Ordonnance sur les rapports de travail du chef du Préposé fédé­ral à la protec­tion des données

Le 2 février 2022, la Commission des insti­tu­tions poli­tiques du Conseil natio­nal (CIP‑N) a publié son projet d’Ordonnance sur les rapports de travail du chef du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (cf. www​.swiss​pri​vacy​.law/​122). Pour rappel, cette ordon­nance est néces­saire dans la mesure où l’Assemblée fédé­rale va deve­nir l’organe compé­tent pour élire le préposé lors de l’entrée en vigueur de la nLPD. Le Conseil fédé­ral annon­çait quant à lui le 16 février 2022 soute­nir le projet de la CIP‑N, recom­man­dant toute­fois à l’Assemblée fédé­rale de prévoir une indem­nité de départ pour le préposé (cf. www​.swiss​pri​vacy​.law/​128).

Aussi bien le Conseil natio­nal que le Conseil des États, respec­ti­ve­ment lors des sessions parle­men­taires de prin­temps et d’été 2022, ont eu l’occasion de se pronon­cer sur le projet d’Ordonnance. Celui-ci a été adopté par l’Assemblée fédé­rale le 17 juin 2022 sans discus­sion (FF 2022 1571). Sur la ques­tion de l’indemnité du préposé, la propo­si­tion du Conseil fédé­ral a été suivie. L’Ordonnance entrera en vigueur en même temps que les modi­fi­ca­tions appor­tées à la nLPD.

Révision de la nLPD

Lors des travaux parle­men­taires, la CIP‑N a constaté que certains complé­ments devaient être appor­tés à la nLPD. Minimes, ces complé­ments portent sur la prévoyance profes­sion­nelle et la récu­sa­tion du préposé, sur la possi­bi­lité pour la Commission judi­ciaire d’adresser un aver­tis­se­ment au préposé et sur les rapports de travail du préposé.

Là aussi, le Conseil natio­nal et le Conseil des États ont eu l’occasion de se pronon­cer sur les modi­fi­ca­tions propo­sées par la CIP‑N sans que cela ne provoque de débat. Les modi­fi­ca­tions appor­tées à la nLPD ont été accep­tées par l’Assemblée fédé­rale le 17 juin 2022 (FF 2022 1561). Il est à souli­gner que les modi­fi­ca­tions appor­tées à la nLPD pour­raient faire l’objet d’un réfé­ren­dum facul­ta­tif. Le délai réfé­ren­daire échoit le 6 octobre 2022.

Ordonnances d’exécution de la nLPD

En vue de l’entrée en vigueur de la nLPD, l’Ordonnance fédé­rale sur la protec­tion des données et l’Ordonnance fédé­rale sur les certi­fi­ca­tions en matière de protec­tion des données doivent être adap­tées. Le Conseil fédé­ral a ouvert le 23 juin 2021 une procé­dure de consul­ta­tion en ce qui concerne l’Ordonnance fédé­rale sur la protec­tion des données (cf. www​.swiss​pri​vacy​.law/81), celle-ci ayant abou­tie depuis lors.

Le projet de l’Office fédé­ral de la justice et police (OFJ) a fait l’objet de vives critiques (cf. les diffé­rentes prises de posi­tion des cantons, des partis poli­tiques et des orga­ni­sa­tions : https://​www​.bj​.admin​.ch/​b​j​/​f​r​/​h​o​m​e​/​s​t​a​a​t​/​g​e​s​e​t​z​g​e​b​u​n​g​/​d​a​t​e​n​s​c​h​u​t​z​s​t​a​e​r​k​u​n​g​.​h​tml). swiss­pri­vacy avait d’ailleurs parti­cipé à cette procé­dure de consul­ta­tion en prenant publi­que­ment posi­tion (cf. www​.swiss​pri​vacy​.law/93).

Depuis la clôture de la consul­ta­tion en date du 14 octobre 2021, les auto­ri­tés n’ont commu­ni­qué aucune infor­ma­tion sur l’avancée des révi­sions des deux ordon­nances. Nous nous atten­dons cepen­dant à avoir des nouvelles dans le courant de cet été.

