, les organes de la Confdration peuvent exceptionnellement communiquer des donnes personnelles en se fondant sur lart. 19, al. 1, let. a d, LPD. Ces exceptions ne sont toutefois valables que dans des cas prcis, numrs exhaustivement lart. 19 LPD et quil convient dinterprter de manire restrictive. Conformment ces dispositions, un assureur-accidents obligatoire pourrait exceptionnellement transmettre les donnes ncessaires aux autorits scales cantonales.
78
1.7
1.7.1
Secteur du travail
Questions du public concernant la surveillance sur le lieu de travail
Les nombreux appels que reoit notre service de consultation tlphonique sur le thme de la surveillance sur le lieu de travail le montrent: ni les employeurs, ni les employs ne sont au clair sur ce qui est vritablement autoris. De nombreux employeurs et employs ont contact notre service de consultation tlphonique au cours de lanne coule pour se renseigner sur ladmissibilit de la surveillance sur le lieu de travail. Les thmes les plus souvent cits ont t la vidosurveillance, la surveillance des dplacements par le biais des tlphones intelligents (smartphones) de lentreprise ou dautres appareils, ainsi que la surveillance dInternet et du courrier lectronique. En ce qui concerne les employeurs, nous avons constat que leurs questions portaient principalement sur les procds conformes la protection des donnes. Quant aux employs, nous avons remarqu que la surveillance sur le lieu de travail ntait pas fondamentalement remise en question; la plupart sont conscients dtre surveills et cette surveillance est galement accepte. Leurs questions ont plutt port sur ce que lemployeur a vritablement le droit de faire. Souvent, les personnes qui nous ont demand conseil ont subi les critiques de leur employeurs propos de leur comportement, ils faisaient lobjet dune enqute en cours ou mme avaient t congdis. Le problme fondamental, mais aussi la solution, cest la garantie de la transparence, la clart de la communication. Lemployeur doit notier prcisment ses employs la manire dont la surveillance est exerce et dans quel but elle est mene. Il doit donc les informer expressment, dans un rglement dutilisation et de surveillance, des traitements de donnes quil effectue. De mme, il doit indiquer clairement les utilisations du courrier lectronique et dInternet qui sont autorises et celles qui sont interdites. Bien entendu, la question de la proportionnalit des mesures de surveillance par rapport au but poursuivi se pose rgulirement dans ce domaine. ce propos, nous devons dire que les possibilits techniques incitent certains employeurs des actes de surveillance disproportionns. Nous tenons donc prciser clairement: une analyse nominative des donnes recueillies par le biais de lutilisation de moyens dinformation et de communication (tlphone, courrier lectronique, Internet, fax) nest autorise quen prsence dun soupon concret dabus important. En outre, il est tabli que le soupon dabus ne peut tre clari par un autre procd portant moins fortement
79
atteinte aux droits de la personnalit de lemploy. Enn, il est interdit dutiliser des systmes de surveillance ou de contrle destins surveiller le comportement des travailleurs leur poste de travail (art. 26 de lordonnance 3 relative la loi sur le travail).
1.7.2
Remise de certicats des caisses de pension Jugement du Tribunal administratif fdral
Presque deux ans aprs que nous ayons demand au Dpartement fdral de lintrieur (DFI) dempcher la pratique, notre avis illicite, de la remise des certicats des caisses de pension par lintermdiaire de lemployeur (cf. notre 17e rapport dactivits 2009/2010, ch. 1.7.8 ainsi que notre 18e rapport dactivits 2010/2011, ch. 1.7.3), le dpartement a pris une dcision dans cette affaire. Nous ntions pas daccord avec la teneur de cette dernire et avons donc demand au Tribunal administratif fdral (TAF) dordonner la caisse de pension denvoyer lavenir les certicats personnels de manire telle que seules les personnes assures, mais pas leur employeur, puissent prendre connaissance de leur contenu. Dans son arrt du 10 avril 2012 (A-4467/2011) le TAF a entirement suivi notre argumentation. Il a retenu que la remise de certicats personnels par lintermdiaire des employeurs, sous pli ouvert et non protg, ne bnciait daucune base lgale. Il a ds lors conclu que la caisse de pension avait viol son devoir de discrtion et le principe de la scurit des donnes, et que les assurs concerns avaient ainsi subi une atteinte illicite la personnalit. Larrt du TAF ntait pas encore entr en force de chose juge la clture de la rdaction.
80
1.7.3
Dossiers personnels lectroniques dans ladministration fdrale
La rvision de la loi sur le personnel de la Confdration a permis de crer la base lgale ncessaire au systme lectronique dinformation sur le personnel ainsi quaux dossiers lectroniques du personnel et aux dossiers lectroniques de candidature. Dans le secteur priv, les dossiers lectroniques du personnel et les dossiers lectroniques de candidature sont courants. Mais les organes de la Confdration sont tenus de respecter le principe de lgalit, selon lequel tout traitement de donnes ncessite une base lgale. Pour ce qui est du traitement de donnes sensibles et de prols de la personnalit, cette base lgale doit en outre se trouver dans une loi fdrale au sens formel. Les dossiers personnels et les dossiers de candidature contiennent selon toute
probabilit des donnes personnelles sensibles et constituent en gnral un prol de la personnalit. En labsence dautorisation prvue par une loi fdrale au sens formel, il naurait donc pas fallu grer jusquici ni dossier lectronique du personnel, ni dossier lectronique de candidature au sein de ladministration fdrale. De mme, le systme dinformation sur le personnel de lOfce fdral du personnel (OFPER) ntait rglement jusqu prsent que par une ordonnance. La modication de la loi fdrale sur le personnel de la Confdration (LPers, art. 27a 27c) a permis de crer la base lgale requise pour le systme dinformation concernant le personnel de la Confdration (BV PLUS), la gestion lectronique des candidatures (postulations en ligne) et les dossiers personnels lectroniques. Cette modication a en outre ncessit une rvision de lordonnance concernant la protection des donnes personnelles dans ladministration fdrale. Les dispositions en question sont entres en vigueur le 1er janvier 2012. Durant lanne coule, nous avons contribu de manire importante llaboration de ces dispositions et apport une collaboration soutenue lOFPER.
1.7.4
Contrle du systme dinformation en matire de placement et de statistique du march du travail
81
La documentation du systme dinformation en matire de placement et de statistique du march du travail PLASTA a t amliore. Des divergences demeurent nanmoins entre ce qui devrait exister dans un rglement et ce qui sy trouve rellement. Il convient notamment damliorer la documentation des processus dans le rglement de traitement, de mme la rglementation des droits daccs et du chiffrement. Lors de notre contrle nous avons constat que certains domaines avaient fait lobjet damliorations. Il subsiste nanmoins quelques points importants qui doivent tre mieux documents. Nous avons entre autres attir lattention sur le fait que les processus, depuis la collecte des donnes personnelles jusqu leur anonymisation ou destruction, doivent tre documents. En particulier, les processus qui traitent des donnes sensibles ou des prols de la personnalit doivent tre documents dans le rglement de traitement. Ainsi il est possible de retrouver quelles donnes ont t traites, o, par quels moyens, par quels organes ou units organisationnelles et quelles ns. La documentation actuelle des processus tient sur une seule page A4 du rglement et est trop limite. Elle devrait contenir un rsum signicatif plutt que de multiples rfrences des informations plus dtailles contenues dans dautres documents. Nous avons galement constat que la rglementation des accs aux donnes nest pas assez restrictive. En ltat actuel de nos connaissances, tous les utilisateurs du
systme dans le canton peuvent effectuer une recherche selon le nom, prnom, lidenticateur de personne ou le numro AVS. notre avis, la recherche avec lun des deux numros est conforme la protection des donnes parce quelle afche directement la bonne personne. La recherche selon le nom ou le prnom fournit par contre trop de rsultats. Une telle recherche ne devrait tre possible que si lon est en mesure de saisir le nom et le prnom ainsi quune indication supplmentaire. Ceci pourrait bien sr tre la date de naissance. Cette dernire nest cependant pas idale, car cette information est connue dans de nombreux cas et permettrait ensuite des interrogations des ns contraires. Il serait important de saisir, en plus du nom et du prnom, une donne que la personne concerne connat par cur mais quun tiers ne dcouvrirait pas aisment. On pourrait envisager, pour des cas exceptionnels, de permettre la recherche selon le nom uniquement. Ces requtes devraient cependant tre journalises de manire conforme aux exigences de la rvision. Nous avons en outre relev que les donnes personnelles sensibles doivent galement tre cryptes dans les supports de stockage. Cette exigence est le plus souvent rejete avec largument selon lequel cela entraverait fortement les performances du systme. Nous avons donc demand aux responsables de PLASTA de nous fournir des informations dtailles ce sujet.
82
1.8
1.8.1
conomie et commerce
La protection des donnes face linformatique en nuage
De plus en plus dentreprises, dautorits et dinstitutions conent le traitement de leurs donnes des entreprises externes, misant sur linformatique en nuage. Ce mode de traitement offre certes de nombreux avantages, mais en parallle, il ne faut pas en ngliger les risques techniques et juridiques au regard du droit de la protection des donnes. Nous avons donc publi des commentaires explicatifs concernant linformatique en nuage. Ils en soulignent les risques et prsentent les impratifs qui y sont attachs. Certes la protection des donnes revient rgulirement dans les conversations lorsquil sagit dexternalisation (outsourcing) et dinformatique en nuage (cloud computing), mais elle est rgulirement confondue avec la scurit des donnes. Cette dernire est indubitablement un lment extrmement important, mais la protection des donnes face linformatique en nuage est bien plus importante. Dans bien des cas justement, le transfert de traitements de donnes vers un nuage public tranger ne peut tenir compte des exigences du droit de la protection des donnes sous tous ses aspects. Dune part, souvent, les prestataires de linformatique en nuage nindiquent pas de manire claire o les donnes sont traites. Dautre part, le traitement des donnes est frquemment effectu dans un pays qui ne dispose pas dune lgislation sufsante sur la protection des donnes. Avant de mettre des donnes dans un nuage, il faut choisir soigneusement le prestataire en procdant une analyse des risques; il faut aussi lui donner des instructions prcises et le surveiller attentivement. La transparence du prestataire sur le traitement des donnes et la garantie de la scurit des donnes sont des critres de choix importants. Une rgle gnrale: plus les donnes sont condentielles, secrtes, importantes (parce que dun enjeu dcisif pour lentreprise) ou sensibles (parce que particulirement dignes de protection), plus leur dlocalisation dans un nuage, en particulier ltranger, est dconseiller et plus les mesures de scurit et de contrle (en matire de protection des donnes) doivent tre strictes et compltes. Car au bout du compte, cest lutilisateur du service en tant que mandataire qui demeure responsable du respect des prescriptions en matire de protection des donnes vis--vis des personnes concernes et cest lui qui rpond des ventuelles atteintes la personnalit. Ces explications concernant linformatique en nuage sont aussi disponibles en franais sur le site Internet du prpos fdral la protection des donnes www.leprepose.ch sous la rubrique Thmes Protection des donnes Entreprises.
83
1.8.2
Traitement de donnes par des socits de renseignements commerciaux, conomiques et sur la solvabilit
Nous observons depuis longtemps que les socits de renseignements commerciaux, conomiques et sur la solvabilit ont tendance traiter de plus en plus de donnes concernant des personnes. Cette anne, nous avons men auprs dune grande agence un examen complet des faits et vri leurs traitements de donnes quant la conformit avec la loi sur la protection des donnes. Le traitement des donnes de personnes physiques et de personnes morales dans le but dvaluer leur solvabilit tait au cur de nos proccupations. Comme nous lavons dj mentionn dans de prcdents rapports dactivits, nous sommes chaque anne confronts de nombreuses questions de citoyens propos du traitement de donnes men par des agences dvaluation du crdit et des agences de renseignement conomique. En outre, nous observons galement depuis longtemps que les agences de renseignement conomique traitent de plus en plus de donnes sur des personnes et utilisent aussi des informations dordre sociodmographique en donnant comme argument quelles ont besoin de ces donnes pour vrier la solvabilit des personnes concernes. En font partie entre autres des informations sur lendroit o une personne habite ou encore pour quelle somme elle aurait achet, construit ou rnov une maison ou un appartement. Ces donnes sont ensuite relies Google Street View. Nous considrons que cette mise en relation nest pas conforme aux dispositions en matire de protection des donnes. Au cours de lanne sous revue, nous avons men auprs dune grande agence dvaluation du crdit et de renseignement conomique un examen complet des faits concernant le traitement des donnes de personnes physiques et de personnes morales dans le but dvaluer leur solvabilit. Nous avons particulirement concentrs nos recherches sur les aspects suivants: quelles sont les donnes actuellement ncessaires an didentier sans ambigit une personne; quelles sont les informations qui constituent la base de lexamen de sa solvabilit; do proviennent ces informations, combien de temps elles demeurent stockes et partir de quelles informations lon tablit, le cas chant, une notation de la solvabilit. Nous avons en outre examin ce quil en tait de la transparence et de lidentication des sources des donnes, du contenu des donnes et du calcul de la solvabilit et comment les demandes de
84
renseignement, de rectication ou deffacement sont traites. De plus, nous avons clari quelles donnes lagence transmet des tiers dans le cadre de lexamen de la solvabilit et vri sil est garanti que cela na lieu que pour conclure ou excuter un contrat avec la personne concerne. Enn, nous avons examin si lensemble des donnes traites constitue un prol de la personnalit. Nous avons constat avec satisfaction qu de nombreux gards, le traitement des donnes tait conforme aux prescriptions en matire de protection des donnes. En outre, nous avons pu trouver, avec lagence en question, des solutions conformes au droit de la protection des donnes propos des points viss par nos critiques. Cette agence sest montre trs cooprative et trs constructive durant tout le temps de nos recherches. Lexamen des faits a t men terme avec succs.
1.8.3
Traitement de donnes personnelles par un fournisseur de services de tlcommunication
85
Une question qui revient rgulirement est celle de savoir dans quelle mesure les collaborateurs dun service de tlcommunication ont accs aux donnes clients. Certains collaborateurs ont besoin dans le cadre de leur travail daccder de telles donnes. Toutefois, laccs ces donnes dans un but priv est un abus que lon doit empcher par la mise en place de mesures techniques et organisationnelles. Une personne nous a signal que certains collaborateurs dun fournisseur de services de tlcommunication avaient un accs illimit des donnes de clients, y compris les donnes secondaires et surtout les contenus de SMS, et les utilisaient des ns prives. Nous avons procd un examen des faits et constat que les mesures prises par le fournisseur de services de tlcommunication an dempcher les accs abusifs ces donnes taient proportionnes au but vis. Parmi les mesures organisationnelles, mentionnons la ncessit de formuler une demande formelle pour les autorisations daccs, de les octroyer selon le principe dit du privilge minimal (accs strictement limit aux informations absolument ncessaires) et de mettre en uvre des concepts de scurit, ainsi que le devoir de condentialit des collaborateurs, leur sensibilisation et leur formation. Sur le plan technique, les accs font lobjet dune journalisation et dune analyse en cas de soupon. Les risques dabus sont ainsi ramens un niveau acceptable grce lassociation des mesures techniques et organisationnelles.
Pour ce qui est de laccs aux SMS, nous avons constat que ceux-ci ne sont stocks dans le systme du fournisseur de service que lorsque le destinataire nest pas atteignable. Ds que le message entrepos est remis, il est automatiquement effac de la centrale des SMS. Si le destinataire ne peut tre atteint dans le dlai dune semaine, le message est automatiquement effac. Ainsi, grce ce type de traitement des communications, la politique dautorisation fonde sur le principe du privilge minimal, ainsi qu dautres mesures techniques, il est permis dexclure presque entirement un accs illicite aux contenus des messages par les collaborateurs.
1.8.4
Nouvelle ordonnance de la FINMA sur les donnes
Les plus hauts organes dun institut contrl par la FINMA doivent offrir la garantie dune activit irrprochable. Ce contrle de garantie est du ressort de la FINMA qui gre cet effet un chier dont les dtails sont rglements par la nouvelle ordonnance de la FINMA sur les donnes. Les lois sur les marchs nanciers requirent que les organes les plus levs dun institut contrl par lAutorit fdrale de surveillance des marchs nanciers (la FINMA) offrent la garantie dune activit irrprochable. Pour ces instituts, cette condition de garantie est une condition dautorisation quil convient de respecter en tout temps. Lexamen de la garantie incombe la FINMA. cet effet, elle saisit dans un chier les donnes des personnes ne prsentant pas toutes les garanties dune activit irrprochable conformment aux lois sur les marchs nanciers ainsi que celles dont une telle garantie doit tre contrle. La loi sur lAutorit fdrale de surveillance des marchs nanciers (loi sur la surveillance des marchs nanciers, LFINMA) constitue la base lgale du traitement de ces donnes et habilite la FINMA en rgler les dtails. Si ce type de rglementation manquait jusquici, lentre en vigueur de la nouvelle ordonnance de la FINMA sur les donnes au 1er octobre 2011 a permis de combler cette lacune. tant donn que la FINMA traite dans le cadre de lexamen de la garantie des donnes particulirement sensibles et des prols de la personnalit, nous avons examin cette nouvelle ordonnance, notamment sous langle du traitement de ce genre de donnes, et soumis la FINMA des suggestions en la matire dont la majeure partie ont t mises en uvre.
86
1.8.5
Traitement de donnes personnelles dans le secteur de la vente dadresses
Nous avons procd un examen des faits auprs dun commerant dadresses. Nous avons cependant constat que les exigences de la protection des donnes ntaient pas toujours remplies, et en particulier que les personnes exerant leur droit daccs ne recevaient pas la totalit des informations enregistres leur sujet. La transparence, notamment quant lorigine des donnes collectes, doit aussi tre amliore. Nous avons procd un examen des faits auprs dun commerant dadresses et examin si les traitements de donnes effectus taient conformes aux prescriptions de la loi fdrale sur la protection des donnes (LPD) (cf. ch. 1.8.4 de notre 18e rapport dactivits 2010/2011). Dans lensemble, les examens ont montr que le commerant dadresses concern sefforce de traiter les donnes de manire conforme aux exigences de la protection des donnes. Nanmoins, nous avons constat quil ne rpond pas aux exigences de la LPD dans certains domaines et que des amliorations sont donc ncessaires. En rsum, on peut relever que la transparence de la collecte et du traitement des donnes est insufsante pour les personnes concernes. Des amliorations simposent donc. La droit daccs reprsente cet effet un instrument essentiel pour les personnes concernes. Le commerant dadresses doit, sur demande, communiquer au requrant toutes les donnes qui le concernent, y compris toutes les indications disponibles sur leur origine. Cest ainsi seulement quune personne peut constater quelles donnes sont traites son sujet et dcider si elle a intrt faire valoir dautres droits relatifs la protection des donnes (en particulier le droit dopposition). Nous avons galement soulign que lutilisation des ns de marketing des donnes publies dans lannuaire constitue une atteinte la personnalit lorsque la personne concerne a fait apposer un astrisque auprs de son inscription. Seul un consentement peut en principe justier une telle utilisation (cf. ch. 1.8.6 du prsent rapport dactivits). Enn, il convient de noter que les donnes qui ont t collectes des ns publicitaires ne peuvent en principe pas tre utilises dautres ns. Au cas o celles-ci sont communiques des tiers, le commerant dadresses doit prendre les mesures ncessaires pour que cette nalit soit respecte. Les examens taient encore en cours au moment de la rdaction du prsent rapport dactivits.
87
1.8.6
Utilisation de ladresse publie dans lannuaire des ns de marketing
