Le PFPDT présente son 30e rapport d’activités 2022/2023
Contexte
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié le 27 juin 2023 son 30e rapport d’activités. Ce dernier couvre, pour le domaine de la protection des données, la période du 1er avril 2022 au 31 mars 2023 et, pour le domaine du principe de la transparence, la période du 1er janvier au 31 décembre 2022.
Ce 30e rapport d’activités marque un tournant dans le domaine de la protection des données. Il est l’avant-dernier rapport d’activités en ce qui concerne la Loi fédérale du 19 juin 1992 sur la protection des données (LPD), cette dernière étant abrogée au 1er septembre 2023, date à laquelle la nouvelle Loi fédérale du 25 septembre 2020 sur la protection des données (nLPD) entre en vigueur.
Un accent mis sur la nLPD
En raison de l’entrée en vigueur de la nLPD au 1er septembre 2023, le rapport d’activités met un accent spécifique sur la nLPD. À ce sujet, les points suivants méritent d’être mentionnés.
En premier lieu, le PFPDT souligne l’évolution de son rôle grâce à la nLPD. Celle-ci renforce ses pouvoirs, en particulier son pouvoir d’enquête (art. 49 nLPD) et son pouvoir de prononcer des mesures administratives (art. 51 nLPD). En raison de l’évolution de ses pouvoirs, le PFPDT promet d’intensifier son activité de surveillance et d’augmenter le nombre d’enquêtes.
En second lieu, le PFPDT mentionne les nouvelles tâches qui lui sont attribuées sur la base de la nLPD. Ces nouvelles tâches sont l’effet miroir des nouvelles obligations instituées par la nLPD à charge du responsable du traitement. Il s’agit par exemple de l’obligation de réaliser un registre des activités de traitement (art. 12 nLPD), de mener une analyse d’impact relative à la protection des données (art. 22 nLPD) et une consultation préalable du PFPDT en cas de risques résiduels (art. 23 nLPD) ou d’annoncer une violation de la sécurité des données (art. 24 nLPD).
L’annonce de l’intensification de l’activité du PFPDT en matière de surveillance est à saluer, tant les dernières recommandations en matière de protection des données se faisaient rares (cf. Rapports finaux et recommandations protection des données). Nous nous questionnons toutefois sur les aptitudes réelles du PFPDT à intensifier son activité dans la mesure où ses moyens paraissent toujours aussi limités, pour ne pas dire insuffisants. L’autorité compte un total de 41 collaborateurs, dont seuls 33 sont assignés au domaine de la protection des données. Bien que cet effectif ait augmenté ces dernières années grâce à la création de postes supplémentaires, ce nombre reste ([beaucoup] trop) modeste pour une charge de travail toujours plus croissante. Ceci se reflète d’ailleurs dans un nombre limité d’outils pratiques proposés par le PFPDT à deux mois de l’entrée en vigueur de la nLPD, engendrant un climat d’incertitude parmi les praticiens du domaine et les entreprises soucieuses de leur mise en conformité.
Des procédures encore ouvertes
Le rapport d’activités fait état de procédures encore ouvertes à la fin de l’année sous revue. Selon l’art. 70 nLPD, le sort de ces procédures sera déterminé à l’aune de l’aLPD. Le PFPDT cite à cet égard plusieurs procédures ouvertes en 2021 concernant les traitements de données d’une boutique en ligne suisse et l’examen des faits concernant les traitements de données de la plateforme de vente aux enchères Ricardo SA et de TX Group SA. Il paraît vraisemblable que d’autres procédures soient concernées.
Trois nouveaux portails en ligne
En prévision de l’entrée en vigueur de la nLPD, le PFPDT est actuellement en train de mettre en place trois nouveaux portails de notification.
Le premier portail en ligne « DataReg » servira aux organes fédéraux qui doivent déclarer et publier les saisies effectuées dans leurs registres des activités de traitement. Le deuxième portail en ligne « DataBreach » mettra à la disposition des responsables du traitement un canal numérique sûr pour déclarer les cas de violation entraînant un risque élevé pour la personne concernée. Le troisième portail servira finalement à transmettre les coordonnées des conseillers à la protection des données nommés.
Le portail « DataBreach » et « DataReg » sont déjà en ligne. À propos du portail « DataBreach », celui-ci prend l’apparence d’un formulaire qui peut être rempli par le responsable du traitement, la personne concernée, un lanceur d’alerte ou encore un sous-traitant. À ce stade, nous pouvons regretter qu’aucune information claire ne ressorte du formulaire en ce qui concerne la notion du « risque élevé », dont l’interprétation ne coulera pas forcément de source. Vu l’importance de l’obligation, il faut espérer que, d’ici le 1er septembre 2023, le PFPDT mette à disposition un guide pratique.
