Contexte

Le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a publié le 27 juin 2023 son 30^e rapport d’activités. Ce dernier couvre, pour le domaine de la protec­tion des données, la période du 1^er avril 2022 au 31 mars 2023 et, pour le domaine du prin­cipe de la trans­pa­rence, la période du 1^er janvier au 31 décembre 2022.

Ce 30^e rapport d’activités marque un tour­nant dans le domaine de la protec­tion des données. Il est l’avant-dernier rapport d’activités en ce qui concerne la Loi fédé­rale du 19 juin 1992 sur la protec­tion des données (LPD), cette dernière étant abro­gée au 1^er septembre 2023, date à laquelle la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (nLPD) entre en vigueur.

Un accent mis sur la nLPD

En raison de l’entrée en vigueur de la nLPD au 1^er septembre 2023, le rapport d’activités met un accent spéci­fique sur la nLPD. À ce sujet, les points suivants méritent d’être mentionnés.

En premier lieu, le PFPDT souligne l’évolution de son rôle grâce à la nLPD. Celle-ci renforce ses pouvoirs, en parti­cu­lier son pouvoir d’enquête (art. 49 nLPD) et son pouvoir de pronon­cer des mesures admi­nis­tra­tives (art. 51 nLPD). En raison de l’évolution de ses pouvoirs, le PFPDT promet d’intensifier son acti­vité de surveillance et d’augmenter le nombre d’enquêtes.

En second lieu, le PFPDT mentionne les nouvelles tâches qui lui sont attri­buées sur la base de la nLPD. Ces nouvelles tâches sont l’effet miroir des nouvelles obli­ga­tions insti­tuées par la nLPD à charge du respon­sable du trai­te­ment. Il s’agit par exemple de l’obligation de réali­ser un registre des acti­vi­tés de trai­te­ment (art. 12 nLPD), de mener une analyse d’impact rela­tive à la protec­tion des données (art. 22 nLPD) et une consul­ta­tion préa­lable du PFPDT en cas de risques rési­duels (art. 23 nLPD) ou d’annoncer une viola­tion de la sécu­rité des données (art. 24 nLPD).

L’annonce de l’intensification de l’activité du PFPDT en matière de surveillance est à saluer, tant les dernières recom­man­da­tions en matière de protec­tion des données se faisaient rares (cf. Rapports finaux et recom­man­da­tions protec­tion des données). Nous nous ques­tion­nons toute­fois sur les apti­tudes réelles du PFPDT à inten­si­fier son acti­vité dans la mesure où ses moyens paraissent toujours aussi limi­tés, pour ne pas dire insuf­fi­sants. L’autorité compte un total de 41 colla­bo­ra­teurs, dont seuls 33 sont assi­gnés au domaine de la protec­tion des données. Bien que cet effec­tif ait augmenté ces dernières années grâce à la créa­tion de postes supplé­men­taires, ce nombre reste ([beau­coup] trop) modeste pour une charge de travail toujours plus crois­sante. Ceci se reflète d’ailleurs dans un nombre limité d’ou­tils pratiques propo­sés par le PFPDT à deux mois de l’entrée en vigueur de la nLPD, engen­drant un climat d’in­cer­ti­tude parmi les prati­ciens du domaine et les entre­prises soucieuses de leur mise en conformité.

Des procé­dures encore ouvertes

Le rapport d’activités fait état de procé­dures encore ouvertes à la fin de l’année sous revue. Selon l’art. 70 nLPD, le sort de ces procé­dures sera déter­miné à l’aune de l’aLPD. Le PFPDT cite à cet égard plusieurs procé­dures ouvertes en 2021 concer­nant les trai­te­ments de données d’une boutique en ligne suisse et l’examen des faits concer­nant les trai­te­ments de données de la plate­forme de vente aux enchères Ricardo SA et de TX Group SA. Il paraît vrai­sem­blable que d’autres procé­dures soient concernées.

Trois nouveaux portails en ligne

En prévi­sion de l’entrée en vigueur de la nLPD, le PFPDT est actuel­le­ment en train de mettre en place trois nouveaux portails de notification.

Le premier portail en ligne « DataReg » servira aux organes fédé­raux qui doivent décla­rer et publier les saisies effec­tuées dans leurs registres des acti­vi­tés de trai­te­ment. Le deuxième portail en ligne « DataBreach » mettra à la dispo­si­tion des respon­sables du trai­te­ment un canal numé­rique sûr pour décla­rer les cas de viola­tion entraî­nant un risque élevé pour la personne concer­née. Le troi­sième portail servira fina­le­ment à trans­mettre les coor­don­nées des conseillers à la protec­tion des données nommés.

Le portail « DataBreach » et « DataReg » sont déjà en ligne. À propos du portail « DataBreach », celui-ci prend l’apparence d’un formu­laire qui peut être rempli par le respon­sable du trai­te­ment, la personne concer­née, un lanceur d’alerte ou encore un sous-trai­tant. À ce stade, nous pouvons regret­ter qu’aucune infor­ma­tion claire ne ressorte du formu­laire en ce qui concerne la notion du « risque élevé », dont l’interprétation ne coulera pas forcé­ment de source. Vu l’importance de l’obligation, il faut espé­rer que, d’ici le 1^er septembre 2023, le PFPDT mette à dispo­si­tion un guide pratique.