Nous sommes davis que par lapposition de lastrisque dans lannuaire tlphonique, labonn indique quil soppose toute utilisation de ses donnes dannuaire des ns publicitaires, donc non seulement au tlmarketing mais galement la publicit adresse. Or cette position soppose la pratique actuelle de nombreux professionnels de la publicit, qui collectent et utilisent les adresses gurant dans lannuaire avec la mention dun astrisque des ns de prospection publicitaire. Par lapposition de lastrisque dans lannuaire tlphonique, labonn dclare quil soppose de faon gnrale toute utilisation de ses donnes dannuaire des ns publicitaires, ce qui comprend notre avis non seulement le tlmarketing mais galement la publicit adresse par voie postale. Inversment, labsence dastrisque signie que labonn ne soppose pas lutilisation de ces donnes des ns de marketing direct et que celles-ci peuvent donc tre en principe utilises dans ce contexte. Cela tant, la personne concerne a toujours la possibilit de sopposer au cas par cas au traitement de ses donnes personnelles (voir ce sujet notre publication sur notre site web www.leprepose.ch Documentation Protection des donnes Feuillets thmatiques Blocage de lutilisation dune adresse des ns publicitaires). Au cours de lexamen des faits auprs dun commerant dadresses (cf. ch. 1.8.5), nous avons constat que celui-ci collectait toutes les donnes gurant dans lannuaire tlphonique y compris les inscriptions dotes dun astrisque et les communiquait des tiers des ns de marketing. Selon le commerant dadresses en question, lastrisque ne se rapporterait quau numro de tlphone et aux autres donnes utilises des ns de tlcommunication, mais non ladresse postale. De son point de vue, les donnes dannuaire peuvent sans autre tre utilises pour envoyer de la publicit adresse, mme lorsque lastrisque gure auprs des inscriptions. Nous apprcions la situation juridique comme suit. Lart. 88 de lOrdonnance sur les services de tlcommunication (OST) est formule de faon trs gnrale: Les clients gurant dans un annuaire ont le droit dy faire mentionner clairement quils ne souhaitent pas recevoir de messages publicitaires de tiers et que les donnes les concernant ne peuvent pas tre communiques des ns de prospection publicitaire directe. Par ailleurs, depuis le 1er avril 2012, le non respect de lastrisque dans lannuaire est galement considr comme un acte dloyal au sens de lart. 3 lit. u de la loi fdrale sur la concurrence dloyale (LCD) et peut tre sanctionn sur le plan pnal. Mme si lon devait considrer que ces dispositions lgales ne sappliquent que dans le domaine des tlcommunications ( savoir pour le tlmarketing), cela ne signie pas pour autant
88
que lutilisation, des ns de marketing, de ladresse gurant dans lannuaire soit licite. En effet, sous langle de la lgislation sur la protection des donnes (LPD), toute collecte de donnes et en particulier sa nalit doit tre reconnaissable pour la personne concerne et toute communication de donnes doit respecter les principes de nalit et de transparence. Or, une utilisation des donnes publies dans lannuaire des ns de prospection publicitaire nest pas reconnaissable pour la personne concerne qui a fait apposer un astrisque auprs de son inscription; une telle utilisation des donnes reprsente galement une violation du principe de nalit, lannuaire ayant avant tout pour but de permettre ltablissement des tlcommunications (et non lenvoi de publicit) et la publication obligatoire de ladresse postale visant identier de faon certaine labonn des ns de tlcommunications.
Cest pourquoi nous estimons que lutilisation, des ns de marketing, des adresses publies dans lannuaire constitue une atteinte illicite la personnalit, moins dtre justie dans un cas concret par le consentement de la personne concerne (p. ex. concours ou relation commerciale).
89
1.9
1.9.1
Finances
Communication de donnes des autorits scales trangres
La communication de donnes aux autorits scales trangres demeure une des priorits de lagenda politique et ce thme suscite un vif dbat auprs du public. Du point de vue de la protection des donnes, nous avons tout particulirement port notre attention sur les conventions de double imposition, sur la nouvelle loi fdrale sur lassistance administrative en matire scale, ainsi que sur le Foreign Account Tax Compliance Act, le FATCA. Conventions de double imposition Comme il la dj fait plusieurs reprises, le Conseil fdral continue conclure de nouvelles conventions visant viter la double imposition (CDI) ou en rvise dans la perspective de la mise sur pied dune entraide administrative internationale en matire scale et dans loptique de la reprise des normes de lOCDE (notamment en ce qui concerne lchange dinformations). Nous nous sommes dj exprims sur ce sujet (voir notre 18e rapport dactivits 2010/2011, ch. 1.9.3). Le 13 fvrier 2011, le Conseil fdral a dcid dadapter les conditions relatives lidentication des contribuables et des dtenteurs de renseignements aux normes de lOCDE applicables au niveau international. Dsormais, il pourra tre donn suite une demande dassistance administrative qui repose sur une CDI comportant une disposition relative lchange dinformations conformment lart. 26 du modle de convention de double imposition de lOCDE lorsquil y est dmontr quil ne sagit pas dune shing expedition et (a) lorsque lEtat requrant identie le contribuable, cette identication pouvant aussi avoir lieu dune autre manire que par lindication du nom et de ladresse, dans certains cas exceptionnels mme par lindication dun numro de compte; ou (b) lorsque lEtat requrant donne le nom et ladresse du dtenteur prsum des informations dans la mesure o ils lui sont connus. Si ces indications qui permettraient la Suisse didentier le dtenteur des informations manquent, il faut respecter les principes de la proportionnalit et de la praticabilit. Les demandes accompagnes dune liste de numros de comptes sans aucune autre indication serait considre comme une pche aux informations laquelle il ne serait pas donn suite. Sur la base de ces lments, nous sommes parvenus la conclusion que cette pratique est conforme la protection de donnes.
90
Loi sur lassistance administrative en matire scale Les clauses dassistance administrative dans les conventions de double imposition et autres conventions internationales en matire scale ne rglent pas ce quil convient de faire ce propos au niveau national. Actuellement, cette question est rgie par lordonnance relative lassistance administrative daprs les conventions contre les doubles impositions (OACDI); toutefois, cette ordonnance ne satisfait pas aux exigences du principe de lgalit. Pour cette raison, le Conseil fdral a labor un projet de loi fdrale sur lassistance administrative internationale en matire scale (loi sur lassistance administrative scale, LAAF). Cette loi prvoit que lassistance administrative doit se drouler dans le cadre des conventions mentionnes, lesquelles prvoient un change dinformations en matire scale. En principe, la loi sur la protection des donnes est aussi applicable lassistance administrative internationale en labsence de loi spciale. Toutefois, dans le cas de lassistance administrative en matire scale, la LAAF primera dsormais en tant que lex specialis sur la loi sur la protection des donnes. Dans le cadre de la consultation des ofces, nous avons examin le projet de loi sous langle de sa compatibilit avec la loi sur la protection des donnes (LPD) et sommes parvenus la conclusion que les exigences prvues par le droit de la protection des donnes sont remplies pour ce qui est du principe de lgalit (art. 17 LPD) et de la communication de donnes personnelles des tiers (art. 19 LPD). Le but du traitement, les indications sur la personne qui traite les donnes et leur destinataire, ainsi que le volume des donnes acquises, de leur traitement et de leur communication y sont rglementes en dtail et les droits des personnes concernes sont garantis. Foreign Account Tax Compliance Act (FATCA) Le Foreign Account Tax Compliance Act (FATCA) est une loi des tats-Unis dAmrique qui entrera en vigueur le 1er janvier 2013. Elle vise contrer lvasion scale des contribuables amricains. Tous les instituts nanciers trangers (Foreign Financial Institutes FFI) sont concerns par ces nouvelles dispositions lgales; il sagit des banques et des assurances entre autres qui investissent pour leurs clients ou pour leur propre compte dans des titres amricains. Ceux-ci seront tenus, annuellement, de fournir automatiquement des informations compltes sur les contribuables amricains aux autorits scales des tats-Unis (Internal Revenue Service IRS), faute de quoi elles seront tenues de sacquitter dun impt la source de 30% (withholding tax) sur tous les paiements de revenus de provenance tasunienne. Sont considrs comme contribuables amricains les ressortissants amricains, les doubles nationaux, les dtenteurs dune green card, mais aussi les personnes qui scalement possdent le statut de rsident. Il faudra donc communiquer aux autorits scales des tats-Unis
91
pour chaque titulaire de compte le nom, ladresse, le TIN (tax identication number), le numro de compte, le solde, les revenus bruts et les retraits bruts ou autres transactions. Si un compte soumis dclaration est identi, son titulaire ou layant droit conomique doit donner son consentement la communication des donnes en question aux tats-Unis; le secret bancaire est ainsi lev. Au cas o la personne refuse ce consentement, la relation bancaire doit tre dissoute et linformation doit tre transmise aux autorits scales amricaines. Nous sommes trs critiques lgard de cette loi amricaine impose unilatralement par les tats-Unis. Dune part parce que la communication directe de donnes dinstituts nanciers privs aux autorits scales amricaines revient de facto un change automatique dinformations, en contournement de la voie usuelle de lassistance administrative. Dautre part, nous sommes davis que le FACTA nest pas conforme notre loi sur la protection des donnes, et cela divers gards. Dans le cadre dune audition devant la Commission de politique trangre du Conseil des tats, nous avons eu la possibilit de faire part de nos proccupations ce sujet. Nos rserves portent notamment sur la validit du consentement la leve du secret bancaire, la proportionnalit quant aux personnes qui sont considres comme contribuables amricains ainsi quau volume et au contenu des donnes qui doivent tre communiques. Enn, nous considrons comme problmatique le fait que les autorits scales des tatsUnis ne soient pas tenues par une obligation de condentialit lgard des informations reues.
92
1.9.2
tude concernant la modernisation des poursuites en Suisse
Ltude de lOfce fdral de la justice publie en 2011 propos de la norme de communication e-LP a port sur la modernisation des poursuites en Suisse et a montr les chances et les risques dun ofce des poursuites virtuel, dot dun registre central des poursuites. Lintroduction et lutilisation dun identicateur de personnes est la pierre angulaire de ce type de registre. Nous avons t invits nous prononcer sur ltude e-LP dans la perspective dune modernisation des poursuites en Suisse. Cette tude entendait souligner le potentiel dun rseau e-LP et montrer les risques et les possibilits dun ofce des poursuites virtuel en Suisse, dot dun registre des poursuites central. Nous nous sommes tout particulirement penchs sur deux thmes, savoir lidenticateur de personnes et la banque de donnes centrale des dbiteurs.
Lidentication sre et sans quivoque des personnes est la pierre angulaire dun ofce des poursuites virtuel dot dun registre des poursuites central. cette n, lofce aurait besoin dun identicateur de personnes. Lidentication est plus facile pour les personnes morales que pour les personnes physiques, puisquon peut utiliser par exemple le numro didentication des entreprises (IDE). Il est dores et dj possible dobtenir ce numro IDE en ligne car il se trouve dans un registre accessible au public. Il est par contre beaucoup plus difcile denvisager la cration dun identicateur sans quivoque pour les personnes physiques. Nous trouvons au premier plan lutilisation du numro dassurance sociale (NAVS13). Mais cette option implique de grands risques pour la sphre prive des citoyens car elle permettrait dtablir des liens indsirables. Mis part le fait que conformment la loi sur lAVS, il faudrait dabord crer la base lgale ncessaire, nous estimons quune utilisation systmatique du NAVS13 nentre pas en ligne de compte dans un registre central des poursuites: le NAVS13 ne permet pas toujours didentier une personne sans quivoque; de plus, toutes les personnes physiques qui peuvent tre mises aux poursuites nont pas un numro dAVS. Pour que lutilisation du NAVS13 soit judicieuse, il faudrait aussi quun crancier potentiel qui veut introduire une poursuite ou un tiers qui demande un extrait du registre des poursuites concernant un dbiteur puisse lidentier sans quivoque. Il faudrait donc quils connaissent son numro dAVS. Il sen suivrait une diffusion massive des numros dAVS qui rduirait nant la gestion restrictive de leur utilisation. Une banque de donnes centrale des dbiteurs qui viendrait remplacer le systme actuel des registres dcentraliss des poursuites offrirait de grands avantages. Elle permettrait par exemple dliminer la diversit (dj maintes fois critique), tant du point de vue temporel que du contenu, des traitements effectus partir des renseignements tirs des registres des ofces des poursuites. Mais une banque de donnes centrale et lectronique comporterait aussi des risques considrables. Les donnes devraient dans tous les cas tre protges contre la perte accidentelle et les erreurs techniques, mais aussi contre la falsication, le vol et autres traitements contraires au droit. Elles ne devraient pas tre modies, copies ou mme dtruites par des personnes non habilites. En outre, dans un systme dcentralis, la condentialit, la disponibilit et lintgrit de donnes aux origines les plus diverses devraient tre aussi garanties en tout temps. Ltude en question ayant dans un premier temps abord les chances et les risques dun ofce des poursuites virtuel en Suisse uniquement dun point de vue gnral, il faut encore attendre de savoir quelle option, parmi les nombreuses possibilits abordes, sera effectivement mise en pratique. Nous continuerons suivre le projet et si cela est ncessaire et utile, nous intgrerons nos points de vue dans le dbat de manire constructive.
93
1.9.3
Rvision de lordonnance rgissant la taxe sur la valeur ajoute
Lordonnance rgissant la taxe sur la valeur ajoute ne constitue pas une base lgale sufsante permettant lutilisation du numro dAVS dans le domaine de la taxe sur la valeur ajoute, mme pas comme disposition transitoire. Dans le cadre dune consultation des ofces, nous avons t invits nous prononcer sur la rvision de lordonnance rgissant la taxe sur la valeur ajoute (OTVA). Il sagissait de modier, dans le sens dune disposition transitoire, lart. 131, let. a, OTVA pour que le numro AVS puisse galement tre utilis dans le domaine de la taxe sur la valeur ajoute. Cela bien que la loi sur lAVS prescrive clairement que le numro AVS ne peut tre utilis systmatiquement en dehors des assurances sociales fdrales que si une loi fdrale le prvoit et si le but de lutilisation et les utilisateurs lgitims sont dnis. Selon la jurisprudence, il est possible de droger la rgle qui exige une loi au sens formel et denvisager une rglementation au niveau de lordonnance (en tant que disposition transitoire) lorsque llaboration de la base lgale au sens formel est dj concrtement en cours, sur le plan matriel et temporel. Cette rgle a pour but dviter que suite la cration dun prcdent ( savoir la rglementation dun objet au niveau de lordonnance au lieu de la loi) le lgislateur ne se voit ter la possibilit de faire usage des comptences qui lui reviennent et ddicter des lois qui rpondent sa volont. Une disposition transitoire au niveau de lordonnance suft par exemple si le projet de loi et le message qui laccompagne sont tablis et ont t discuts au moins dans lune des chambres de lAssemble fdrale. Mais dans le cas prsent, ces conditions ntaient pas encore remplies, raison pour laquelle nous nous sommes prononcs contre la modication de lart. 131, let. a, OTVA. Lofce responsable a nalement renonc cette modication.
94
1.9.4
Obligation de renseigner des tablissements cantonaux dexcution des peines envers les ofces des poursuites
Avant la notication du commandement de payer, les ofces des poursuites doivent entreprendre toutes les recherches raisonnables et ncessaires an de retrouver un dbiteur. En font aussi partie les vrications auprs des autorits cantonales dexcution des peines propos du sjour des personnes incarcres. Ce type de vrications peut tre raisonnablement exig des autorits. Une autorit cantonale dexcution des peines et un ofce des poursuites du mme canton ntaient pas daccord sur la question de savoir si et dans quelle mesure une
autorit dexcution des peines doit fournir lofce des poursuites des renseignements sur le sjour de personnes dans une de leurs institutions, cela dans le but de notier un commandement de payer. Dune manire gnrale, nous ne sommes pas comptents pour rpondre ce genre de question. Mais, dans le cas prsent, comme il sagissait de linterprtation du droit fdral, nous avons t pris de remettre une apprciation juridique. Le droit de ce canton en matire de protection des donnes prvoyait quune autorit peut communiquer des donnes personnelles sensibles si laction repose clairement sur une base lgale, si la personne concerne y a consenti expressment ou encore si laccomplissement dune tche lgale le requiert absolument. Dans le cas prsent, ni le droit cantonal, ni la loi fdrale sur la poursuite pour dettes et la faillite (LP) ne contiennent de rglementation dans ce sens et il ny avait pas non plus de consentement de la personne concerne. La question se posait donc de savoir si lautorit dexcution des peines doit communiquer le lieu de sjour dune personne incarcre parce que cette communication est ncessaire laccomplissement dune tche lgale de lofce des poursuites. Si un dbiteur a son domicile en Suisse, la notication du commandement de payer est rgie par les art. 71 et 72 LP ainsi que par les prescriptions gnrales des art. 64 et suivants LP concernant la notication des actes de poursuite. Lorsque la poursuite est dirige contre un dtenu qui na pas de reprsentant, lofce des poursuites lui accorde un dlai conformment lart. 60 LP pour en nommer un, moins que de par la loi, ce soit lautorit tutlaire de le nommer. La poursuite demeure suspendue jusqu lexpiration de ce dlai, lequel doit tre accord avant la notication du commandement de payer (ATF 77 III 145, cons. 1). Conformment la jurisprudence du Tribunal fdral, lart. 60 LP a pour but de permettre au reprsentant (lgal) dun dtenu daccomplir les actes ncessaires en procdure de poursuite (cf. ATF 38 I 237, ainsi que 108 III 3, cons. 1). Le dbiteur doit tre mme de pouvoir se dfendre de manire efcace contre des actes de poursuite illgaux ou inadapts. Linobservation de lart. 60 LP dans le cas de la notication dun commandement de payer a pour consquence linvalidation de la mesure de lofce des poursuites et une notication errone du commandement de payer (cest--dire qui ne parvient pas la connaissance du dbiteur) est nulle (ATF 120 III 117, cons. 2c). Si lofce des poursuites doit xer un dlai au dtenu ou son reprsentant avant la notication du commandement de payer conformment lart. 60 LP cela suppose , quil a connaissance du fait que cette personne est en dtention ou en train dexcuter une peine. De ce fait se pose invitablement la question de savoir comment lofce
95
des poursuites parvient cette information ou quand et jusqu quel point il doit procder des recherches sur le lieu de domicile ou de sjour dun dbiteur avant de notier le commandement de payer. Avant que lofce entreprenne des recherches sur le lieu de domicile ou de sjour, il a la possibilit de notier le commandement de payer conformment lart. 64 et lart. 66, al. 1 et 2, LP savoir au lieu de domicile, au lieu de la formation professionnelle, , dans un local dsign par le dbiteur ou par lintermdiaire de la poste. Dans toutes ces formes de notication, il doit tre garanti que le dbiteur est vritablement inform du commandement de payer, faute de quoi la poursuite est nulle. Si le commandement de payer ne peut tre noti par cette voie, la notication peut se faire par publication ofcielle (notication par voie dictale, art. 66, al. 4, LP). De lavis du Tribunal fdral, ce mode de notication est un ultime moyen; il ne faut pas y recourir avant que toutes les recherches bases sur la situation de fait aient t entreprises par le crancier et lofce des poursuites pour dcouvrir une ventuelle adresse de notication du dbiteur (ATF 112 III 6, cons. 4). Il ne doit pas y avoir de notication dictale ds que lon estime que les donnes constituant ladresse ne sufsent pas, mais seulement lorsque le dbiteur demeure inatteignable ou lorsque les recherches semblent sans espoir. On peut en conclure que dans certains cas despce o une notication conformment aux art. 64 et 66, al. 1 et 2, LP est impossible et o lon ne dispose daucun indice sur lendroit o se trouve le dbiteur, un ofce des poursuites doit demander aux autorits dexcution des peines et aux tablissements pnitentiaires si un dbiteur se trouve ventuellement en dtention ou est en train dexcuter une peine. Cela ne signie toutefois pas quun ofce des poursuites doit adresser sa demande auprs des autorits dexcution des peines des 26 cantons. Cela ne serait ni faisable, ni raisonnablement exigible. Par contre, sadresser aux autorits dexcution des peines de son propre canton semble une dmarche raisonnable. Nous sommes donc parvenus la conclusion suivante: les ofces des poursuites doivent imprativement respecter lart. 60 LP et dj avant la notication dun commandement de payer, entreprendre toutes les recherches ncessaires et raisonnablement exigibles pour trouver un dbiteur. Par ailleurs, ils ont absolument besoin de linformation requise auprs des autorits de poursuite pnale an daccomplir leurs tches lgales (art. 60 LP). De ce fait, la loi sur la protection des donnes, qui prvoit que des donnes peuvent tre communiques si cela est imprativement requis pour laccomplissement dune tche lgale, peut servir de base lgale aux demandes mises dans ce contexte par les ofces des poursuites.
96
1.10
International
1.10.1 Coopration internationale

