31^e Rapport d’activités 2023/​2024

Mis en ligne le 26 juin 2024, le rapport est partagé en deux parties, à l’image des deux tâches de l’autorité, la protec­tion des données person­nelles et la transparence.

Sur le domaine de la protec­tion des données, sur lequel cette contri­bu­tion se foca­lise, le 31^e rapport couvre la période du 1^er avril 2023 au 31 mars 2024. Ce rapport est d’autant plus inté­res­sant qu’il permet de reve­nir sur presque sept mois d’application de la LPD révi­sée. Les déci­sions rendues, inter­pré­ta­tions et pratiques décrites donnent des indi­ca­tions aux personnes concer­nées, aux enti­tés soumises, aux profes­sion­nels et au public sur les effets et l’application de cette loi.

Le rapport s’ouvre sur une section dédiée au « défis actuels », en répon­dant à sept ques­tions : qu’est-ce que l’on protège, contre quoi et jusqu’où, la capa­cité à renon­cer à ces droits, l’intérêt même de la disci­pline dans le contexte des réseaux sociaux, l’existence ou non de trai­te­ments inter­dits et la mesure poli­tique de la protec­tion des données. Cette section permet de rappe­ler la base de la protec­tion des données, ainsi que la perti­nence du domaine dans le contexte actuel. Deux phrases mises en avant dans le rapport permettent de résu­mer ces deux aspects. La première rappelle que :

 « la person­na­lité humaine est au cœur de la protec­tion des données ». 

La deuxième – en réponse à la ques­tion de savoir si la protec­tion des données est une « notion dépas­sée », notam­ment dans le contexte des réseaux sociaux – indique que :

« ces adultes qui prétendent s’exposer libre­ment devant un large public sont pour la plupart soucieux de se présen­ter dans un contexte mis en scène par eux-mêmes ». 

Les thèmes prin­ci­paux abor­dés dans le rapport sont l’implications du PFPDT dans les projets fédé­raux par le biais d’analyses d’impact, les déci­sions rendues dans les procé­dures d’enquêtes, les prises de posi­tions et indi­ca­tions sur des sujets actuels et les déve­lop­pe­ments ayant eu lieu à l’international.

Cloud fédéral

En matière d’informatique en nuage (cloud), le PFPDT a notam­ment été asso­cié au projet Cloud Enabling Büro-auto­ma­tion (Bureautique permet­tant l’accès au nuage, CEBA) de la Chancellerie fédé­rale. Le PFPDT a notam­ment sur la direc­tive d’application du logi­ciel Microsoft 365 ainsi que le projet d’analyse d’impact rela­tive à la protec­tion des données (AIPD). Sur ce point, le PFPDT rappelle que tous les risques devraient figu­rer dans l’AIPD, notam­ment les risques futurs, tels qu’une dépen­dance au four­nis­seur. Des solu­tions de rempla­ce­ment devraient égale­ment être évaluée, afin de permettre aux offices un choix objec­tif entre les solutions.

Le préposé s’est égale­ment prononcé sur les « Principes rela­tifs à l’informatique en nuages » élaboré par le secteur Transformation numé­rique et gouver­nance de l’informatique (TNI), criti­quant la réduc­tion du carac­tère contrai­gnant des prin­cipes. Similairement, sur le projet « Swiss Government Cloud », le PFPDT a émis des propo­si­tions, prises en compte par l’Office fédé­ral de l’informatique et de la télé­com­mu­ni­ca­tion (OFIT).

Identificateur des personnes, numéro AVS et e‑ID

Sur le programme DigiSanté et le projet de révi­sion de la loi sur les épidé­mies  (LEp, RS : 818.101), le PFPDT s’est prononcé sur divers sujets, tels que la néces­sité de procé­der à des AIPD, les exigences rela­tives à l’utilisation systé­ma­tique du numéro AVS et les mesures tech­niques et orga­ni­sa­tion­nelles à mettre en place.

Sur le deuxième projet de la  (e‑ID : Message FF 2023 2843), la prin­ci­pale préoc­cu­pa­tion émise a été de s’assurer que la quan­tité de données person­nelles collec­tées soit appro­priée et non exces­sive par rapport à la fina­lité pour­sui­vie. Celle-ci a été prise en compte dans le cadre de la révi­sion de la loi, par l’introduction d’un devoir de dili­gence des véri­fi­ca­teurs, permet­tant de limi­ter la « sur-identification ».