Entrée en vigueur de la nLPD

Si le Conseil fédé­ral n’a pas encore offi­ciel­le­ment commu­ni­qué la date d’entrée en vigueur de la nLPD, l’OFJ précise sur son site web qu’il est prévu que le nouveau droit de la protec­tion des données entre en vigueur le 1^er septembre 2023 (cf. https://​www​.bj​.admin​.ch/​b​j​/​f​r​/​h​o​m​e​/​s​t​a​a​t​/​g​e​s​e​t​z​g​e​b​u​n​g​/​d​a​t​e​n​s​c​h​u​t​z​s​t​a​e​r​k​u​n​g​.​h​tml).

Conformément au commu­ni­qué de presse rela­tif à l’ouverture de la consul­ta­tion concer­nant la révi­sion de l’ordonnance sur la protec­tion des données, nous souli­gnons que l’OFJ tablait initia­le­ment sur une entrée en vigueur de la nLPD au deuxième semestre 2022 (cf. https://​www​.bj​.admin​.ch/​b​j​/​f​r​/​h​o​m​e​/​a​k​t​u​e​l​l​/​m​m​.​m​s​g​-​i​d​-​8​4​1​0​3​.​h​tml). Ce retard s’explique en raison des vives critiques liées aux projets d’ordonnances de la LPD, ainsi qu’au projet d’ordonnance rela­tif aux rapports de travail du PFPDT.

Projet de Loi fédé­rale sur le trai­te­ment des données rela­tives aux passa­gers aériens pour la lutte contre les infrac­tions terro­ristes et les autres infrac­tions pénales graves (P‑LDPa)

Le Conseil fédé­ral a commu­ni­qué le 13 avril 2022 sur l’ouverture de la consul­ta­tion rela­tive à son P‑LDPa qui prend fin le 31 juillet 2022. Le P‑LDPa vise à auto­ri­ser la Suisse à trai­ter systé­ma­ti­que­ment les données rela­tives aux passa­gers aériens (données PNR) pour que les auto­ri­tés fédé­rales et canto­nales pour préve­nir la commis­sion d’attentats terro­ristes et d’autres infrac­tions pénales graves et mener des enquêtes et des pour­suites en la matière. Le P‑LDPa est direc­te­ment basé sur la Directive (UE) 2016/​681 rela­tive à l’uti­li­sa­tion des données des dossiers passa­gers (PNR) pour la préven­tion et la détec­tion des infrac­tions terro­ristes et des formes graves de crimi­na­lité, ainsi que pour les enquêtes et les pour­suites en la matière.

Les données PNR, pour Passenger Name Record, comprennent notam­ment le prénom, le nom, l’adresse, le numéro de télé­phone et les modes de paie­ment des passa­gers aériens. Les compa­gnies aériennes qui desservent l’Union euro­péenne, les États-Unis ou le Canada depuis la Suisse doivent trans­mettre ces données au pays de destination.

Au niveau inter­na­tio­nal, 62 pays, dont tous les États membres de l’Union euro­péenne, ont mis en place un service chargé d’éva­luer ces données pour lutter contre le terro­risme et la grande crimi­na­lité. La Suisse ne peut pas les utili­ser elle-même, car elle ne dispose d’au­cune base légale. Le P‑LDPa vise à remé­dier à cette situa­tion, en faisant de fedpol l’unité natio­nale char­gée du trai­te­ment des données rela­tives aux passa­gers aériens, soit l’Unité d’information passagers).

Ancrage de la gratuité au sein de la LTrans

Le chan­ge­ment de para­digme dans la trans­pa­rence de l’administration par la consé­cra­tion du prin­cipe de gratuité fait toujours l’objet de discus­sions parle­men­taires. Pour mémoire, le Conseil des États a fina­le­ment accepté en début d’année d’entrer en matière sur un projet de révi­sion de la Loi sur la trans­pa­rence et en parti­cu­lier de son actuel art. 17 pour être remplacé par l’art. 17 P‑LTrans. Ce dernier prévoit le prin­cipe de la gratuité et un émolu­ment de CHF 2’000.- en présence d’un « surcroît impor­tant de travail » (https://​swiss​pri​vacy​.law/​1​13/).

