swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Le PFPDT présente son 30e rapport d’activités 2022/​2023

Livio di Tria, le 27 juin 2023
Le 27 juin 2023, le PFPDT a publié son 30e rapport d’activités pour la période 2022 à 2023. Celui-ci marque un tour­nant dès lors que le nouveau droit suisse de la protec­tion des données entre en vigueur le 1er septembre 2023.

Contexte

Le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a publié le 27 juin 2023 son 30e rapport d’activités. Ce dernier couvre, pour le domaine de la protec­tion des données, la période du 1er avril 2022 au 31 mars 2023 et, pour le domaine du prin­cipe de la trans­pa­rence, la période du 1er janvier au 31 décembre 2022.

Ce 30e rapport d’activités marque un tour­nant dans le domaine de la protec­tion des données. Il est l’avant-dernier rapport d’activités en ce qui concerne la Loi fédé­rale du 19 juin 1992 sur la protec­tion des données (LPD), cette dernière étant abro­gée au 1er septembre 2023, date à laquelle la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (nLPD) entre en vigueur.

Un accent mis sur la nLPD

En raison de l’entrée en vigueur de la nLPD au 1er septembre 2023, le rapport d’activités met un accent spéci­fique sur la nLPD. À ce sujet, les points suivants méritent d’être mentionnés.

En premier lieu, le PFPDT souligne l’évolution de son rôle grâce à la nLPD. Celle-ci renforce ses pouvoirs, en parti­cu­lier son pouvoir d’enquête (art. 49 nLPD) et son pouvoir de pronon­cer des mesures admi­nis­tra­tives (art. 51 nLPD). En raison de l’évolution de ses pouvoirs, le PFPDT promet d’intensifier son acti­vité de surveillance et d’augmenter le nombre d’enquêtes.

En second lieu, le PFPDT mentionne les nouvelles tâches qui lui sont attri­buées sur la base de la nLPD. Ces nouvelles tâches sont l’effet miroir des nouvelles obli­ga­tions insti­tuées par la nLPD à charge du respon­sable du trai­te­ment. Il s’agit par exemple de l’obligation de réali­ser un registre des acti­vi­tés de trai­te­ment (art. 12 nLPD), de mener une analyse d’impact rela­tive à la protec­tion des données (art. 22 nLPD) et une consul­ta­tion préa­lable du PFPDT en cas de risques rési­duels (art. 23 nLPD) ou d’annoncer une viola­tion de la sécu­rité des données (art. 24 nLPD).

L’annonce de l’intensification de l’activité du PFPDT en matière de surveillance est à saluer, tant les dernières recom­man­da­tions en matière de protec­tion des données se faisaient rares (cf. Rapports finaux et recom­man­da­tions protec­tion des données). Nous nous ques­tion­nons toute­fois sur les apti­tudes réelles du PFPDT à inten­si­fier son acti­vité dans la mesure où ses moyens paraissent toujours aussi limi­tés, pour ne pas dire insuf­fi­sants. L’autorité compte un total de 41 colla­bo­ra­teurs, dont seuls 33 sont assi­gnés au domaine de la protec­tion des données. Bien que cet effec­tif ait augmenté ces dernières années grâce à la créa­tion de postes supplé­men­taires, ce nombre reste ([beau­coup] trop) modeste pour une charge de travail toujours plus crois­sante. Ceci se reflète d’ailleurs dans un nombre limité d’ou­tils pratiques propo­sés par le PFPDT à deux mois de l’entrée en vigueur de la nLPD, engen­drant un climat d’in­cer­ti­tude parmi les prati­ciens du domaine et les entre­prises soucieuses de leur mise en conformité.

Des procé­dures encore ouvertes

Le rapport d’activités fait état de procé­dures encore ouvertes à la fin de l’année sous revue. Selon l’art. 70 nLPD, le sort de ces procé­dures sera déter­miné à l’aune de l’aLPD. Le PFPDT cite à cet égard plusieurs procé­dures ouvertes en 2021 concer­nant les trai­te­ments de données d’une boutique en ligne suisse et l’examen des faits concer­nant les trai­te­ments de données de la plate­forme de vente aux enchères Ricardo SA et de TX Group SA. Il paraît vrai­sem­blable que d’autres procé­dures soient concernées.