Portails et infor­ma­tions rela­tives à la nouvelle LPD

En plus des séances d’information, des guides et feuillets dispo­nibles sur la page inter­net du PFPDT, le rapport fait état du retour d’expérience des trois portails intro­duits avec l’entrée en vigueur de la LPD révisée.

Sur le portail DataReg, sur lequel les organes fédé­raux déclarent leurs trai­te­ments, le rapport note que sur les nouvelles entrées faites, celles-ci visent prin­ci­pa­le­ment les caisses de pension et fonda­tion collec­tives quali­fiées d’organes fédéraux.

Avec l’introduction de la néces­sité de noti­fier les viola­tions de la sécu­rité des données, le portail dédié DataBreach a été mis en place permet­tant de four­nir toutes les infor­ma­tions néces­saires rela­tives à l’événement. Le PFPDT indique un inté­rêt parti­cu­lier pour les cas impli­quant des sous-trai­tants et dénombre un total de 245 noti­fi­ca­tions depuis le 9 mai 2023, dont 57 ont fait l’objet de suivi afin de four­nir des infor­ma­tions supplémentaires.

Enfin, sur le portail conte­nant les données de contact des conseillers-ères à la protec­tion des données, portail DPO, plus de 2000 respon­sables du trai­te­ment ont four­nis des coordonnées.

Dans les autres nouveau­tés arri­vées en paral­lèle de l’entrée en vigueur de la LPD, il y a l’ordonnance sur les certi­fi­ca­tions en matière de protec­tion des données (OCPD ; RS 235.13), ainsi que de nombreuses ressources mises à dispo­si­tion sur le site du PFPDT. Y figurent notam­ment les nouveaux modèles pour les règle­ments de trai­te­ment, des recom­man­da­tions sur le thème de la jour­na­li­sa­tion (cette mesure étant deve­nue obli­ga­toire pour les organes fédé­raux), un guide rela­tif aux mesures tech­niques et orga­ni­sa­tion­nelles et un aide-mémoire sur le sujet des analyses d’impact à la protec­tion des données. Dernière nouveauté, la loi fédé­rale sur la procé­dure admi­nis­tra­tive (PA ; RS 172.021) est désor­mais appli­cable aux enquêtes du PFPDT.

Un rappel à l’ordre

Le PFPDT parti­cipe régu­liè­re­ment à des consul­ta­tions, comme cela a été le cas sur le  de conven­tion rela­tive à l’échange de données poli­cières impli­quant la Confédération. Ce projet qui vise la numé­ri­sa­tion de l’assistance admi­nis­tra­tive en matière de police comporte certains risques en matière de protec­tion des données, notam­ment l’absence de condi­tions à remplir pour consul­ter les données par les diffé­rents corps de police. À cette occa­sion, le PFPDT précise que

« la numé­ri­sa­tion ne doit pas donner carte blanche à des super­au­to­ri­tés monolitiques »

mention qui semble faire réfé­rence aux nombreux projets de numé­ri­sa­tion et d’un certain manque de consi­dé­ra­tion pour les ques­tions de protec­tion des données dans ces contextes. Il est rappelé que plusieurs critères doivent être rempli pour que ce type de projet soit conforme à la légis­la­tion. En premier lieu, sur le plan « quali­ta­tif », les bases légales doivent permettre un accès limité aux données, sur la base du prin­cipe de propor­tion­na­lité. En deuxième lieu, sur le plan « quan­ti­ta­tif », les accès doivent être limi­tés aux membres ayant la compé­tence et forma­tion requise pour remplir leurs tâches. Enfin, les analyses d’impact sont essen­tielles afin de miti­ger les risques présents dans ce genre de projets impor­tants, impli­quant une mise en ligne de données.

Le risque d’une mise en commun de base de données entre des auto­ri­tés distinctes, sans prendre en compte les limites de compé­tences d’un État de droit est relevé.

Enquêtes

Le rapport annuel revient sur plusieurs enquêtes et prises de posi­tions, dont notam­ment celles visant : l’association Forum Civique Suisse, une gérance immo­bi­lière, Ricardo, Digitec Galaxus (abordé dans : swiss​pri​vacy​.law/​2​99/), Xplain (abordé dans : swiss​pri​vacy​.law/​3​06/), Once Dating SA (abordé dans : swiss​pri​vacy​.law/​2​42/) et Oracle America. Les diffé­rents échanges avec les parties concer­nées par les enquêtes sont évoqués. Il en ressort des niveaux de colla­bo­ra­tion variable.