Depuis que les deux chambres sont acquises au prin­cipe de la révi­sion et de la gratuité, la seule pierre d’achoppement qui subsiste réside dans la défi­ni­tion ou non dans la loi du montant de l’émolument lorsqu’il est dérogé à la gratuité.

Plus restric­tif, le Conseil des États a consi­déré au mois de mars dernier que le plafond de CHF 2’000.- n’est pas adéquat eu égard au fait que des demandes de trans­pa­rence peuvent occa­sion­ner des frais supé­rieurs. C’est pour­quoi il a décidé de le suppri­mer et de délé­guer la compé­tence de légi­fé­rer en la matière au Conseil fédé­ral pour prévoir un émolu­ment propor­tionné à la charge de travail occa­sion­née et donc supé­rieur à la somme préci­tée (BO 2022 E 88). Le 15 juin dernier, le Conseil natio­nal a main­tenu le plafond précité pour exclure qu’un émolu­ment, par hypo­thèse plus élevé, puisse dans certains cas équi­va­loir à une restric­tion au droit d’accès (BO 2022 N). Affaire à suivre à la prochaine session paralementaire.

29^e Rapport d’activités 2021/​2022 du PFPDT

Le PFPDT a publié le 28 juin 2022 son 29^e rapport d’activités couvrant la période du 1^er avril 2021 au 31 mai 2022. Le PFPDT constate – de manière inquié­tante – la géné­ra­li­sa­tion de l’indifférence pour la protec­tion des données des citoyens et que la sphère privée est une notion de plus en plus déva­luée. Cela a notam­ment été remar­qué dans le cadre de la pandé­mie de COVID-19, mais égale­ment par l’accumulation de défaillances dans le trai­te­ment de données sensibles par certaines plate­formes de santé.

Parmi les infor­ma­tions les plus inté­res­santes du rapport, nous consta­tons que le PFPDT envi­sage, à l’instar des auto­ri­tés de protec­tion des données euro­péennes, de déve­lop­per une « juris­pru­dence concer­nant l’externalisation par les auto­ri­tés de trai­te­ments de données person­nelles, notam­ment à des four­nis­seurs améri­cains de services en nuage public » (p. 66 du rapport). Le PFPDT fait réfé­rence ici à sa prise de posi­tion du 13 mai 2022 vis-à-vis de la Suva, dans laquelle il lui suggère de réexa­mi­ner l’externalisation des données person­nelles vers un cloud exploité par le groupe améri­cain Microsoft. Nous consta­tons égale­ment que le rapport de la Commission euro­péenne sur l’adéquation du niveau de protec­tion des données en Suisse a pris du retard. Le PFPDT espère à ce titre que la Commission euro­péenne publiera les rapports d’adéquation de tous les États consi­dé­rés comme adéquats d’ici fin 2022 (p. 11 du rapport).

Du côté de la trans­pa­rence au sein de l’administration, il est à noter que les auto­ri­tés fédé­rales ont reçu 1’385 demandes d’accès à des docu­ments offi­ciels, ce qui repré­sente une augmen­ta­tion de 16% par rapport à l’année 2020. Parmi ces demandes, 336 étaient en rapport avec le coro­na­vi­rus. Dans 694 cas (50%), les auto­ri­tés ont accordé un accès inté­gral (contre 610, soit 51% en 2020), tandis que dans 324 cas (23%), un accès limité ou différé aux docu­ments a été auto­risé (année précé­dente : 293 demandes, soit 25%). Dans 126 cas (9%), l’accès a été tota­le­ment refusé (contre 108, soit 9% en 2020). Seules 19 des 1’385 demandes d’accès dépo­sées ont donné lieu à la percep­tion d’un émolument.

Mis en consul­ta­tion de l’avant-projet de Loi fédé­rale sur l’identité élec­tro­nique et autres moyens de preuve électroniques

Le 7 mars 2021, la Loi fédé­rale du 27 septembre 2019 sur les services d’identification élec­tro­nique (FF 2019 6227) a été reje­tée par le peuple suisse (cf. www​.swiss​pri​vacy​.law/25).