En ce qui concerne le troisième portail servant à la transmission des coordonnées des conseillers à la protection des données, cette transmission est à saluer dans la mesure où elle ne repose sur aucun fondement légal. Elle permettra cependant aux personnes concernées de faire valoir plus efficacement leurs droits auprès du bon responsable du traitement. La question de fond reste de savoir si le portail contiendra uniquement les coordonnées des conseillers à la protection des données des organes fédéraux, qui sont astreints à nommer un tel conseiller (art. 10 nLPD et 25 OPDo), ou également les coordonnées des conseillers internes à la protection des données désignés par un responsable du traitement privé. Cela serait souhaitable dans la mesure où le responsable du traitement privé n’a plus aucune obligation de déclarer ses fichiers au PFPDT, et par conséquent ses coordonnées, ce qui est contre-productif pour la personne concernée dans le cas où elle souhaite faire valoir ses droits. Nous pouvons toutefois en douter.
Analyses d’impact relatives à la protection des données, un outil déjà indispensable ?
Le rapport d’activités met en évidence un aspect particulièrement intéressant : le PFPDT a déjà sollicité plusieurs responsables du traitement pour effectuer des analyses d’impact relatives à la protection des données. Il s’agit notamment des CFF en ce qui concerne leur système de mesure de l’affluence dans les gares ou l’Office fédéral de la douane et de la sécurité des frontières en ce qui concerne le projet de révision totale de la loi sur les douanes.
Cette démarche souligne l’importance accordée par le PFPDT à l’évaluation préalable des risques liés à la protection des données. En demandant aux responsables du traitement de mener ces analyses, le PFPDT cherche à promouvoir une approche proactive de la conformité, en mettant l’accent sur la prévention plutôt que sur la réaction. À ce propos, le PFPDT et l’Office fédéral de la justice ont collaboré sur la rédaction de directives internes à l’administration en matière d’analyse d’impact relative à la protection des données, ainsi que sur la création d’outils pratiques destinés aux organes fédéraux.
White Hat Hackers
Le PFPDT a été alerté par des hackers bien intentionnés, communément appelés « hackers éthiques » ou « white hat hackers », concernant des failles dans la protection des données et la sécurité. En réponse à un signalement d’un particulier, le PFPDT a minutieusement examiné les faits relatifs à une banque de données insuffisamment sécurisée appartenant à des centres privés de dépistage du COVID-19. Après avoir constaté que les responsables avaient rapidement pris les mesures d’urgence appropriées dès la découverte de la faille et qu’ils avaient prouvé qu’aucun tiers n’avait eu accès aux données en dehors de l’hacker éthique, le PFPDT a conclu son enquête sans formuler de recommandations. Afin de garantir une réponse efficace et conforme à la nLPD, le PFPDT a élaboré un document pratique contenant des propositions d’actions concrètes, visant à guider tous les acteurs impliqués dans de telles situations.
Une diminution des demandes liées au principe de la transparence ?
Pour la période du 1er janvier 2022 au 31 décembre 2022, le rapport d’activités recense un nombre de demandes d’accès en vertu de la LTrans de 1’180. Statistiquement, cela représente une diminution par rapport aux années 2021 (1’385 demandes) et 2020 (1’193 demandes). Toutefois, durant les années 2021 et 2020, de nombreuses demandes étaient réalisées en raison de la pandémie de COVID-19, faussant d’une certaine manière les statistiques. Si l’on prend l’année 2019 (916 demandes) comme point de comparaison, soit préalablement aux « années COVID », on remarque malgré tout une augmentation. En l’état, il est difficile de déterminer s’il existe réellement une diminution ou une augmentation des demandes liées au principe de la transparence.
Nous soulignons encore que la LTrans a fait l’objet de modifications, en particulier en ce qui concerne le principe de la gratuité (cf. www.swissprivacy.law/193). L’entrée en vigueur du principe de la gratuité reste toujours tributaire du Conseil fédéral, qui n’a procédé à aucune communication à ce jour.
Une augmentation des exceptions à la LTrans
Après une période de crise marquée par la pandémie de coronavirus, où des mesures relevant du droit de nécessité ont été prises, et après la mise en place d’un mécanisme de sauvetage pour le secteur de l’électricité, le Conseil fédéral a de nouveau dérogé à la LTrans en recourant à une ordonnance de nécessité pour secourir Credit Suisse. Cette exclusion, basée sur le droit de nécessité, soulève des questions juridiques fondamentales. Cela a conduit le PFPDT à publier, en même temps que le 30e rapport d’activités, une liste exhaustive de toutes les exceptions prévues par des lois spécifiques. Disponible en ligne, nous espérons ne pas voir cette liste s’allonger durant les années à venir.
Proposition de citation : Livio di Tria, Le PFPDT présente son 30e rapport d’activités 2022/2023, 27 juin 2023 in www.swissprivacy.law/235
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.