32^e Rapport d’activités 2024/​2025, publié le 1^er juillet 2025

Le Préposé fédé­ral à la protec­tion des données (PFPDT) est tant une personne physique qu’une orga­ni­sa­tion. La première est élue par l’Assemblée fédé­rale pour une période de quatre ans renou­ve­lables deux fois (art. 43 et 44 LPD). Quant à l’organisation, elle cumule plusieurs charges, dont celles d’enquêter sur les viola­tions des pres­crip­tions de protec­tion des données (art. 49 ss LPD), d’exécuter l’assistance admi­nis­tra­tive en Suisse et à l’étranger (art. 54 ss LPD), de tenir des registre de trai­te­ment des organes fédé­raux (art. 56 LPD) ainsi que les tâches géné­rales de conseil, d’assistance et aux organes canto­naux et de colla­bo­ra­tions avec les auto­ri­tés, de sensi­bi­li­sa­tion, de se pronon­cer sur des projets légis­la­tifs impli­quant le trai­te­ment de données, et d’élaborer des outils de recom­man­da­tions (art. 58 LPD).

Publié chaque année, le rapport d’activités permet d’obtenir une vue d’ensemble des acti­vi­tés de cette auto­rité de surveillance, de reve­nir sur des cas marquants ou décou­vrir des inter­ven­tions moins visibles du PFPDT. Cette contri­bu­tion revient sur quelques points choi­sis, les lectrices et lecteurs étant invi­tés à se plon­ger dans le rapport pour plus de détails.

Contexte social et coopération

Comme à son habi­tude, le rapport commence par une prise de tempé­ra­ture du contexte social et poli­tique par le PFPDT. Après une intro­duc­tion sur les dangers de la surveillance massive par des acteurs étatiques, il est rappelé que les socié­tés démo­cra­tiques ne doivent pas tomber dans le piège de la « faisa­bi­lité tech­no­lo­gique ». Le respect des liber­tés instau­rées par la Constitution ne doit pas être mis de côté, malgré les critiques de certains qui consi­dèrent la protec­tion des données comme une « tutelle inutile », et d’autres qui, avec une « soif de sécu­rité » exigent des durcis­se­ments des contrôles par le biais de recon­nais­sance faciale géné­ra­li­sée. Sur cette dernière, une inter­pré­ta­tion de la loi l’interdirait, tout comme le score social (ou social scoring).

La coopé­ra­tion entre PFPDT et auto­ri­tés de protec­tion des données canto­nales s’est prin­ci­pa­le­ment centrée sur les ques­tions de déli­mi­ta­tion des compé­tences entre légis­la­tion fédé­rale et canto­nale (ex. dans le domaine des trans­ports publics) ainsi que l’exploitation de bases de données communes (ex. POLAP, Justitia et eVoting).

Projets d’importance nationale

Le projet CEBA (Cloud Enabling Büroautomation) visant à l’implémentation de M365 dans l’administration fédé­rale a conti­nué à être suivie par le PFPDT. Les demandes prin­ci­pales faites au secteur Transformation numé­rique et gouver­nance de l’informatique (TNI) sont l’examen des solu­tions de rechange (en lien avec le risque de dépen­dance au four­nis­seur), ainsi que l’évaluation de la propor­tion­na­lité trai­te­ments et la conduite d’une analyse d’impact à la protec­tion des données (AIPD). Une des mesures de mini­mi­sa­tion propo­sée est l’étiquetage des données et le canton­ne­ment du trai­te­ment des données sensibles aux centres de données de l’administration fédé­rale (hors Cloud).

Lors de la restruc­tu­ra­tion du projet « Vote élec­tro­nique », il a été clari­fié que la respon­sa­bi­lité en matière de surveillance de la protec­tion des données incom­bait aux cantons (art. 14 OVotE), le rôle de la Confédération se limi­tant à accor­der les auto­ri­sa­tions (art. 27a à 27q ODP).

Concernant la révi­sion de l’e‑ID, le PFPDT a obtenu que le prin­cipe de non-traça­bi­lité soit inté­gré dans la loi. Adopté par les Chambres fédé­rales, ce prin­cipe vise à proté­ger la sphère privée en restrei­gnant l’accès aux seules données néces­saires à la démarche (p. ex. accès unique­ment à l’âge dans le cadre d’achat d’alcool et non à l’ensemble des données de l’e‑ID).

Dernier projet d’envergure est Justitia 4.0, dont l’entrée en vigueur serait janvier 2026 et pour lequel le PFPDT devrait assu­rer la surveillance en matière de protec­tion des données.