Trois nouveaux portails en ligne

En prévi­sion de l’entrée en vigueur de la nLPD, le PFPDT est actuel­le­ment en train de mettre en place trois nouveaux portails de notification.

Le premier portail en ligne « DataReg » servira aux organes fédé­raux qui doivent décla­rer et publier les saisies effec­tuées dans leurs registres des acti­vi­tés de trai­te­ment. Le deuxième portail en ligne « DataBreach » mettra à la dispo­si­tion des respon­sables du trai­te­ment un canal numé­rique sûr pour décla­rer les cas de viola­tion entraî­nant un risque élevé pour la personne concer­née. Le troi­sième portail servira fina­le­ment à trans­mettre les coor­don­nées des conseillers à la protec­tion des données nommés.

Le portail « DataBreach » et « DataReg » sont déjà en ligne. À propos du portail « DataBreach », celui-ci prend l’apparence d’un formu­laire qui peut être rempli par le respon­sable du trai­te­ment, la personne concer­née, un lanceur d’alerte ou encore un sous-trai­tant. À ce stade, nous pouvons regret­ter qu’aucune infor­ma­tion claire ne ressorte du formu­laire en ce qui concerne la notion du « risque élevé », dont l’interprétation ne coulera pas forcé­ment de source. Vu l’importance de l’obligation, il faut espé­rer que, d’ici le 1er septembre 2023, le PFPDT mette à dispo­si­tion un guide pratique.

En ce qui concerne le troi­sième portail servant à la trans­mis­sion des coor­don­nées des conseillers à la protec­tion des données, cette trans­mis­sion est à saluer dans la mesure où elle ne repose sur aucun fonde­ment légal. Elle permet­tra cepen­dant aux personnes concer­nées de faire valoir plus effi­ca­ce­ment leurs droits auprès du bon respon­sable du trai­te­ment. La ques­tion de fond reste de savoir si le portail contien­dra unique­ment les coor­don­nées des conseillers à la protec­tion des données des organes fédé­raux, qui sont astreints à nommer un tel conseiller (art. 10 nLPD et 25 OPDo), ou égale­ment les coor­don­nées des conseillers internes à la protec­tion des données dési­gnés par un respon­sable du trai­te­ment privé. Cela serait souhai­table dans la mesure où le respon­sable du trai­te­ment privé n’a plus aucune obli­ga­tion de décla­rer ses fichiers au PFPDT, et par consé­quent ses coor­don­nées, ce qui est contre-produc­tif pour la personne concer­née dans le cas où elle souhaite faire valoir ses droits. Nous pouvons toute­fois en douter.

Analyses d’impact rela­tives à la protec­tion des données, un outil déjà indispensable ?

Le rapport d’activités met en évidence un aspect parti­cu­liè­re­ment inté­res­sant : le PFPDT a déjà solli­cité plusieurs respon­sables du trai­te­ment pour effec­tuer des analyses d’impact rela­tives à la protec­tion des données. Il s’agit notam­ment des CFF en ce qui concerne leur système de mesure de l’affluence dans les gares ou l’Office fédé­ral de la douane et de la sécu­rité des fron­tières en ce qui concerne le projet de révi­sion totale de la loi sur les douanes.

Cette démarche souligne l’importance accor­dée par le PFPDT à l’évaluation préa­lable des risques liés à la protec­tion des données. En deman­dant aux respon­sables du trai­te­ment de mener ces analyses, le PFPDT cherche à promou­voir une approche proac­tive de la confor­mité, en mettant l’accent sur la préven­tion plutôt que sur la réac­tion. À ce propos, le PFPDT et l’Office fédé­ral de la justice ont colla­boré sur la rédac­tion de direc­tives internes à l’administration en matière d’analyse d’impact rela­tive à la protec­tion des données, ainsi que sur la créa­tion d’outils pratiques desti­nés aux organes fédéraux.