Linternationalisation des traitements de donnes personnelles et les ds quelle entrane pour le respect du droit la protection des donnes rendent urgents ladoption dun cadre juridique universel contraignant et le renforcement de la coopration entre les autorits de protection des donnes. LUnion europenne, le Conseil de lEurope et lOCDE ont entam leurs travaux de rvision de leurs instruments juridiques an de renforcer leffectivit la protection des donnes. Nous avons particip activement aux travaux du Conseil de lEurope, de lOCDE, des Confrences europenne et internationale des commissaires la protection des donnes, des instances de contrle commune Schengen et Eurodac et de lAssociation francophone des autorits de protection des donnes. Conseil de lEurope Lanne 2011 a marqu le 30e anniversaire de la Convention du Conseil de lEurope pour la protection des personnes lgard du traitement automatis des donnes caractre personnel (Convention 108). Cela a t loccasion pour le Conseil de lEurope de dresser un bilan et de regarder vers lavenir. Si lobjectif de la Convention, savoir la garantie toute personne physique, quelles que soient sa nationalit ou sa rsidence, du respect de ses droits et de ses liberts fondamentales, et notamment de son droit la vie prive, lgard du traitement automatis des donnes caractre personnel la concernant, demeure pertinent, il savre ncessaire dadapter linstrument lenvironnement informationnel et technologique actuel an de renforcer leffectivit de la protection des donnes. Ainsi, le comit consultatif de la Convention 108 (T-PD), sous la prsidence du prpos fdral supplant, a poursuivi son travail de modernisation de la Convention (voir 18e rapport dactivits 2010/2011, ch. 1.10.1). Suite une consultation publique, le comit a examin un premier document de travail avec des propositions de modication de la Convention (www.coe.int/t/dghl/standardsetting/dataprotection/modernisation_FR.asp?). Le travail en cours repose sur la ncessit de garder la nature gnrale et simple de la Convention, den conserver lapproche technologiquement neutre et dassurer la cohrence avec le cadre juridique europen. Il sagit galement de maintenir le caractre international, ouvert et contraignant de la Convention, laquelle rpond actuellement le mieux au besoin dun instrument universel. Les travaux sorientent vers un renforcement du droit la protection des donnes an de (re)donner aux individus le contrle
97
sur leurs donnes. La Convention devrait continuer de sappliquer tous les traitements des secteurs public et priv. Elle ne devrait plus se limiter aux traitements automatiss, mais stendre lensemble des traitements quels que soient les moyens et procds utiliss. Toutefois, les traitements effectus des ns exclusivement personnelles ou domestiques se verront exclus du champ dapplication. Les dnitions seront revues et compltes. Au niveau des principes de base de la protection des donnes, les contours du principe de proportionnalit pourraient tre prcises, notamment sous langle de la minimisation des donnes et du choix des moyens de traitement. Une disposition nonant les motifs pouvant lgitimer un traitement des donnes sera introduite et il nest pas exclu que le rgime des donnes sensibles soit revu, notamment avec une extension du catalogue des donnes et une meilleure prise en compte du contexte dans lequel se droule le traitement. Le comit examine galement lintroduction des principes de responsabilit et de protection des donnes intgre (privacy by design). Il envisage de renforcer les droits des personnes concernes (en particulier la transparence des traitements et le droit dopposition). Lintroduction dune obligation de dnoncer les violations de scurit au moins aux autorits de contrle est galement tudie. Le rle, les tches et les comptences des autorits de contrle devraient tre prcises, notamment en vue de renforcer la coopration internationale non seulement sous langle de lchange dinformations et de lassistance, mais galement pour permettre des interventions conjointes. Les critres de lindpendance de ces autorits seront prciss. Les comptences du comit consultatif seront galement revues, notamment pour permettre un contrle pralable ladhsion et introduire un meilleur suivi de lapplication de la convention par les Parties. Enn, tout en maintenant le principe de la libre circulation des informations entre Parties et lexigence du niveau de protection adquat, le rgime des ux transfrontires sera adapt la ralit du monde actuel (Internet, informatique en nuage, etc). Le comit pourrait naliser un projet dici n 2012 en vue de son adoption par le Comit des Ministres du Conseil de lEurope. Dans ses fonctions de prsident du comit, le prpos fdral supplant a aussi eu loccasion dintervenir dans diffrents forums internationaux et de prsenter lavancement des travaux de modernisation de la Convention et den souligner les avantages dans loptique de ladoption dun cadre juridique universel contraignant. Le comit consultatif poursuit ses travaux de rvision de la recommandation n R (89) 2 sur la protection des donnes caractre personnel utilises des ns demploi et conduit une valuation de lapplication de la recommandation n R (87) 15 visant rglementer lutilisation de donnes caractre personnel dans le secteur de la police. Sur la base des rsultats de cette valuation, il dcidera de lopportunit de revoir cette
98
recommandation. Il a galement adopt un avis positif sur la demande de lUruguay dadhrer la Convention 108. Son adhsion devrait intervenir en 2012 et lUruguay deviendra ainsi le premier tat non europen partie la Convention. Confrence europenne des commissaires la protection des donnes Le 5 avril 2011 sest droule, Bruxelles, la confrence annuelle de printemps des commissaires europens la protection des donnes linvitation du Contrleur europen la protection des donnes et du prsident du groupe de travail de larticle 29. Cette confrence runissait les autorits de protection des donnes des tats membres de lUnion europenne et des pays tiers parties la Convention 108. La confrence a port principalement sur la rvision du cadre juridique europen de la protection des donnes. La confrence a adopt une rsolution mettant laccent sur la ncessit dadopter un cadre juridique global en matire de protection des donnes qui couvre les secteurs priv et public, y compris les secteurs de la police et de la justice (voir sur notre site www.leprepose.ch, sous Thmes Protection des donnes Coopration internationale). La rsolution souligne galement la ncessit dune approche cohrente dans les efforts de modernisation des diffrents cadres juridiques existants au sein de lUnion europenne, du Conseil de lEurope et de lOCDE. Les commissaires sont davis que ces dveloppements devraient permettre damliorer le cadre actuel et dassurer ainsi une protection plus efcace des droits des personnes concernant le traitement de leurs donnes personnelles. Les commissaires ont galement dcid de mieux coordonner les activits dans le domaine de la scurit et de la justice menes par le groupe de larticle 29 et le groupe de travail de la confrence europenne sur la police et justice. Groupe de coordination du contrle dEurodac Le groupe de coordination du contrle dEurodac (voir notre 18e rapport dactivits 2010/2011, ch. 1.10.1) sest runi le 21 octobre 2011 pour une sance laquelle nous avons particip. Le premier thme abord fut celui du systme automatis de comparaison des empreintes digitales Eurodac. On y a entre autres discut du rapport sur la destruction prmature des donnes dans ce systme, rapport qui a entretemps t adopt par le groupe de coordination et publi sur le site web du Contrleur europen de la protection des donnes (www.edps.europa.eu). Le prochain thme central devrait tre la question des empreintes digitales illisibles. Un autre thme abord dans cette sance a t le nouveau systme europen dinformation sur les visas (VIS). Dans ce contexte aussi, la surveillance du systme VIS incombe dune part aux autorits de surveillance nationales, dautre part au Contrleur europen de la protection des donnes. Ces autorits cooprent activement pour
99
assurer une surveillance coordonne du systme VIS et des systmes nationaux. Le systme VIS a pu tre mis en service pour la premire rgion le 11 octobre 2011. Celle-ci comprend six pays dAfrique du Nord, savoir lAlgrie, lgypte, la Libye, la Mauritanie, le Maroc et la Tunisie. Il est prvu par la suite dtendre lapplication du systme VIS au Proche-Orient et, dans une phase ultrieure, la rgion du Golfe. Le systme VIS contient les empreintes digitales et photographies faciales des demandeurs de visa, donc des donnes biomtriques. Il a pour objectif de simplier et dacclrer la procdure doctroi des visas, mais aussi daider prvenir la fraude et dviter que plusieurs demandes de visa ne puissent tre dposes simultanment dans diffrents tats membres (visa shopping). Comme indiqu lors de la runion, le systme a t mis en service sans problmes majeurs et semble fonctionner de manire stable. La Suisse a galement mis en service le systme VIS et adapt le droit suisse en consquence. Groupe de travail police et justice Le groupe de travail police et justice de la Confrence europenne des commissaires la protection des donnes a pour mission de suivre les dveloppements lgislatifs touchant au secteur de la police, notamment ceux relevant de lacquis Schengen, et de coordonner les activits de surveillance entre les autorits nationales de protection des donnes. Dans ce contexte, il met des avis et des prises de position. Nous avons particip aux diffrentes runions de fvrier, mars, juin et septembre 2011. Le groupe de travail a en particulier tabli une mthodologie commune dvaluation des risques pralable aux inspections de donnes an de renforcer lefcacit de la surveillance; cette mthodologie a permis de mettre en lumires cinq domaines de risques. Ces derniers doivent toutefois tre reformuls de manire encore plus prcise an de permettre une meilleure comparaison internationale. Le groupe de travail dveloppera une politique de surveillance dnissant la manire dagir sur la base des risques identis. En vue de la confrence de printemps 2012, le groupe a prpar un document de travail exposant les diffrentes options envisageables pour son futur. Autorit de contrle commune Schengen Lautorit de contrle commune Schengen (ACC) sest runie quatre reprises en 2011. LACC a en particulier poursuivi ses activits de contrle et plani de nouvelles inspections. Le rapport concernant linspection sur les alertes relatives aux personnes recherches pour larrestation aux ns dextradition sera prochainement disponible. Il en est de mme pour le rapport concernant linspection de suivi des recommandations mises lors du contrle relatif aux donnes de personnes ou de vhicules intgres dans le SIS aux ns de surveillance discrte ou de contrle spcique. En 2012, LACC mnera une inspection sur les droits daccs au SIS I an que la protection des donnes soit effective. cette n, le Secrtariat a labor un questionnaire qui a t restructur
100
suite aux discussions qui ont eu lieu lors des sances. Dans le cadre de cette inspection, la sensibilisation et linformation des personnes seront galement examines. LACC conduira galement une inspection de nature technique sur le contenu du SIS I et 4all qui sera mene par un groupe dexperts provenant de six pays. Le site internet de lACC a par ailleurs t mis jour et est accessible ladresse suivante: http://schengen.consilium.europa.eu. Groupe de travail europen sur le traitement de cas relevant de la protection des donnes Lors de ses prcdentes runions, le groupe de travail europen sur le traitement de cas relevant de la protection des donnes (Case Handling Workshop), mis en place par la Confrence europenne des Commissaires la protection des donnes, sest concentr sur quatre sujets. En octobre 2011, le groupe de travail, constitu de reprsentants de 29 autorits nationales de protection des donnes, a ainsi premirement abord les questions ayant trait aux cas transfrontires et la manire dont les diffrentes autorits de protection des donnes graient de tels cas. Dans un deuxime temps, la problmatique des rseaux sociaux et dinternet a t traite. La discussion a principalement port sur linformatique en nuage (cloud computing) et nos collgues nordiques en ont prot pour nous faire part des rsultats du premier contrle quils ont effectu dans ce domaine. Il en ressort quil faut imprativement sensibiliser les entreprises et autorits aux dangers de ce systme et les responsabiliser. La troisime thmatique aborde par le groupe de travail est celle des mthodes de contrle utilises par les autorits de protection des donnes en fonction de leurs comptences lgales respectives. Lors de la discussion, nous avons constat que de nombreuses autorits de protection des donnes disposent dans leur lgislation nationale de mesures de sanctions sous forme damendes lencontre de lorgane contrl, ce que le droit suisse ne connat pas actuellement. Enn, la surveillance sur le lieu du travail a t thmatise et illustre laide des divers cas concrets tirs de la pratique des diffrentes autorits de protection des donnes. Ces exemples ont mis en lumire que le recours aux nouvelles technologies, notamment la vidosurveillance et la biomtrie, devenait de plus en plus frquent et ncessitait un travail actif dinformation et de sensibilisation. Confrence internationale des commissaires la protection des donnes et la vie prive La 33e confrence internationale des commissaires la protection des donnes et la vie prive sest tenue Mexico City du 1er au 3 novembre 2011 linvitation de lInstitut fdral de laccs linformation et de la protection des donnes (IFAI)
101
(www.privacyconference2011.org). Sous le thme de Vie prive, lre universelle, la confrence a runi quelque 700 participants provenant du monde entier et reprsentant 80 autorits de protection des donnes, des organisations non gouvernementales, lindustrie et la science, ainsi que les administrations publiques. Comme laccoutume, la confrence se droule en deux parties: lune rserve aux seules autorits de protection des donnes accrdites, lautre ouverte lensemble des acteurs concerns; ces derniers y ont loccasion dchanger et de dbattre sur les enjeux du moment en matire de protection des donnes et de vie prive, savoir en particulier les ds dcoulant de linternationalisation croissante des traitements de donnes personnelles, la problmatique de lamoncellement des donnes (big data), linformatique en nuage (cloud computing), la responsabilit sociale (accountability), le droit loubli, les dveloppements lgislatifs, la certication, les failles de scurit et la protection des donnes intgre (privacy by design). Nous avons eu loccasion dintervenir lors de deux sessions plnires et de mettre laccent sur lapport de la Convention 108 dans le contexte international et le dveloppement des diffrentes lgislations de protection des donnes travers le monde. Sil est rjouissant que le nombre dEtats dots de lgislations de protection des donnes ne cesse daugmenter, nous avons soulign que pour garantir linteroprabilit, il est important de fdrer et dharmoniser les lgislations. Cela suppose ladoption dun cadre international contraignant reposant sur un standard commun. En labsence de normes universelles contraignantes, la convention 108 est appele ainsi continuer de jouer un rle fondamental et peut servir de base un accord de porte universelle. Tout en rappelant quun cadre juridique contraignant est indispensable, nous avons galement plaid pour un renforcement de la coopration internationale, en particulier entre autorits de protection des donnes, ainsi que pour le dveloppement du dialogue avec lensemble des acteurs de la socit civile. La confrence ferme des commissaires la protection des donnes a mis laccent sur la ncessit de renforcer la coopration entre les autorits de protection des donnes an dtre plus efcace, notamment dans le cadre dopration de contrles. Elle a en particulier adopt une rsolution sur la coordination de lapplication des dispositions en matire de protection de la vie prive lchelle internationale. Elle souhaite galement renforcer son rle et a adopt cet effet de nouvelles rgles de procdures, crant notamment un comit excutif, lequel sera prsid par le prsident de lautorit de protection des donnes des Pays-Bas. La confrence ferme a en outre adopt une rsolution sur la protection des donnes et les catastrophes naturelles et une
102
rsolution sur lutilisation un identiant unique dans le dploiement du protocole Internet version 6 (IpV6). Cette rsolution plaide en particulier pour le maintien par dfaut dadresses IP dynamiques. Les rsolutions se trouvent sur notre site www.leprepose.ch, sous Thmes Protection des donnes Coopration internationale. Groupe de travail sur la scurit de linformation et la vie prive (OCDE) Le groupe de travail sest pench sur la rvision des directives relatives la scurit et la protection des donnes, sur la question du caractre conomique des donnes personnelles en rapport avec la protection et la scurit des donnes, sur les possibilits dutilisation de donnes mdicales dans la recherche et sur le renforcement de la protection des donnes et de la scurit sur Internet. Il a galement abord quelques autres sujets tels que les stratgies nationales en matire de scurit de linformation et de lutte contre la cybercriminalit, et nalement la rvision des lignes directrices sur la scurit des rseaux dinformation. Lvolution fulgurante dans le domaine de la vie prive, en particulier le stockage et le dpouillement transfrontire dun volume de donnes personnelles sans prcdent, aura marqu les discussions relatives la rvision de la directive sur la scurit et la protection des donnes. tant donn que les rglementations nationales touchent leurs limites dintervention, lutilisation de technologies respectueuses de la protection des donnes est considre comme essentielle pour amliorer la protection de la sphre prive sur Internet. Par consquent, un groupe dexperts a t mis en place pour examiner de quelle manire les principes fondamentaux de la directive pourraient tre modis. Ces experts soumettront leurs propositions de modication au groupe de travail. Le rle des donnes personnelles sur Internet est galement pertinent si lon considre le caractre conomique de linformation du point de vue de la protection des donnes et de la scurit. Pour rpondre la question de savoir quel prix est attribuer aux donnes personnelles, il est prvu deffectuer des calculs correspondants dans quatre domaines slectionns (rseaux sociaux, socits de renseignements commerciaux, moteurs de recherche et programmes de dlisation des clients). Cela devrait galement rpondre la question de savoir dans quelle mesure les donnes personnelles peuvent entraver linnovation technologique. Il ne sagit cependant pas de conclure un niveau de protection des donnes plus ou moins lev uniquement sur la base de critres conomiques. Au contraire, il importera de dnir les dangers pour la vie prive et, le cas chant, de proposer des mesures qui puissent tre mises en uvre par des
103
entreprises ou des autorits. Il nest pas acceptable de prendre comme unique critre lapprciation que les citoyens font eux-mmes de leurs donnes personnelles, tant donn quils les sous-estiment souvent en raison du manque dinformation et de sensibilisation. Il y a donc lieu de prendre en compte lors de cette valuation le fait que les moteurs de recherche ou les rseaux sociaux par exemple collectent le maximum possible de donnes. Enn, des champs de donnes isols tels que ladresse ou le numro de tlphone nont pas la mme valeur quune combinaison de ces champs ou les prols qui en rsultent. Une tude externe mandate devra rpondre la question du prix des donnes personnelles. Elle devra tenir compte des diffrents modes de calcul. En ce qui concerne lutilisation de donnes personnelles dans la recherche mdicale, le Comit sant a prsent les premires tapes. Il sagit en premier lieu de pouvoir utiliser de manire plus efcace les donnes mdicales des ns de recherche, tout en tenant compte des implications que ceci a sur la vie prive des patients affects. Sajoute cela que, dans la plupart des pays europens, il existe dj un cadre rglementaire dtaill pour le traitement des donnes personnelles dans le domaine mdical. Ceci nempche pas dtudier toutes les possibilits permettant de faciliter lutilisation des donnes. Un groupe dexperts sera mis sur pied cet effet et accordera une attention particulire aux implications sur la vie prive. Compte tenu des rcentes attaques pirates et de laccroissement de la criminalit sur Internet, la question de la scurit de linformation reste un thme dactualit. Plusieurs pays de lOCDE ont dj labor des stratgies nationales pour lutter contre la cybercriminalit et renforcer la scurit de linformation. Le groupe de travail runira maintenant ces diverses stratgies nationales dans une tude comparative. Cette tude servira ensuite de point de dpart pour la rexion sur la manire la plus efcace dassurer la scurit des rseaux dinformation au niveau international. Enn, dans la foule, le groupe de travail examinera sil est ncessaire de rviser les directives datant de 2002 sur la scurit des rseaux dinformation. Association francophone des autorits de protection des donnes LAssociation francophone des autorits de protection des donnes (AFAPDP) a tenu sa cinquime confrence Mexico City, le 31 octobre 2011. Elle a t suivie de lAssemble gnrale de lAssociation. En outre, lAssociation a organis deux jours de sminaire de formation lintention de ses membres, Dakar les 20 et 21 septembre 2011. Ce sminaire a t prcd de la premire rencontre rgionale africaine sur la protection des donnes organise par lAFAPDP. Ces diverses manifestations ont t loccasion dun vaste change entre les anciennes autorits de protection des donnes et les autorits nouvellement installes
104
ou en cours dinstallation. Ces changes ont pour lessentiel port sur les technologies de linformation et des communications, la biomtrie, la responsabilit des entreprises, les ux transfrontires de donnes, la coopration entre autorits, les politiques de formation et de sensibilisation, ainsi que les dveloppements en matire de protection des donnes en Afrique. Lors de la cinquime confrence, nous avons eu loccasion de prsenter les avantages dune adhsion la convention 108, notamment dans loptique des changes dinformations entre lUnion europenne et les pays tiers, ainsi que les conditions requises pour une telle adhsion. Lors de son assemble gnrale, lAFAPDP a adopt quatre rsolutions. La premire concerne le dveloppement dun rfrentiel de principes communs aux autorits francophones pour encadrer les transferts de donnes personnelles entre entreprises. Ce rfrentiel doit permettre aux autorits de disposer dun cadre permettant dapprcier dans la pratique le caractre adquat de la protection apporte aux transferts de donnes. La deuxime rsolution porte sur la sensibilisation efcace de la socit la protection des donnes. Une troisime rsolution a trait lindpendance des autorits de protection des donnes. Elle rappelle en particulier que seule une autorit strictement indpendante dispose de lobjectivit et de limpartialit ncessaires la dfense des droits fondamentaux et liberts individuelles lgard de donnes personnelles. Elle nonce galement certains critres propres garantir cette indpendance (base lgale, absence dinstruction, modalits de nomination, autonomie budgtaire, mise disposition de moyens sufsants, libert dans le recrutement du personnel). Enn, la quatrime rsolution adopte concerne lutilisation de la langue franaise la confrence internationale des commissaires la protection des donnes et la vie prive. Adresse la 33e confrence, lAFAPDP y fait part de sa proccupation par rapport lexclusion croissante de lusage du franais, langue commune plus de 70 tats, de la confrence internationale. Avec lappui du Rseau ibro amricain de protection des donnes, galement concern par lexclusion de la langue espagnole, lAFAPDP a obtenu que, linterprtation du franais et de lespagnol soit assure lors des prochaines confrences, au besoin avec laide des diffrentes communauts linguistiques. Les rsolutions se trouvent sur notre site www.leprepose.ch, sous Thmes Protection des donnes Coopration internationale.
105
Groupe de travail international sur la protection des donnes dans le domaine destlcommunications Le groupe de travail international sur la protection des donnes dans le domaine des tlcommunications, dit Groupe de Berlin, sest runi en avril et en septembre 2011. Depuis plusieurs annes, la protection des donnes dans les rseaux sociaux est pour lui un thme permanent. Il sest galement pench sur les derniers dveloppements de la technique et sur les risques quils impliquent en termes de protection de donnes, en particulier sur lutilisation des technologies de reconnaissance faciale sur Internet. En outre, des documents de travail ont t adopts propos de la protection des donnes lie lutilisation des compteurs lectriques intelligents (smart metering), au micropaiement lectronique sur Internet ainsi qu lenregistrement de donnes dans les vhicules. Pour sa part, linformatique en nuage (cloud computing) a pour lheure fait lobjet dun document de travail assorti de recommandations qui devrait tre adopt au cours de la prochaine rencontre du groupe, en avril 2012. Les documents publis par le Groupe de Berlin peuvent tre consults sur Internet: www.iwgdpt.org ou www.datenschutz-berlin.de sous Europa/International International Working Group on Data Protection in Telecommunications (IWGDPT), en anglais et en allemand.
106
2.
2.1
2.1.1
Principe de la transparence
Demandes daccs
Dpartements et ofces fdraux
Le nombre des demandes daccs dposes a presque doubl par rapport lanne prcdente. Par contre, le pourcentage des accs accords et des accs refuss est rest stable. Le nombre des demandes de mdiation a lui aussi doubl. On enregistre en outre une augmentation consquente des moluments demands par les autorits. Selon les chiffres qui nous ont t communiqus, 466 demandes daccs ont t dposes auprs des autorits fdrales en 2011. Dans 203 cas, les autorits ont accord un accs complet et dans 128 cas un accs partiel. Dans 126 cas, laccs aux documents a t totalement refus. Un fait frappe au premier regard: les chiffres ont pratiquement doubl par rapport aux annes prcdentes (voir la statistique gurant au chiffre 3.5). En premier lieu, cette augmentation dcoule probablement du fait que lcho de la loi sur la transparence auprs du public est de plus en plus grand, surtout auprs des professionnels des mdias, et que les demandes daccs sont de plus en plus frquentes. Dautre part, il est permis de supposer que cinq ans aprs lentre en vigueur de la loi sur la transparence, les autorits sont davantage sensibilises la question et quelles ont commenc rpertorier systmatiquement les demandes daccs et tablir des statistiques. Par contre, on ne relve aucun changement par rapport lanne prcdente pour ce qui est du pourcentage des refus complets (27%), des refus partiels (27%) et des accs entirement accords (44%). Cest lOfce fdral de la sant publique (OFSP) qui nous a transmis le plus grand nombre de demandes daccs pour lanne 2011 (33 demandes), suivi de lInspection fdrale de la scurit nuclaire (IFSN) et de lOfce fdral de lenvironnement (OFEV) avec chacun 22 demandes, un lien direct avec Fukushima tant probable du moins pour lIFSN. Parmi les dpartements, le DETEC (110 demandes daccs), le DFI (87) et le DFAE (80) sont en tte. Sur 71 autorits, 13 nous ont informs quelles navaient reu aucune demande daccs pour lanne 2011. La tendance dj constate au cours de lanne prcdente que les autorits font davantage usage de la possibilit prvue par la loi sur la transparence de prlever des moluments sest poursuivie durant lanne 2011. Selon les chiffres qui nous ont t remis, onze ofces ont factur des moluments pour un montant total de 13140 francs. En comparaison avec les annes prcdentes, cela constitue une augmentation consquente de presque 10000 francs (3460 francs en 2010 et 3850 francs en 2009).
107
En ce qui concerne la charge de travail occasionne par les demandes daccs remises ladministration fdrale, nous soulignons cette anne encore que dabord, les autorits ne sont pas tenues de noter les heures consacres et quensuite, il nexiste aucune directive sur une saisie uniforme du temps de travail dans ce domaine qui soit applicable lensemble de ladministration fdrale. Les donnes nous sont transmises sur une base volontaire et ne sont donc pertinentes que jusqu un certain point. Selon ces chiffres donc, la charge de travail a continu daugmenter (2009: 748 heures; 2010: 815 heures, 2011: 1519 heures). Les heures consacres la participation des procdures de mdiation est passe de 158 heures en 2010 453 heures en 2011.
2.1.2
Services parlementaires
Selon les renseignements fournis par les services parlementaires, une seule demande leur a t adresse en 2011, suite laquelle laccs a t entirement accord.
2.1.3
Ministre public de la Confdration
Le Ministre public de la Confdration nous a informs que dans deux cas, il avait entirement accord laccs demand et que dans un cas, il lavait entirement refus.
108
2.2
Demandes en mdiation
En 2011, nous avons reu un total de 65 demandes en mdiation (voir la statistique au chiffre 3.8), ce qui reprsente deux fois plus que lanne prcdente (32). La plupart ont t dposes par des professionnels des mdias (24 demandes), suivis par des entreprises (16). En tout, 30 demandes en mdiation ont t menes terme. Dans huit cas, une solution consensuelle a t trouve entre les parties impliques. Dans neuf cas, nous avons mis des recommandations car une solution lamiable na pu tre trouve ou tait demble inenvisageable. Parfois, nous avons pu clore plusieurs demandes avec une seule recommandation ou une seule mdiation. Dans cinq cas, les ofces ont accord de leur propre chef laccs pendant la procdure de mdiation en cours. Deux demandes ont t retires et dans quatre cas, les conditions dapplication de la loi sur la transparence ntaient pas donnes. Enn, dans deux cas, la demande en mdiation a t dpose en dehors des dlais. Ces chiffres permettent dmettre les conclusions et les remarques suivantes:Dans 254 cas, ladministration fdrale a refus laccs compltement (126) ou ne la accord que partiellement (128). Suite ces refus complets ou partiels, 65 demandes en mdiation ont t dposes chez nous. Cela signie donc que dans peine 26% des accs entirement ou partiellement refuss, nous avons par la suite reu une demande en mdiation. Dans 15 cas sur 17, les procdures en mdiation ont t menes terme avec une mdiation ou une recommandation et nous avons russi obtenir une solution plus favorable pour le requrant ( savoir une mdiation ou un accs plus tendu que celui qui avait lorigine t accord par lofce fdral). Grce la rvision partielle de lordonnance sur la transparence (OTrans) entre en vigueur en juillet 2011, nous pouvons dsormais prolonger de manire adquate le dlai permettant de mener les procdures de mdiation qui ncessitent un important surcrot de travail. Mais indpendamment de cela, les requrants doivent attendre plus longtemps avant que la procdure soit engage dune part parce que le nombre des demandes dposes a considrablement augment durant lanne sous revue, mais aussi parce que nous ne disposons toujours pas de ressources sufsantes pour les traiter.
109
2.3
2.3.1
Procdures de mdiation closes