Exercices des droits et acti­vi­tés de surveillance

Le PFPDT inter­vient régu­liè­re­ment auprès des respon­sables du trai­te­ment en lien avec l’exercice des droits des personnes concer­nées. Dans le cadre des demandes d’accès, il est rappelé, en plus de la néces­sité de respec­ter le délai de 30 jours, de four­nir des données exactes et complètes, sous peine d’une viola­tion de l’obligation de rensei­gner (cf. swiss​pri​vacy​.law/​3​67/ et swiss​pri​vacy​.law/​3​66/).

Les acti­vi­tés de surveillance et sensi­bi­li­sa­tion du PFPDT sont présen­tées dans le rapport, distin­guant les instru­ments (formu­laires d’annonce et portails de noti­fi­ca­tion), les acti­vi­tés de surveillance (enquêtes formelles selon l’art. 49 LPD, préli­mi­naires infor­melles et inter­ven­tions à bas seuil), les campagnes (ex. sur la sensi­bi­li­sa­tion à l’utilisation du numéro AVS restreint par l’art. 153b ss LAVS) et les guides et feuillets thématiques.

Le PFPDT a enre­gis­tré 363 viola­tions et observé une augmen­ta­tion du nombre d’AIPD effec­tué par les organes fédé­raux. Sur ce premier point, un guide a notam­ment été mis à dispo­si­tion au cours de l’année 2025, (cf. Guide rela­tif à l’annonce de viola­tions de la sécu­rité des données et sur les infor­ma­tions des personnes concer­nées en vertu de l’art. 24 LPD, cf. swiss​pri​vacy​.law/​3​38/). Un tel guide avait déjà été publié en 2023 (Aide-mémoire concer­nant l’analyse d’impact rela­tive à la protec­tion des données person­nelles visée aux art. 22 et 23 LPD).

La jour­na­li­sa­tion des proces­sus est appli­cable depuis septembre 2023 sur la base de l’art. 4 OPDo. À partir du 1^er septembre 2026, l’obligation de jour­na­li­sa­tion des lectures sera appli­cable aux organes fédé­raux pour les systèmes non soumis à la direc­tive Schengen (UE) 2016/​680 (art. 46 OPDo).

Xplain, POLAP, tracking et immobilier

Les recom­man­da­tions sur la sous-trai­tance émises à la suite des enquêtes en lien avec l’affaire Xplain ont été accep­tées par l’administration fédé­ral (sur l’enquête, cf. swiss​pri​vacy​.law/​3​06/). Celle-ci est désor­mais tenue par les conclu­sions présen­tées, comme l’obligation de docu­men­ter les sous-trai­tances confiées à des tiers (ex. flux de données, moda­li­tés d’accès), d’imposer un cadre contrac­tuel incluant notam­ment les exigences liées au cycle de vie des données (effa­ce­ment, stockage), et la réali­sa­tion régu­lière d’audits.

Sur la plate­forme natio­nale de recherche poli­cière POLAP, l’absence de base légale a été rele­vée par le Tribunal fédé­ral dans un arrêt 1C_​63/​2023 (cf. swiss​pri​vacy​.law/​3​34/). Le PFPDT relève que, depuis, aucune base légale n’a été annon­cée et attend d’être consulté selon l’évolution des travaux.

En matière de tracking sur les plate­formes de vente, un guide sur l’utilisation de cookies a suivi la clôture de la procé­dure menée contre Ricardo et TX Group. Ce Guide rela­tif aux trai­te­ments de données au moyen de cookies et de tech­no­lo­gies simi­laires prévoit entre autres d’accorder un « droit de concep­tion » aux personnes concer­nées, leur permet­tant de consen­tir ou s’opposer au place­ment de cookies.

Enfin, des asso­cia­tions actives dans le domaine de l’immobilier ont pu béné­fi­cier de conseils et sensi­bi­li­sa­tions sur le trai­te­ment des données, parti­cu­liè­re­ment sur les données pouvant être collec­tées de manière licite dans le proces­sus de loca­tion (cf. Aide-mémoire concer­nant les formu­laires d’inscription rela­tifs à la loca­tion d’un appar­te­ment). Il semble cepen­dant qu’une certaine réti­cence à se confor­mer à ces recom­man­da­tions existe auprès des gérances immobilières.