Conscient de l’importance de four­nir un moyen d’identification élec­tro­nique, le Conseil fédé­ral a pris en consi­dé­ra­tion les craintes de la popu­la­tion suisse et souhaite déve­lop­per un moyen d’identification élec­tro­nique reconnu par l’État. Pour ce faire, le Conseil fédé­ral a mis en consul­ta­tion le 29 juin 2022 son avant-projet Loi fédé­rale sur l’identité élec­tro­nique et autres moyens de preuve élec­tro­niques. La consul­ta­tion court jusqu’au 20 octobre 2022.

Avant-projet de Loi fédé­rale sur la plate­forme de commu­ni­ca­tion élec­tro­nique dans le domaine judiciaire

Le 29 juin 2022, le Conseil fédé­ral a pris acte des résul­tats de la consul­ta­tion concer­nant l’avant-projet de Loi fédé­rale sur la plate­forme de commu­ni­ca­tion élec­tro­nique dans le domaine judi­ciaire, qui vise à mettre en place une plate­forme centrale pour permettre aux parties à une procé­dure judi­ciaire d’échanger des données avec les tribu­naux, les minis­tères publics et les auto­ri­tés d’exécution. Il a chargé le Département fédé­ral de justice et police de prépa­rer d’ici à fin 2022 un message et un projet de loi à l’intention de l’Assemblée fédérale.

Mise en consul­ta­tion de l’avant-projet de loi modi­fiant la Loi gene­voise sur l’information du public, l’accès aux docu­ments et la protec­tion des données person­nelles (LIPAD)

Afin de mettre la LIPAD en confor­mité avec le droit supé­rieur, le Conseil d’État gene­vois a mis en consul­ta­tion un avant-projet de loi modi­fiant la LIPAD. Cette révi­sion devrait permettre à la LIPAD d’obtenir un niveau de protec­tion adéquat au sens du RGPD. La consul­ta­tion est ouverte jusqu’au 17 octobre 2022.

La protec­tion des données dans l’Administration canto­nale vaudoise

Courant 2021, la Cour des comptes du canton de Vaud a procédé à un audit de l’application de la Loi vaudoise du 11 septembre sur la protec­tion des données person­nelles (LPrD) au sein de l’Administration canto­nale vaudoise. La Cour des comptes du canton de Vaud a publié ses consta­ta­tions au sein de son rapport d’au­dit.

L’application de la LPrD a été exami­née par la Cour des comptes au sein de huit enti­tés-métiers trai­tant des données admi­nis­tra­tives, médi­cales, en lien avec l’enseignement ou avec des mesures d’aide sociale. Les lacunes suivantes – parfois impor­tantes de l’aveu même de la Cour des comptes – ont été consta­tées : (i) peu d’entités ont procédé à une iden­ti­fi­ca­tion exhaus­tive des données person­nelles trai­tées, (ii) aucune entité n’a effec­tué une analyse complète en regard des exigences de la LPrD et n’a adopté de stra­té­gie adap­tée à son acti­vité, (iii) les clauses contrac­tuelles en cas de sous-trai­tance sont insuf­fi­santes, (iv) la gestion des accès aux appli­ca­tions est insuf­fi­sante, (v) l’envoi par messa­ge­rie élec­tro­nique de fichiers conte­nant des données sensibles n’est pas sécu­risé de manière adéquate et (vi) la conser­va­tion des données n’a que rare­ment fait l’objet de réflexions.

Face à ce constat, la Cour des comptes estime qu’il est temps que l’entier de l’Administration canto­nale vaudoise s’implique dans la mise en œuvre de la LPrD afin de garan­tir effi­ca­ce­ment la protec­tion des données person­nelles des citoyennes et des citoyens. Elle a formulé à cet égard 20 recom­man­da­tions, dont 13 visent l’amélioration des condi­tions-cadres et 7 visent à combler les lacunes. Parmi ces recom­man­da­tions, la Cour des comptes souhai­te­rait que le Conseil d’État vaudois, lors de la révi­sion de la LPrD, insti­tue un délé­gué à la protec­tion des données dans chaque entité de l’Administration canto­nale vaudoise.