Recommandations
Les recommandations mises au cours de lanne coule concernant la loi sur la transparence sont rsumes ci-dessous. Ces recommandations peuvent tre consultes dans leur version intgrale sur notre site Internet www.leprepose.ch, sous la rubrique Documentation Principe de la transparence Recommandations. Recommandation OFEV / Analyse de carburants (16 mai 2011) La demanderesse a dpos auprs de lOfce fdral de lenvironnement (OFEV) une demande daccs aux rsultats danalyse des carburants (essence et diesel) dans les stations service. LOFEV a consenti un accs anonymis aux donnes pertinentes au regard de lordonnance sur la protection de lair (OPair), mais a refus laccs aux autres donnes. Il faisait valoir dune part que la condentialit avait t garantie aux entreprises concernes et dautre part que les rapports danalyses taient soumises au secret daffaires de ces entreprises. Il afrmait en outre quil tait impossible de rendre ces donnes anonymes. Le prpos a tabli dans ses conclusions que la garantie du secret navait pas t donne expressment et quen outre, les rapports danalyse ne contenaient pas de secret daffaires. Selon lestimation du prpos, il tait tout fait possible de rendre anonymes les donnes personnelles gurant dans les documents demands. Il a de ce fait recommand que les rapports danalyse soient rendus accessibles sous une forme anonymise. Recommandation CFF / Concept dexploitation (1er juillet 2011) Dans le cadre de la planication de la quatrime extension partielle du RER Zurich, la demanderesse a requis des Chemins de fer fdraux (CFF) le concept dexploitation de la gare dHerrliberg-Feldmeilen. Les CFF ne lui ayant pas remis le document souhait, la demanderesse a dpos une demande en mdiation. Le prpos a constat dans sa recommandation que dans le domaine de la construction dinstallations ferroviaires, les CFF navaient pas la comptence de xer des rgles de droit ni de rendre de dcisions et que de ce fait, la loi sur la transparence ntait pas applicable.
110
Recommandation OFC / Rapport Analyse et exploitation dun projet pilote (4 juillet 2011) Le demandeur a requis de lOfce fdral de la culture (OFC) laccs au rapport danalyse et dexploitation dun projet pilote. LOFC a tout dabord refus laccs ces documents, en arguant quils allaient encore servir de base dautres ngociations. Lofce a transmis plus tard linformation selon laquelle ces ngociations avaient t menes; il persistait nanmoins dans son refus daccorder laccs ces documents au motif que cela entraverait les mesures concrtes prises par certaines autorits, en loccurrence fedpol. la suite de quoi le prpos a demand plusieurs reprises fedpol de lui fournir des informations permettant de clarier lapplicabilit de la loi sur la transparence, en vain. En dnitive, le prpos a recommand laccs au rapport requis sous une forme partiellement anonymise. Recommandation SECO / Contributions aux frais dexcution de la CPN (6 juillet 2011) En ce qui concerne les activits de surveillance du Secrtariat lconomie (SECO) dans le cadre de la convention collective de travail dans la branche suisse des techniques des btiments, la demanderesse a requis laccs aux comptes annuels, aux budgets et aux rapports de rvision de la Commission paritaire nationale (CPN) de la branche de la technique du btiment. Le SECO a refus cet accs en invoquant le fait que les documents demands renfermaient des secrets daffaires et que la sphre prive de tiers sen trouverait atteinte. Daprs les estimations du prpos, les documents demands ne contiennent pas de secrets daffaires. Sagissant des donnes personnelles, il a recommand den rendre une partie anonymes et den permettre laccs lautre partie en raison de la prsence dun intrt public prpondrant. Recommandation OFAG / Formulaires de contrle des quantits de lait supplmentaires (5 aot 2011) Le demandeur a requis laccs aux formulaires de contrle des quantits de lait supplmentaires autoriss par lOfce fdral de lagriculture (OFAG). LOFAG a remis la demanderesse 67 formulaires dont certaines donnes, comme les noms des transformateurs de lait, les produits et les numros didentication des groupes de produits, avaient t caviardes. Lofce refusait en outre laccs aux formulaires de cinq grands transformateurs de lait et invoquait la protection des secrets daffaires et des donnes personnelles. Sur ce, le demandeur a donc dpos une demande en mdiation. Au cours de la procdure de mdiation, le prpos est parvenu la conclusion que les donnes gurant sur ces cinq formulaires permettaient bien en dnitive de dduire les stratgies dexportation des transformateurs de lait. tant donn que les
111
transformateurs de lait sont entre eux en situation de concurrence, on ne pouvait pas exclure que la divulgation de ces informations nait effectivement des rpercussions ngatives sur les stratgies de march de lun en particulier et ne cre des distorsions de concurrence. Selon les estimations du prpos, ces cinq transformateurs de lait avaient de ce fait la fois un intrt lgitime et un intrt digne de protection ne pas permettre laccs ces informations. Dans ces circonstances, le prpos a quali les donnes gurant sur les formulaires de contrle de secrets daffaires et a soutenu lOFAG dans sa dcision de ne pas octroyer laccs aux donnes en question. Recommandation AFC / Cockpits et Amtsreportings (19 septembre 2011) Suite au jugement rendu par le Tribunal administratif le 15 septembre 2009 concernant les documents dsigns par les appellations de Cockpits et de Amtsreportings, lAdministration fdrale des contributions (AFC) a fait parvenir au demandeur les documents demands en partie caviards. LAFC ne justiait ce passage lencre noire ni dans les documents, ni dans la lettre daccompagnement; les raisons du caviardage tant incomprhensibles pour le demandeur, celui-ci a donc dpos une demande en mdiation. Au cours de la procdure de mdiation, lAFC a expliqu au prpos lutilisation de lencre noire et dclar accessibles certains passages supplmentaires. Par contre, elle a refus laccs dautres passages au motif que cela entraverait la libre formation de lopinion et de la volont, la mise en uvre de mesures dcides par les autorits conformment aux objectifs xs, ainsi que la sphre prive de tiers et demploys de ladministration. Nanmoins, des divergences existaient encore entre lAFC et le prpos propos des passages caviards. Dune part, le prpos a recommand laccs certains passages, contrairement lavis de lAFC, dautre part il a soutenu lavis de lAFC selon lequel dans des cas dtermins, laccs ne peut pas tre accord ou peut tre ajourn, par exemple lorsquil sagit de donnes de tierces personnes et demploys de la Confdration. Recommandation OFEN / Procs-verbaux de la CSN (16 dcembre 2011) Le demandeur a requis auprs de lOfce fdral de lnergie (OFEN) laccs tous les procs-verbaux de sance de la Commission fdrale de scurit nuclaire (CSN) pour lanne 2009. LOFEN et le demandeur ont convenu de la remise dun seul procs-verbal, ce qui fut fait, mais le procs-verbal tait caviard sur de larges passages. LOFEN a motiv lutilisation du caviardage par le fait quune divulgation des donnes en question mettrait en danger des dcisions politiques et administratives encore en suspens. La procdure de mdiation a runi le prpos, lOFEN et la CSN. An de pouvoir librement discuter du contenu des passages caviards, cette runion a eu lieu sans le demandeur. Le prpos a donn son avis sur chacun des passages en question, sous
112
langle de lacceptation ou du refus de laccs. Sur la base de ces discussions et des dcisions politiques et administratives prises entre temps, lOFEN et la CSN se sont dclars daccord de permettre laccs la plupart des paragraphes incrimins et de ne recouvrir dencre noire que deux petits passages. En ce qui concerne ces passages, le prpos a convenu avec lOFEN et la CSN que leur accs serait repouss jusqu ce que la dcision politique et administrative soit prise. Recommandation BAG / Tarifs de primes LAMal (19 dcembre 2011) Le demandeur a requis de lOfce fdral de la sant publique (OFSP) laccs aux tarifs de prime soumis et approuvs des assurances-maladie, ainsi que les dcisions de non-approbation. LOfce fdral a remis au demandeur en tout quatre documents de deux assurances-maladie, dans leur version intgrale, mais a refus un accs plus large au motif que les documents restants contenaient soit des informations qui taient dj contenues dans les documents dj remis, soit des secrets daffaires. En outre, il refusait laccs aux documents concernant les deux autres assurances-maladies au motif quils ntaient pas inclus dans la demande daccs du fait de leur date. Cet avis a t approuv par le prpos dans la procdure de mdiation. Pour ce qui est des autres documents, le prpos a quali de secrets daffaires les calculs budgtaires et les informations sur la situation nancire et sest rang lavis de lOFSP selon lequel il fallait ici refuser laccs. Enn, pour le reste, il a recommand un accs partiel. Recommandation OFAS / Procs-verbaux de sance de la Commission fdrale de lAVS/AI (22 dcembre 2011) Le demandeur a requis auprs de lOfce fdral des assurances sociales (OFAS) laccs plusieurs procs-verbaux des sances de la Commission fdrale de lAVS/AI de lanne 2009. LOFAS a refus laccs ces documents au motif quen tant que commission administrative, celle-ci nentrait pas dans le champ dapplication de la loi sur la transparence, raison des personnes, que les sances taient condentielles et que les documents contenaient des donnes personnelles. Au cours de la procdure de mdiation, le prpos a attir lattention de lOFAS sur le jugement pass en force du Tribunal administratif fdral du 17 juin 2011 dans lequel il avait t dcid que les commissions dadministration appartenaient aussi depuis le 1er janvier 2009 ladministration fdrale dcentralise et entraient donc dans le champ dapplication de la loi sur la transparence. LOFAS a maintenu sa position. Mais cet ofce ntant pas en mesure de prsenter de motifs dexception, le prpos a recommand laccs aux procs-verbaux de sance.
113
2.3.2
Mdiations
Nous avons trouv une solution consensuelle dans les cas suivants: Mdiation OFEN / Documents concernant les cluses du barrage de Chtelot Le demandeur a demand lOfce fdral de lnergie (OFEN) laccs des documents lgislatifs et contractuels concernant lexploitation par cluse du barrage de Chtelot. LOFEN a renvoy le demandeur dune part un communiqu de presse, dautre part la comptence des autorits franaises. Dans sa prise de position lintention du prpos, lofce a refus laccs quatre documents au motif que ceuxci avaient t tablis avant lentre en vigueur de la loi sur la transparence. En ce qui concerne les autres documents, lOFEN se rfrait des ngociations en cours ou futures concernant, outre la Confdration, plusieurs autorits cantonales ainsi que la France. Au cours de la procdure de mdiation, les parties ont dtermin lampleur des documents pertinents qui intressaient le demandeur et se sont mis daccord sur la suite donner la requte. Mdiation OFPP / Rapport Polycom Le demandeur a requis de lOfce fdral de la protection de la population (OFPP) laccs au rapport Polycom : Vision im Bereich IKT, Analyse und Konzept. LOFPP a rpondu au demandeur entre autres que le rapport ntait pas termin. Suite lintervention du prpos et aprs la prise de contact de lOFPP avec plusieurs organes fdraux, lOFPP a accord au demandeur laccs partiel au document en question. Mdiation OFAS / Versements de subventions Le demandeur a requis de lOfce fdral des assurances sociales (OFAS) la consultation de documents concernant des subventions que la Confdration avait verses en 2007 des institutions possdant des homes et des ateliers pour handicaps. tant donn le grand nombre de ce genre dinstitutions et le montant des moluments lis la demande daccs, le demandeur sest limit 35 institutions. Tout en reconnaissant en principe lintrt prpondrant que revt laccs une liste des versements de subventions, lOFAS a invoqu lobligation de consulter les institutions concernes. Le demandeur, lui-mme une institution disposant dun home et dun atelier, ne voulait toutefois pas dvoiler son identit. Cest pourquoi il sest mis daccord avec lOFAS pour que sa demande daccs ne concerne que les institutions qui consentiraient
114
la publication de leur dcision de subvention cette condition. Au cas o une institution ne donnerait pas son accord, il retirerait sa demande daccs; ainsi le demandeur a renonc lmission dune dcision qui lui aurait t notie, lui et linstitution concerne. Mdiation CDF/ Rapport de contrle Le demandeur a requis du Contrle fdral des nances (CDF) laccs deux rapports de contrle concernant le bureau de coopration au Tchad. Le CDF a reconnu le droit fondamental la consultation de ces documents. Sur la base de la complexit du cas (entre autres laudition de personnes ltranger) et de la charge de travail qui en dcoulerait, le CDF a inform le demandeur quil devait sattendre des moluments de plusieurs milliers de francs. Dans le cadre de la procdure de mdiation, le demandeur et le CDF ont convenu que ce dernier anonymiserait, selon sa propre apprciation, toutes les donnes personnelles ou caviarderait des paragraphes entiers contenant des donnes personnelles; ils se sont galement mis daccord sur un montant dmoluments de 500 francs (pour le travail fourni jusque-l).
Mdiation DDPS / Liste des appartements des attachs de dfense La demanderesse dsirait obtenir une liste des appartements des attachs de dfense, avec indication des cots de location ou dachat. Elle a contact cet effet certains services administratifs du DFF et du DDPS, mais laccs au document en question ne lui a pas t accord, notamment pour des raisons de scurit. Une fois la question de la comptence rgle au cours de la procdure de mdiation, le DDPS sest dclar prt fournir la demanderesse la liste souhaite avec les frais de location des appartements, les adresses ayant toutefois t passes lencre noire. La demanderesse a retir sa requte concernant les frais dachat des appartements Stockholm et Washington. Mdiation ODM / Contrat avec une garderie denfants LOfce fdral des migrations (ODM) avait conclu avec une personne prive une dclaration dintention et un contrat en vue de ltablissement dune garderie dans laquelle des places seraient garanties aux enfants des employs de lODM. Une autre garderie denfants a demand accs ces documents, ce que lODM a toutefois refus. Suite la procdure de mdiation, le prpos a estim que laccs ces documents devait tre garanti et a suggr que la personne prive soit consulte. Celle-ci a consenti la publication des documents en question.
115
Mdiation IFSN/ Fissures dans le manteau du cur du racteur de la CNM La demanderesse a requis laccs aux rsultats des analyses concernant ltat du manteau du cur du racteur de la Centrale nuclaire de Mhleberg (CNM) ainsi que les critres prsidant ces analyses et lentretien des ssures dans le manteau du cur du racteur de la CNM. LInspection fdrale de la scurit nuclaire (IFSN) a refus laccs aux documents demands au motif que leur divulgation porterait atteinte la libre formation de son opinion et de sa volont et que la dcision sur le rapport sur lexploitation long terme de la centrale tait encore attendue. La procdure de mdiation a permis aux parties, avec le soutien du prpos, dune part de limiter le volume des documents sur les ssures dans le manteau du cur du racteur, dautre part de se mettre daccord pour que lIFSN permette laccs des passages de documents rpondant aux questions centrales de la demanderesse. Mdiation ChF / Vote lectronique Le demandeur a requis auprs de la Chancellerie fdrale (CF) la possibilit de consulter tous les documents du Conseil fdral et de la Chancellerie fdrale concernant lapprobation par le Conseil fdral de lutilisation du vote lectronique pour les lections au Conseil national de 2011 et pour les prparations du vote lectronique lors des lections de 2007; elle dsirait aussi avoir accs une liste de tous les documents relatifs au vote lectronique dans le systme lectronique des affaires (GEVER) depuis 2007. La Chancellerie a refus laccs ces documents au motif que la loi sur la transparence ntait pas applicable aux documents du Conseil fdral; elle estimait en outre quoctroyer un accs ces documents porterait atteinte la scurit intrieure et la relation avec les cantons. Elle demandait par ailleurs au demandeur que le large spectre sur lequel portait la demande soit prcis. Au cours de la procdure de mdiation, la ChF a maintenu sa position pour lessentiel, mais sest montre prte recevoir la demanderesse pour deux entretiens an de linformer entre autres du point de vue de la Confdration sur les questions de scurit entre le vote proprement dit et la publication des rsultats.
116
2.4
2.4.1
Dcisions judiciaires relatives la loi sur la transparence