En ce qui concerne le troi­sième portail servant à la trans­mis­sion des coor­don­nées des conseillers à la protec­tion des données, cette trans­mis­sion est à saluer dans la mesure où elle ne repose sur aucun fonde­ment légal. Elle permet­tra cepen­dant aux personnes concer­nées de faire valoir plus effi­ca­ce­ment leurs droits auprès du bon respon­sable du trai­te­ment. La ques­tion de fond reste de savoir si le portail contien­dra unique­ment les coor­don­nées des conseillers à la protec­tion des données des organes fédé­raux, qui sont astreints à nommer un tel conseiller (art. 10 nLPD et 25 OPDo), ou égale­ment les coor­don­nées des conseillers internes à la protec­tion des données dési­gnés par un respon­sable du trai­te­ment privé. Cela serait souhai­table dans la mesure où le respon­sable du trai­te­ment privé n’a plus aucune obli­ga­tion de décla­rer ses fichiers au PFPDT, et par consé­quent ses coor­don­nées, ce qui est contre-produc­tif pour la personne concer­née dans le cas où elle souhaite faire valoir ses droits. Nous pouvons toute­fois en douter.

Analyses d’impact rela­tives à la protec­tion des données, un outil déjà indispensable ?

Le rapport d’activités met en évidence un aspect parti­cu­liè­re­ment inté­res­sant : le PFPDT a déjà solli­cité plusieurs respon­sables du trai­te­ment pour effec­tuer des analyses d’impact rela­tives à la protec­tion des données. Il s’agit notam­ment des CFF en ce qui concerne leur système de mesure de l’affluence dans les gares ou l’Office fédé­ral de la douane et de la sécu­rité des fron­tières en ce qui concerne le projet de révi­sion totale de la loi sur les douanes.

Cette démarche souligne l’importance accor­dée par le PFPDT à l’évaluation préa­lable des risques liés à la protec­tion des données. En deman­dant aux respon­sables du trai­te­ment de mener ces analyses, le PFPDT cherche à promou­voir une approche proac­tive de la confor­mité, en mettant l’accent sur la préven­tion plutôt que sur la réac­tion. À ce propos, le PFPDT et l’Office fédé­ral de la justice ont colla­boré sur la rédac­tion de direc­tives internes à l’administration en matière d’analyse d’impact rela­tive à la protec­tion des données, ainsi que sur la créa­tion d’outils pratiques desti­nés aux organes fédéraux.

White Hat Hackers 

Le PFPDT a été alerté par des hackers bien inten­tion­nés, commu­né­ment appe­lés « hackers éthiques » ou « white hat hackers », concer­nant des failles dans la protec­tion des données et la sécu­rité. En réponse à un signa­le­ment d’un parti­cu­lier, le PFPDT a minu­tieu­se­ment examiné les faits rela­tifs à une banque de données insuf­fi­sam­ment sécu­ri­sée appar­te­nant à des centres privés de dépis­tage du COVID-19. Après avoir constaté que les respon­sables avaient rapi­de­ment pris les mesures d’ur­gence appro­priées dès la décou­verte de la faille et qu’ils avaient prouvé qu’au­cun tiers n’avait eu accès aux données en dehors de l’hacker éthique, le PFPDT a conclu son enquête sans formu­ler de recom­man­da­tions. Afin de garan­tir une réponse effi­cace et conforme à la nLPD, le PFPDT a élaboré un docu­ment pratique conte­nant des propo­si­tions d’ac­tions concrètes, visant à guider tous les acteurs impli­qués dans de telles situations.

Une dimi­nu­tion des demandes liées au prin­cipe de la transparence ?

Pour la période du 1^er janvier 2022 au 31 décembre 2022, le rapport d’activités recense un nombre de demandes d’accès en vertu de la LTrans de 1’180. Statistiquement, cela repré­sente une dimi­nu­tion par rapport aux années 2021 (1’385 demandes) et 2020 (1’193 demandes). Toutefois, durant les années 2021 et 2020, de nombreuses demandes étaient réali­sées en raison de la pandé­mie de COVID-19, faus­sant d’une certaine manière les statis­tiques. Si l’on prend l’année 2019 (916 demandes) comme point de compa­rai­son, soit préa­la­ble­ment aux « années COVID », on remarque malgré tout une augmen­ta­tion. En l’état, il est diffi­cile de déter­mi­ner s’il existe réel­le­ment une dimi­nu­tion ou une augmen­ta­tion des demandes liées au prin­cipe de la transparence.

Nous souli­gnons encore que la LTrans a fait l’objet de modi­fi­ca­tions, en parti­cu­lier en ce qui concerne le prin­cipe de la gratuité (cf. www​.swiss​pri​vacy​.law/​193). L’entrée en vigueur du prin­cipe de la gratuité reste toujours tribu­taire du Conseil fédé­ral, qui n’a procédé à aucune commu­ni­ca­tion à ce jour.

Une augmen­ta­tion des excep­tions à la LTrans

Après une période de crise marquée par la pandé­mie de coro­na­vi­rus, où des mesures rele­vant du droit de néces­sité ont été prises, et après la mise en place d’un méca­nisme de sauve­tage pour le secteur de l’élec­tri­cité, le Conseil fédé­ral a de nouveau dérogé à la LTrans en recou­rant à une ordon­nance de néces­sité pour secou­rir Credit Suisse. Cette exclu­sion, basée sur le droit de néces­sité, soulève des ques­tions juri­diques fonda­men­tales. Cela a conduit le PFPDT à publier, en même temps que le 30^e rapport d’ac­ti­vi­tés, une liste exhaus­tive de toutes les excep­tions prévues par des lois spéci­fiques. Disponible en ligne, nous espé­rons ne pas voir cette liste s’allonger durant les années à venir.