Projet de Loi vaudoise sur la protec­tion des données dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal (P‑LPrDS)

Lors de sa séance du 6 juillet 2022, le Conseil d’État vaudois a présenté son projet de Loi vaudoise sur la protec­tion des données dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal, accom­pa­gné de l’exposé des motifs.

Le P‑LPrDS a pour but de permettre au canton de Vaud, à l’instar du choix opéré par la Confédération avec la Loi fédé­rale du 28 septembre 2018 sur la protec­tion des données person­nelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal (LPDS), d’être le plus rapi­de­ment possible conforme aux exigences des accords de Schengen, puis d’assurer spéci­fi­que­ment le suivi des évalua­tions régu­lières liées à ces accords. Le choix du Conseil d’État vaudois est le même que celui de l’Assemblée fédé­rale lorsqu’elle avait décidé de scin­der en deux la révi­sion de la LPD (cf. https://​swiss​pri​vacy​.law/​11/). Il est à noterqu’une révi­sion géné­rale de la LPrD est prévue.

De manière géné­rale, le P‑LPrDS trans­pose sur le plan canto­nal certaines obli­ga­tions conte­nues au sein de la LPDS, à savoir l’ajout des données géné­tiques et biomé­triques en tant que données sensibles et de la notion de profi­lage et de déci­sion indi­vi­duelle auto­ma­ti­sée, la reprise des obli­ga­tions de protec­tion des données par défaut et dès la concep­tion, l’obligation pour les auto­ri­tés soumises au P‑LPrDS d’établir un registre des acti­vi­tés de trai­te­ment, de réali­ser une analyse d’impact dans certaines circons­tances et de consul­ter la Préposée vaudoise, d’annoncer les viola­tions de la protec­tion des données à la Préposée, de dési­gner un conseiller à la protec­tion des données, ainsi que la modi­fi­ca­tion des pouvoirs d’enquête de la Préposée, la possi­bi­lité pour la Préposée de prendre des mesures admi­nis­tra­tives et l’instauration de règles spéci­fiques quant à l’assistance admi­nis­tra­tive intercantonale.

Le projet du Conseil d’État vaudois prévoit égale­ment des modi­fi­ca­tions au sein de la LPrD et de la Loi vaudoise du 1^er décembre 1980 sur les dossiers de police judi­ciaire (LDPJu). Nous nous réjouis­sons de la suppres­sion propo­sée de l’art. 3 al. 3 let. c 2^e phrase LPrD qui dans sa teneur actuelle empêche, du moins en théo­rie, d’appliquer la LPrD aux trai­te­ments de données rela­tifs aux dossiers de police judi­ciaire. Nous regret­tons cepen­dant que le Conseil d’État vaudois ne prévoie pas la modi­fi­ca­tion de la procé­dure atypique de droit d’accès prévu par l’art. 8a ss LDPJu qui doit être vive­ment criti­quée (cf. https://​swiss​pri​vacy​.law/​73/).

Postulat vaudois Yannick Maury et consorts – Pour une harmo­ni­sa­tion des pratiques commu­nales en matière d’accès à l’information : un beau cadeau pour les 20 ans de la Loi vaudoise du 24 septembre 2022 sur l’information (LInfo)

Le 15 mars 2022, le Député vaudois Yannick Maury et certains de ses collègues ont déposé un postu­lat deman­dant au Conseil d’État vaudois de procé­der à un état des lieux exhaus­tif des pratiques commu­nales en matière de mise à dispo­si­tion de l’information par une collecte de données auprès de toutes les communes vaudoises et de propo­ser des pistes concrètes pour aider lesdites communes à harmo­ni­ser, tota­le­ment ou partiel­le­ment, leurs pratiques en matière de commu­ni­ca­tion, comme l’exige la LInfo.

Parmi les propo­si­tions d’harmonisation des pratiques commu­nales, le postu­lat envi­sage notam­ment la créa­tion d’une plate­forme sur le site de l’État de Vaud recen­sant de façon harmo­ni­sée et par commune tous les docu­ments commu­naux publics d’une liste mini­male. Cette propo­si­tion fait écho au projet avorté du Conseil fédé­ral de créer un réper­toire central des docu­ments offi­ciels (cf. https://​swiss​pri​vacy​.law/​1​14/).