Tribunal administratif fdral
Au cours de lanne coule, le Tribunal administratif fdral (TAF) a rendu quatre arrts suite des procdures de mdiation auprs du prpos. Ainsi, le TAF a dcid que les conventions de rsiliation des contrats de travail de lancien secrtaire gnral du Dpartement fdral de justice et police (DFJP) et de son supplant devaient pouvoir tre consultes par le public.
Le Tribunal a accord un poids plus grand aux intrts du demandeur (et donc aux intrts du public) consulter ces conventions qu ceux des deux personnes concernes la protection de leur sphre prive (voir larrt du 17 fvrier 2011, rf. A-3609/2010). Le Tribunal fdral avait renvoy ce cas pour rexamen devant le TAF (voir notre 18e rapport dactivits 2010/2011, ch. 2.4.1). Conformment au TAF, la liste des dclarations dintrts concernant les membres de la Commission fdrale pour les vaccinations (CFV) doit pouvoir tre consulte par le public. Cest ce quil ressort de larrt rendu par le Tribunal administratif fdral le 17 juin 2011. Selon cet arrt, lintrt de la demanderesse pouvoir consulter la liste prvaut sur celui des membres concerns de la commission la protection de leur sphre prive (voir larrt du 17 juin 2011, rf. A-3192/2010). En vue dun ventuel accord de libre-change entre la Suisse et lUnion europenne dans le secteur agro-alimentaire, le Dpartement fdral de lconomie (DFE) a mis sur pied en 2008 un groupe de travail ad hoc charg dlaborer des mesures daccompagnement concrtes. Selon un jugement du TAF, ce groupe de travail doit tre considr comme faisant partie de ladministration fdrale et doit par consquent est soumis la loi sur la transparence. Il a donc t enjoint lOfce fdral de lagriculture (OFAG) doctroyer la journaliste laccs un document du groupe de travail contenant 250 propositions pour des mesures daccompagnement. Selon cet arrt, les membres du groupe ne peuvent pas faire valoir dune faon gnrale la protection de leur sphre prive (arrt du 7 dcembre 2011, rf. A-1135/2011). Dans le quatrime cas, il sagissait dune interview que lancienne conseillre fdrale Micheline Calmy-Rey avait accorde un quotidien. Celui-ci avait convenu avec le Dpartement fdral des affaires trangres (DFAE) de communiquer linterview au DFAE pour dventuelles rectications. Un demandeur a requis laccs ce document, ce que le DFAE a refus. Le prpos sest ralli cette position dans sa recommandation
117
du 9 dcembre 2010, la suite de quoi le demandeur a dpos recours contre cette dcision. Le TAF a donn raison au DFAE et tabli dans son jugement que seule la version dnitive corrige sans corrections visibles doit tre considre comme un document dnitif et donc comme un document ofciel (arrt du 22 dcembre 2011, rf. A-1156/2011).
118
2.5
2.5.1
Consultation des ofces