Santé

Dans le domaine de la santé, la période couverte par le rapport annuel a été proli­fique. Du projet de sauve­tage de la plate­forme mesvac​cins​.ch (ayant eu pour solu­tion la reprise des données par eHealth Argovie), aux échanges avec l’OFSP sur des ques­tions de surveillance des assu­rances mala­dies, en passant par des recom­man­da­tions sur les décla­ra­tions de consen­te­ment des patients, la réuti­li­sa­tion des données sur la base de la loi sur la recherche de l’être humain (LRH ; RS 810.30) ainsi que la révi­sion de la loi sur le dossier élec­tro­nique du patient (LDEP ; RS 816.1), ces sujets ont susci­tés diffé­rentes indi­ca­tions de la part du PFPDT.

Travail et transports

Sur les ques­tions du droit du travail, ce sont prin­ci­pa­le­ment les caisses de pensions qui ont inté­res­sés l’autorité, que ce soit sur la gestion des dossiers person­nelles, notam­ment sur les durées de conser­va­tion, que sur la quali­fi­ca­tion des caisses selon la LPD, qu’elles soient de nature fédé­rale, canto­nale ou même commu­nale. Il est en outre rappelé que lorsque des caisses de pension ont recours à des sous-trai­tants sous la forme de socié­tés de services, celles-ci doivent être décla­rées au registre des acti­vi­tés de trai­te­ment des organes fédé­raux (Datareg).

Dans le domaine du trans­port ferro­viaire, les prin­ci­pales reven­di­ca­tions du PFPDT sont de préser­ver la possi­bi­lité du voyage anonyme ainsi que du paie­ment en liquide. Toujours en lien avec la mobi­lité, le PFPDT a répondu à la consul­ta­tion rela­tive à la loi sur les données de passa­ger aériens (LDPa), qui a rappelé la néces­sité d’effectuer une AIPD, ainsi que l’importance de la proportionnalité.

À l’internationale

Un des événe­ments marquants, bien qu’attendu, du début de l’année 2024 a été la déci­sion d’adéquation rendue par la Commission. Similairement, le Data Privacy Framework est abordé, bien que la déci­sion du Conseil fédé­ral ne fût alors pas encore rendue (pour plus d’in­for­ma­tions sur le sujet, cf : swiss​pri​vacy​.law/​3​13/).

Avec l’entrée en vigueur de la nouvelle LPD, la Suisse a égale­ment rati­fié la Convention du Conseil de l’Europe sur la protec­tion des données moder­ni­sée. Bien que le PFPDT prédise une entrée en vigueur dans le courant 2024, au moment de la paru­tion de cette contri­bu­tion, il manque encore la rati­fi­ca­tion de 7 États (voir la liste du Conseil de l’Europe).

L’autorité suisse était présente à diverses confé­rences et rencontres avec d’autres auto­ri­tés de protec­tion des données sur des diffé­rents sujets, tels que les dernières avan­cées tech­no­lo­giques, la coopé­ra­tion entre auto­ri­tés, le mois­son­nage de données (data scra­ping), la gouver­nance de données et l’intelligence arti­fi­cielle entre autres.

Les ques­tions liées à Schengen ont fait l’objet de groupes de coor­di­na­tion, comme pour le système d’information Schengen, le système d’information sur les visas ou le système euro­péen de compa­rai­son des empreintes digi­tales des deman­deurs d’asile.

Enfin, l’autorité a parti­cipé à plusieurs rencontres et confé­rences à l’internationale, ayant débou­ché sur des prises de posi­tion et résolutions.

Conclusion

Cet article présente une brève synthèse des diffé­rents éléments appro­fon­dis dans le rapport. Certains sujets connus du grand public sont abor­dés (notam­ment certaines enquêtes, telles que celles concer­nant Xplain ou la vidéo­sur­veillance des CFF) ainsi que d’autres moins connus. C’est en effet l’occasion de voir l’implication du PFPDT dans les consul­ta­tions de projets ou lois, et de voir quelles sugges­tions ont été reprises par les auto­ri­tés concernées.

Une prochaine contri­bu­tion abor­dera la partie « trans­pa­rence » du rapport.