White Hat Hackers 

Le PFPDT a été alerté par des hackers bien inten­tion­nés, commu­né­ment appe­lés « hackers éthiques » ou « white hat hackers », concer­nant des failles dans la protec­tion des données et la sécu­rité. En réponse à un signa­le­ment d’un parti­cu­lier, le PFPDT a minu­tieu­se­ment examiné les faits rela­tifs à une banque de données insuf­fi­sam­ment sécu­ri­sée appar­te­nant à des centres privés de dépis­tage du COVID-19. Après avoir constaté que les respon­sables avaient rapi­de­ment pris les mesures d’ur­gence appro­priées dès la décou­verte de la faille et qu’ils avaient prouvé qu’au­cun tiers n’avait eu accès aux données en dehors de l’hacker éthique, le PFPDT a conclu son enquête sans formu­ler de recom­man­da­tions. Afin de garan­tir une réponse effi­cace et conforme à la nLPD, le PFPDT a élaboré un docu­ment pratique conte­nant des propo­si­tions d’ac­tions concrètes, visant à guider tous les acteurs impli­qués dans de telles situations.

Une dimi­nu­tion des demandes liées au prin­cipe de la transparence ?

Pour la période du 1er janvier 2022 au 31 décembre 2022, le rapport d’activités recense un nombre de demandes d’accès en vertu de la LTrans de 1’180. Statistiquement, cela repré­sente une dimi­nu­tion par rapport aux années 2021 (1’385 demandes) et 2020 (1’193 demandes). Toutefois, durant les années 2021 et 2020, de nombreuses demandes étaient réali­sées en raison de la pandé­mie de COVID-19, faus­sant d’une certaine manière les statis­tiques. Si l’on prend l’année 2019 (916 demandes) comme point de compa­rai­son, soit préa­la­ble­ment aux « années COVID », on remarque malgré tout une augmen­ta­tion. En l’état, il est diffi­cile de déter­mi­ner s’il existe réel­le­ment une dimi­nu­tion ou une augmen­ta­tion des demandes liées au prin­cipe de la transparence.

Nous souli­gnons encore que la LTrans a fait l’objet de modi­fi­ca­tions, en parti­cu­lier en ce qui concerne le prin­cipe de la gratuité (cf. www​.swiss​pri​vacy​.law/​193). L’entrée en vigueur du prin­cipe de la gratuité reste toujours tribu­taire du Conseil fédé­ral, qui n’a procédé à aucune commu­ni­ca­tion à ce jour.

Une augmen­ta­tion des excep­tions à la LTrans

Après une période de crise marquée par la pandé­mie de coro­na­vi­rus, où des mesures rele­vant du droit de néces­sité ont été prises, et après la mise en place d’un méca­nisme de sauve­tage pour le secteur de l’élec­tri­cité, le Conseil fédé­ral a de nouveau dérogé à la LTrans en recou­rant à une ordon­nance de néces­sité pour secou­rir Credit Suisse. Cette exclu­sion, basée sur le droit de néces­sité, soulève des ques­tions juri­diques fonda­men­tales. Cela a conduit le PFPDT à publier, en même temps que le 30e rapport d’ac­ti­vi­tés, une liste exhaus­tive de toutes les excep­tions prévues par des lois spéci­fiques. Disponible en ligne, nous espé­rons ne pas voir cette liste s’allonger durant les années à venir.



Proposition de citation : Livio di Tria, Le PFPDT présente son 30e rapport d’activités 2022/​2023, 27 juin 2023 in www.swissprivacy.law/235


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • 31e Rapport d’activités du PFPDT – Un survol (Partie 1 : Protection des données)
  • Une nouvelle loi adaptée aux défis de l'ère numérique
  • Le PFPDT guide les responsables du traitement quant à leur devoir d'informer des violations de la…
  • Le long chemin de la transparence dans le cadre de l’acquisition de Credit Suisse par UBS
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law