Rvision de la loi sur les cartels
Le prpos sest prononc sur la rvision de la loi sur les cartels. Cette rvision a entre autres pour but de soumettre les autorits en matire de concurrence une rorganisation et de crer un nouveau Tribunal de la concurrence (dans le cadre dune rforme institutionnelle). Il est galement prvu cet gard de retirer partiellement les autorits de la concurrence du champ dapplication matriel de la loi sur la transparence (LTrans). Concrtement, cela signie que dornavant, les procdures visant juger les restrictions la concurrence, cest--dire les recherches pralables et les enqutes, ne seraient plus couvertes par la LTrans. Le motif invoqu ici est quil serait inconsquent de soumettre les dossiers de procdure des autorits de la concurrence la LTrans si plus tard, devant le Tribunal de la concurrence, les mmes documents ne tombent plus dans le domaine dapplication de cette mme loi. En outre, pour les entreprises concernes, les documents en question revtiraient un besoin de protection considrable. Pour ces raisons, cette procdure devait tre retire du champ dapplication matriel de la LTrans. Le prpos ne partageait pas cet avis et a remis au SECO une prise de position dans ce sens. Dune part, la loi sur la transparence offre, dans des cas particuliers, des possibilits lgales sufsantes pour refuser laccs des documents, le limiter ou le repousser dans le temps, notamment en ce qui concerne la protection des secrets professionnels, daffaires et de fabrication ainsi que des donnes personnelles. dautre part, le prpos est tout fait conscient du besoin accru de protection de certains documents ofciels (par ex. dont le contenu concerne des secrets professionnels, daffaires et de fabrication) et en a toujours tenu compte par le pass. Enn, il ne faut pas oublier que la Commission de la concurrence actuelle (COMCO) et son secrtariat sont entirement soumises la LTrans depuis son entre en vigueur. Durant tout ce temps, la COMCO na reu que trs peu de demandes daccs. Cela montre que par le pass, la loi sur la transparence na ni rendu plus difcile les tches des autorits de la concurrence, ni caus un surcrot de travail administratif. De lavis du prpos, il ny avait donc aucun motif de retirer les nouvelles autorits de la concurrence en partie du champ dapplication matriel de la LTrans. Mais le SECO nayant montr sur ce point aucune volont de compromis, le prpos a tabli un rapport ladresse du Conseil fdral dans lequel il a de nouveau motiv sa position en dtail. Le Conseil fdral sest en dnitive rang lavis du prpos et a dcid que les nouvelles autorits de la concurrence doivent, comme par le pass, demeurer entirement soumises la loi sur la transparence.
119
2.5.2
Rvision de lordonnance sur laccrditation et la dsignation
Le projet de rvision de lordonnance sur laccrditation et la dsignation (OAccD) contenait une norme selon laquelle les rsultats des expertises et des contrles effectus par le Service daccrditation suisse (SAS) devaient demeurer condentiels. Appel se prononcer ce sujet dans le cadre de la consultation des ofces, le prpos a attir lattention sur le fait que la rserve dsignant certaines informations comme secrtes (y compris les informations condentielles) doit tre rglemente dans une loi fdrale, donc dans une loi au sens formel. Ce nest que dans ce cas quil y a disposition spciale au sens de lart. 4 LTrans. La nouvelle norme sur la condentialit serait rglemente uniquement dans une ordonnance, cest--dire dans un texte lgal au sens matriel, et non pas dans une loi fdrale. Cest pourquoi nous ne sommes pas dans le cas dune disposition spciale et la loi sur la transparence continue dtre applicable aux rapports du SAS.
120
3.
3.1
Le PFPDT
Migration vers Windows 7 et systme de gestion des affaires GEVER
Nous avons reu cette anne de nouveaux postes de travail sous Windows 7. Cette migration matrielle et logicielle constitue une occasion pour rvaluer les besoins rels en matire de solutions informatiques, commencer par notre propre systme de gestion des affaires. Nos exigences en matire de condentialit des donnes ntant cependant pas satisfaites, nous avons t contraints de porter notre systme EDB-Ofce dans le nouvel environnement Windows 7, o il subsistera jusqu ce quune solution quivalente soit disponible. Comme la majorit des ofces de la Confdration, nous recevons cette anne de nouveaux postes de travail sous Windows 7. Cette migration matrielle et logicielle requiert une planication de projet et constitue une occasion pour rvaluer les besoins rels en matire de solutions informatiques, commencer par notre propre systme de gestion des affaires. Bon nombre dutilitaires aujourdhui plus vraiment utiles ou utiliss ont ainsi pu tre supprims. Quelques autres applications seront par contre rinstalles dans leur version portable, an dviter les importants dlais de mise jour qui pourraient nir par nuire la scurit globale (failles non corriges, nouvelles fonctions non disponibles), de mme que les frais non ngligeables que la paquetisation de tels logiciels par le prestataire de services aurait engendrs. An de prparer notre migration vers un produit GEVER standard, nous avons fait agrer notre nouveau systme de classement par les Archives fdrales suisses, tandis que nos directives dorganisation font lobjet dune actualisation rgulire depuis leur introduction en 2000 dj. Nos exigences en matire de condentialit des donnes ntant cependant pas encore satisfaites par les systmes homologus, nous avons t contraints de porter notre propre systme EDB-Ofce dans le nouvel environnement Windows 7 (principales adaptations lies MS-Ofce 2007 Professional et PGP Version 10), o il subsistera jusqu ce quune solution quivalente soit disponible. Rappelons ici que grce au chiffrement des contenus assur par lenvironnement PGP notre systme , EDB-Ofce garantit la haute condentialit des documents lgard des administrateurs internes (application et base de donnes), des diffrentes tches internes (direction dofce, protection des donnes, droit daccs indirect, transparence) et surtout du prestataire externe de solutions (postes de travail, rseau, imprimantes, chiers, messages, base de donnes, sauvegardes, etc.) quest actuellement lOFIT.
121
3.2
Sixime journe de la protection des donnes
La Journe de la protection des donnes tait axe cette anne sur les thmes Traitement des donnes par les entreprises et Utilisation des nouveaux mdias par les jeunes. Pour les deux domaines, des supports de sensibilisation au dveloppement desquels nous avons contribu ont t prsents au public. lre du tout numrique, les responsables des banques de donnes dentreprises ou dorganisations sont amens traiter des quantits considrables de donnes personnelles, relatives notamment aux collaborateurs et aux clients. Lors du traitement de ces donnes, ils doivent tenir compte dun certain nombre dexigences lgales et techniques, ce qui peut prsenter des difcults, en particulier pour les PME. Lanc loccasion de la sixime Journe de la protection des donnes du 27 janvier 2012, le nouveau service en ligne interactif ThinkData a pour objectif daider entreprises, organisations, autorits et particuliers en les sensibilisant aux exigences lgales applicables au traitement des donnes personnelles et la ncessit de crer la transparence. Le site www.thinkdata.ch propose ainsi des informations et des conseils adapts aux besoins de chacun, dans de nombreux domaines tant juridiques que technologiques. Le projet ThinkData but non lucratif est issu dune rexion associant lautorit de protection des donnes du Canton de Genve, lUniversit de Genve, lInstitut de hautes tudes en administration publique (IDHEAP) de Lausanne, lObservatoire technologique de Genve, le PFPDT et plusieurs autres acteurs. Le service nest disponible pour linstant quen langue franaise mais le sera bientt en langue allemande. Par ailleurs, le Prpos a publi un matriel denseignement sur les prcautions lmentaires prendre pour scuriser les donnes. Destin aux jeunes adultes friands de nouveaux mdias, il propose des informations et conseils pour protger leurs donnes lorsquils utilisent les nouveaux mdias. Il aborde des thmes tels que les rseaux sociaux, les communications mobiles et les portails en ligne. Les enseignants sont invits utiliser en classe ce dossier ducatif complet organis en neuf leons, indpendantes les unes des autres. Il est disponible pour toutes les parties intresses sur notre site web www.leprepose.ch, sous la rubrique Thmes Protection des donnes Internet Enfants et adolescents Matriel denseignement scolaire pour les 16-19 ans (en allemand; les versions franaise et italienne sont prvues pour lautomne 2012).
122
3.3
Publications du PFPDT au cours de lanne sous revue
Les citoyens et citoyennes trouveront sur notre site web des informations relatives nos activits dans les domaines de la protection des donnes et du principe de la transparence. Durant lexercice en cours, nous avons entre autres mis en ligne des explications concernant linformatique en nuage, la directive Vie prive et communications lectroniques de lUE ainsi quun matriel denseignement sur les principes de base de la scurit des donnes.
De plus en plus dentreprises, dautorits et dinstitutions conent des entreprises externes le traitement de leurs donnes effectu jusquici en interne, et misent ainsi sur linformatique en nuage (cloud computing). Notre document ce sujet expose les dangers que linformatique en nuage recle pour la sphre prive et donne des recommandations sur la protection des donnes. Ce document se trouve sur notre site web www.leprepose.ch, sous la rubrique Thmes Protection des donnes Entreprises. Nous avons galement publi des explications sur la directive Vie prive et communications lectroniques de lUE pour davantage de transparence sur Internet. la n de 2009, le parlement de lUE a arrt une rvision de cette directive an de tenir compte des ds que prsentent les technologies numriques. Le but est damliorer la transparence et la scurit au prot des utilisateurs. Nos explications abordent entre autres lapplication des dispositions contenues dans la directive et montrent quelles sont les consquences possibles pour la Suisse. Les explications se trouvent sous la rubrique Thmes Protection des donnes Entreprises (cf. aussi ch. 1.3.2 du prsent rapport dactivits). La version rvise de notre Guide relatif aux mesures techniques et organisationnelles de la protection des donnes donne une introduction aux dangers que prsentent les systmes modernes dinformation sous langle de la protection des donnes. Ce guide a t conu comme une aide la mise en uvre de mesures adquates dans le but dassurer une protection optimale et approprie des donnes personnelles. Les thmes principaux de la protection des donnes y sont prsents sous langle des mesures techniques et organisationnelles mettre en place, comme le chiffrement, lanonymisation et lauthentication. Dans le domaine de la vidosurveillance effectue par des particuliers, nous avons revu le feuillet thmatique existant et publi un nouveau feuillet sur la vidosurveillance de lespace public (cf. Documentation Protection des donnes Feuillets thmatiques Vidosurveillance; voir aussi ch. 1.2.6 du prsent rapport dactivits).
123
Dans le domaine de la scurit des donnes, nous avons publi un matriel denseignement sur les prcautions lmentaires prendre pour scuriser les donnes. Destin aux jeunes adultes friands de nouveaux mdias, il propose des informations et conseils pour protger leurs donnes lorsquils utilisent les nouveaux mdias (voir ch. 3.4 du prsent rapport dactivits). Les documents mentionns peuvent tre tlchargs de notre site web www.leprepose.ch, sous Thmes Protection des donnes Internet Enfants et adolescents Matriel denseignement scolaire pour les 16-19 ans.
124
3.4
Matriel denseignement pour les jeunes adultes
La sensibilisation des jeunes lusage quils font de leurs donnes personnelles a galement t une des principales activits de cette anne dans le domaine de la formation et de la sensibilisation. Pour donner aux jeunes adultes les connaissances ncessaires en matire de scurit des donnes lors de lutilisation des nouveaux mdias, nous avons conu un matriel denseignement qui peut tre tlcharg gratuitement en ligne. Les enseignants almaniques peuvent utiliser ces leons pour leur enseignement depuis janvier 2012. Des tudes rcentes, telles que ltude JAMES effectue en 2010 par la Haute cole des sciences appliques de Zurich ZHAW, montrent dans quelle mesure les jeunes daujourdhui font usage des nouvelles technologies. Les rseaux sociaux, les jeux vido et les plateformes de jeux ou lutilisation dInternet depuis un tlphone portable occupent une place importante dans leur vie quotidienne. Ils sont cependant souvent laisss eux-mmes. Le soutien apport par les parents et les ducateurs est, surtout pour les personnes de faible niveau dducation, souvent limit ou superciel. Cest pourquoi les coles jouent un rle dautant plus important dans lenseignement des comptences en matire de mdias. Pour aider les enseignants, nous avons lanc en 2010 un projet de formation en trois volets portant sur plusieurs annes avec pour objectif de montrer aux enfants et aux adolescents comment utiliser les nouvelles technologies de manire sre et raisonnable, tout en mettant laccent sur la protection de leur vie prive (cf. notre 18e rapport dactivits 2010/2011, ch. 3.3 et 3. 4). Lactuel matriel denseignement met laccent sur la scurit des donnes, cest-dire sur lapproche adopter pour protger efcacement ses donnes personnelles, et donc sa sphre prive, dans les mdias. Il sadresse aux lves de deuxime cycle du secondaire. Les contenus ont t dvelopps en coopration avec lagence kik, spcialise dans la production de matriel pdagogique. Les enseignants sont invits utiliser ce dossier ducatif complet organis en neuf leons, indpendantes les unes des autres, pour leur enseignement. Les sujets traits englobent entre autres les sites de rseautage social, les communications mobiles et les portails en ligne. En termes de contenu et de concept, ce matriel denseignement complte les offres existantes de sensibilisation. Le matriel pdagogique, pour lheure en allemand uniquement, est gratuitement disponible en tlchargement pour toute personne intresse sur notre site web www.leprepose.ch, sous la rubrique Thmes Protection des donnes Internet Enfants et adolescents. Les versions franaise et italienne sont prvues pour lautomne 2012.
125
3.5
Formation pour les tudiants de lUniversit de Neuchtel
la demande du prpos cantonal neuchtelois la protection des donnes, nous avons labor un cours lintention des tudiants de niveau master de lUniversit de Neuchtel. Ce cours portait sur le travail du prpos fdral la protection des donnes et la transparence et prsentait, sous la forme dun exemple concret, un cas de protection des donnes dans le domaine du travail trait par notre service. Dans le cadre du sminaire dont il a la charge lUniversit de Neuchtel, le prpos cantonal neuchtelois, M. Christian Flckiger, a organis une journe de cours Berne, dans nos locaux. Il a souhait que nous intervenions durant cette journe sous la forme dun cours de deux heures environ, qui aborde le thme de la protection des donnes dans le domaine du travail sous les angles juridique et technique. Nous avons divis ce cours en plusieurs parties. Tout dabord, nous avons prsent lorganisation de notre service et les deux axes principaux de notre travail: le conseil et la surveillance. Une prsentation plus approfondie du processus de ltablissement des faits a permis aux tudiants de comprendre le mcanisme de surveillance. Ce thme a t illustr de manire concrte par la prsentation dun cas rel, trait par nos services. Finalement, nous avons donn aux tudiants un bref aperu des technologies actuelles qui interviennent dans les questions de protection des donnes lies au monde du travail, comme par exemple, les systmes de reconnaissance biomtrique et les systmes de golocalisation. Nous avons pu constater lintrt des tudiants pour le thme de la protection des donnes qui mle troitement des aspects techniques et juridiques.
126
3.6
Journe de protection des donnes au centre CEDIDAC
la demande du Centre du droit dentreprise CEDIDAC de lUniversit de Lausanne, nous sommes intervenus lors de son colloque du 11 octobre 2011 en apportant des clairages pratiques dactualit. Cette demi-journe de formation tait consacre quelques aspects choisis du droit de la protection des donnes. Dans le cadre de sa demi-journe Protection des donnes: Questions pratiques pour les entreprises et la rdaction des contrats organise conjointement avec le Master en droit, scurit et criminalit des nouvelles technologies quatre thmes importants ont t abords sous un angle pratique. Le premier intervenant a abord les aspects du traitement des donnes personnelles du travailleur; le deuxime a parl de la protection des donnes dans les tablissements bancaires, le troisime a dcrit le cadre juridique applicable aux chiers-clients et aux cartes dlit et le quatrime a prsent les bonnes pratiques (best practices) en matires de politique de condentialit. Plus dune centaine davocats et de juristes dentreprise de Suisse romande ont particip cette manifestation. Pour clore cette journe thmatique, nous avons donn une confrence intitule Pratique actuelle du Prpos fdral la protection des donnes et la transparence. Nous avons divis cette intervention en deux parties. Dans un premier temps, nous avons prsent lorganisation et le processus dtablissement des faits an de permettre aux participants de mieux comprendre le mcanisme de surveillance prvu par la loi sur la protection des donnes. Dans un second temps, nous avons illustr notre travail en voquant des cas rels traits par nos services. Ces clairages sur notre fonctionnement et sur notre pratique ont t accueillis avec un grand intrt.
127
3.7
Statistique des activits du PFPDT du 1er avril 2011 au 31 mars 2012
Charge de travail par tches
128
129 Charge de travail par domaines
130 Provenance des demandes
3.8
Statistique des demandes daccs prsentes auprs des dpartements en vertu de lart. 6 de la loi sur la transparence (Priode: 1er janvier 2011 au 31 dcembre 2011)
Accs accord partiellement/ diffr
Dp.
Nombre de demandes daccs
Accs accord
Accs refus
Demande daccs pendante
ChF DFAE DFI DFJP DDPS DFF DFE DETEC Total 2011 (en %)
24 80 87 51 27 45 42 110 466 (100%)
15 26 36 25 15 16 10 60 203 (44%)
3 17 27 10 3 23 18 25 126 (27%)
6 37 19 16 9 6 10 25 128 (27%)
0 0 5 0 0 0 4 0 9 (2%)
131
Total 2010 (en %) Total 2009 (en %) Total 2008 (en %) Total 2007 (en %)
239 (100%) 232 (100%) 221 (100%) 249 (100%)
106 (45%) 124 (54%) 115 (52%) 147 (59%)
62 (26%) 68 (29%) 71 (32%) 82 (33%)
63 (26%) 40 (17%) 35 (16%) 20 (8%)
8 (3%) -
Chancellerie fdrale ChF
Dp.
Accs accord
Accs refus
ChF PFPDT TOTAL
13 11 24
5 10 15
3 0 3
5 1 6
0 0 0
132
Dpartement fdral des affaires trangres DFAE
Dp.
Accs accord
Accs refus
DFAE TOTAL
80 80
26 26
17 17
37 37
0 0
Dpartement fdral de lintrieur DFI
Dp.
Accs accord
Accs refus
SG DFI
5 0 7 4 1 0 33 0 11 1 0 0 19 3 3 87
2 0 5 2 1 0 16 0 5 1 0 0 4 0 0 36
1 0 1 2 0 0 6 0 6 0 0 0 7 2 2 27
2 0 0 0 0 0 10 0 0 0 0 0 5 1 1 19
0 0 1 0 0 0 1 0 0 0 0 0 3 0 0 5
BFEG OFC AFS Mto Suisse BN OFSP OFS OFAS SER Conseil des EPF MNS SWISS MEDIC FNS SUVA TOTAL
133
Dpartement fdral de justice et police DFJP
Dp.
Accs accord
Accs refus
SG DFJP OFJ FEDPOL METAS ODM ISDC IPI CFMJ CAF ASR CSI CNPT TOTAL
5 8 4 1 15 0 3 11 1 0 2 1 51
2 1 3 0 10 0 1 7 0 0 1 0 25
1 2 0 1 2 0 2 0 1 0 0 1 10
2 5 1 0 3 0 0 4 0 0 1 0 16
0 0 0 0 0 0 0 0 0 0 0 0 0
134
Dpartement fdral de la dfense, de la protection de la population et des sports DDPS

Dp.
Accs accord
Accs refus
SG DDPS Dfense/ arme SRC armasuisse OFPP OFSPO TOTAL
16 5 1 2 1 2 27
10 1 0 1 1 2 15
0 2 1 0 0 0 3
6 2 0 1 0 0 9
0 0 0 0 0 0 0
135
Dpartement fdral des nances DFF
Dp.
Accs accord
Accs refus
SG DFF AFF OFPER AFC AFD RFA OFCL OFIT CDF SFI PUBLICA CC TOTAL
7 4 3 4 2 0 4 1 19 0 0 1 45
2 2 2 2 2 0 0 0 6 0 0 0 16
4 1 1 2 0 0 3 0 11 0 0 1 23
1 1 0 0 0 0 1 1 2 0 0 0 6
0 0 0 0 0 0 0 0 0 0 0 0 0
136
Dpartement fdral de lconomie DFE
Dp.
Accs accord
Accs refus
SG DFE SECO OFFT OFAG
2 7 2 17 3 1 5 2 3 0 0 42
1 0 1 3 1 1 3 0 0 0 0 10
0 6 1 8 1 0 0 2 0 0 0 18
1 1 0 2 1 0 2 0 3 0 0 10
0 0 0 4 0 0 0 0 0 0 0 4
137 OVF OFAE OFL SPr COMCO ZIVI BFC TOTAL
Dpartement fdral de lenvironnement, des transports, de lnergie et de la communication DETEC
Dp.
Accs accord
Accs refus
SG DETEC OFT OFAC OFEN OFROU OFCOM OFEV ARE COMCOM IFSN PostReg AIEP TOTAL
2 3 19 18 5 6 22 4 0 22 2 7 110
0 3 10 2 5 4 12 0 0 15 2 7 60
1 0 6 7 0 0 4 3 0 4 0 0 25
1 0 3 9 0 2 6 1 0 3 0 0 25
0 0 0 0 0 0 0 0 0 0 0 0 0
138
Traitement des demandes daccs
CHF
DFAE
DFI
DFJP
DDPS
139
DFF
DFE
DETEC
TOTAL 0 50
Accs accord
100
Accs ref us
150
200
250
Accs accord partiellement/diffr
3.9
Statistique des demandes daccs prsentes auprs du Ministre public de la Confdration en vertu de lart. 6 de la loi sur la transparence (Priode: 1er janvier 2011 au 31 dcembre 2011)
Ministre public de la Confdration MPC
Dp.
Accs accord
Accs refus
MPC TOTAL
3 3
2 2
1 1
0 0
0 0
140
3.10
Statistique des demandes daccs prsentes auprs des Services du Parlement en vertu de lart. 6 de la loi sur la transparence (Priode: 1er janvier 2011 au 31 dcembre 2011)
Services du Parlement SP
Dp.
Accs accord
Accs refus
SP TOTAL
1 1
1 1
0 0
0 0
0 0
141
3.11
Nombre de demandes de mdiation par catgories de requrants (Priode: 1er janvier 2011 au 31 dcembre 2011)
Catgorie de requrants
2011 24 10 9 16 6 65
Mdias Personnes prives (ou requrants ne pouvant pas tre attribus de manire prcise) Reprsentants de milieux intresss (associations, organisations, socits, etc.) Entreprises Avocats Total
142
3.12
Secrtariat du Prpos fdral la protection des donnes et la transparence
Prpos fdral la protection des donnes et la transparence: Thr Hanspeter, avocat
Supplant:
Walter Jean-Philippe, Dr. iur.
Secrtariat: Chef: Supplant: Walter Jean-Philippe, Dr. iur. Buntschu Marc, lic. iur.
Unit 1:
10 personnes
Unit 2:
12 personnes
143 Unit 3: 2 personnes
Chancellerie:
4 personnes

Préposé Rapport 2011-2012

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Préposé Rapport 2011-2012

Transféré par

Droits d'auteur :

Formats disponibles

19e Rapport d'activits 2011/2012

Prpos fdral la protection des donnes et la transparence

Rapport dactivits 2011/2012 du Prpos fdral la protection des donnes et la transparence

19e Rapport dactivits 2 0 11/2012 du PFPDT

Table des matires

Droits fondamentaux ............................................................................. 17

19e Rapport dactivits 2 0 11/2012 du PFPDT

Protection des donnes Questions dordre gnral ........ 24

Internet et tlcommunication ........................................................ 40

1.3.5 1.3.6 1.3.7 1.3.8 1.3.9 1.3.10 1.3.11

1.3.12 1.3.13 1.3.14

19e Rapport dactivits 2 0 11/2012 du PFPDT

Principe de la transparence ....................................................... 107

Demandes en mdiation..................................................................... 109 Procdures de mdiation closes.................................................... 110

Dcisions judiciaires relatives la loi sur la transparence ........................................................................ 117

Consultation des ofces..................................................................... 119

Avant-propos Bilan et perspectives

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

Rpertoire des abrviations

AFC ATF CCDJP

CdC CDF CDI CDS

ChF CFV CSN COMCO DDPS

DFAE DFE DFF DFI DFJP DRG

ESPA EVA FATCA fedpol FINMA GEWA

LAA LAMal LCA LCD LHR

LOGA LP LPD LPers LPGA LPP

LTC LTrans N-SIS NAVS13 OAC

19e Rapport dactivits 2 0 11/2012 du PFPDT

OFPP OFSP OLPD OPrI

19e Rapport dactivits 2 0 11/2012 du PFPDT

Protection des donnes

19e Rapport dactivits 2 0 11/2012 du PFPDT

Demandes de citoyens concernant les enqutes statistiques

19e Rapport dactivits 2 0 11/2012 du PFPDT

Utilisation du numro AVS dans la statistique

19e Rapport dactivits 2 0 11/2012 du PFPDT

Aspects thoriques du nouveau numro AVS

Cas non recenss de violence des jeunes

19e Rapport dactivits 2 0 11/2012 du PFPDT

change de donnes facilit entre les autorits fdrales et cantonales

19e Rapport dactivits 2 0 11/2012 du PFPDT

Thinkdata.ch un outil de sensibilisation la protection des donnes et la transparence

19e Rapport dactivits 2 0 11/2012 du PFPDT

Protection des donnes Questions dordre gnral

Protection des donnes dans les bibliothques

19e Rapport dactivits 2 0 11/2012 du PFPDT

Exonration de la redevance radio et tlvision

Vidosurveillance dans les transports publics

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

change de donnes concernant les resquilleurs

19e Rapport dactivits 2 0 11/2012 du PFPDT

Vidosurveillance de lespace public effectue par des particuliers

19e Rapport dactivits 2 0 11/2012 du PFPDT

19e Rapport dactivits 2 0 11/2012 du PFPDT

Systme de reconnaissance biomtrique pour la rservation despaces sportifs: Clture de la procdure

19e Rapport dactivits 2 0 11/2012 du PFPDT

Stockage centralis de photos de clients dans les stations de ski