Santé, surveillance au travail et transports

Le domaine de la santé est régu­liè­re­ment exposé à des problé­ma­tiques de protec­tion des données. Dans le sport, c’est plus parti­cu­liè­re­ment les données liées au dopage qui soulèvent des ques­tion­ne­ments (cf. swiss​pri​vacy​.law/​2​68/). Au cours de l’année écou­lée, le PFPDT s’est posi­tionné sur la propor­tion­na­lité d’un trans­fert de données rela­tives au dopage à l’Agence mondiale d’antidopage (AMA) basée au Canada. Opposé à l’envoi systé­ma­tique de dossiers médi­caux d’athlètes, le PFPDT a demandé à l’AMA de réta­blir la pratique préa­la­ble­ment en place, plus respec­tueuse du prin­cipe de propor­tion­na­lité. L’AMA a accepté un aména­ge­ment du proces­sus de contrôle pour l’agence Swiss Sport Integrity, repo­sant sur un accès aux dossiers médi­caux qu’en cas de besoin effectif.

Un autre sujet ayant fait couler beau­coup d’encre est celui des formu­laires de consen­te­ment ou d’information four­nit aux patients lors de leur prise en charge par des profes­sion­nels de la santé. Le PFPDT indique qu’une infor­ma­tion à l’intention des four­nis­seurs de pres­ta­tions sera bien­tôt mise à dispo­si­tion (dans l’attente, cf. swiss​pri​vacy​.law/​3​19/ pour la recen­sion de Frédéric Erard/​Livio di Tria, Consentement aux trai­te­ments de données en cabi­net médi­cal. Ni libre, ni éclairé, ni néces­saire ? Jusletter 23 septembre 2024).

Sur la ques­tion de la surveillance des employés, le rapport d’activités revient sur les prin­cipes de protec­tion des données devant être respec­tés. Outre l’exigence d’une inté­rêt légi­time prépon­dé­rant de l’employeur et la restric­tion de la zone d’enregistrement, c’est une inter­dic­tion de filmer la zone de pause qui est indi­quée. Une procé­dure a par ailleurs été close contre une entre­prise de nettoyage de bâtiments.

Toujours en matière de surveillance, le PFPDT s’est penché sur l’utilisation de drones et de recon­nais­sance faciale, respec­ti­ve­ment par Swisscom Broadcast et l’aéroport de Zürich. Dans le premier cas, c’est la conduite d’une AIPD qui a fait l’objet d’investigation. Dans le deuxième, c’est la véri­fi­ca­tion de l’existence d’une base légale formelle qui a été effectuée.

Data scra­ping, Data Privacy Framework et Schengen

Le PFPDT démontre une présence régu­lière à l’internationale, que ce soit dans des confé­rences, ateliers, groupes de travail, sympo­siums ou autres rencontres rassem­blant les auto­ri­tés de contrôles et profes­sion­nels de la protec­tion des données.

Des diffé­rentes parti­ci­pa­tions présen­tées, il ressort trois sujets prin­ci­paux ayant occupé l’autorité.

Premièrement, le data scra­ping, un sujet déjà large­ment abordé dans le rapport d’activités de l’année dernière, pour lequel une décla­ra­tion finale accom­pa­gnée de direc­tives a été présenté. Celles-ci portent notam­ment sur l’obligation pour les entre­prises de se confor­mer aux lois de protec­tion des données, de mettre en place de mesures de protec­tion tenant compte de l’évolution des tech­no­lo­gies d’extraction, ainsi que d’assurer la légi­ti­mité des extractions.

Deuxièmement, le rôle du PFPDT est abordé dans le cadre de trans­mis­sion de données vers les États-Unis (CH‑U.S. Data Privacy Framework), un méca­nisme toujours en vigueur malgré des évolu­tions récentes qui remettent en ques­tion certains des fonde­ments ayant permis son réta­blis­se­ment (évolu­tions qui n’ont par ailleurs pas été rele­vées dans le rapport).

De surcroît, les diffé­rentes acti­vi­tés liées à Schengen sont présen­tées, comme l’évaluation de la Suisse en début d’année, la parti­ci­pa­tion à des groupe de coor­di­na­tion pour le contrôle de système d’information et des visites dans les locaux de fedpol.

Dernier élément méri­tant d’être mentionné, est la prési­dence du PFPDT du groupe de travail de l’Assemblée mondiale pour la protec­tion de la vie privée dédié à l’action huma­ni­taire, sa parti­ci­pa­tion à un panel sur la protec­tion de la vie privée dans un contexte d’urgence ainsi qu’une colla­bo­ra­tion avec le CICR.

Conclusion

Les acti­vi­tés du PFPDT restent prin­ci­pa­le­ment axées sur du conseil (55% des pres­ta­tions de protec­tion des données). On peut noter une augmen­ta­tion des acti­vi­tés de surveillance, prin­ci­pa­le­ment axée sur les personnes privées, passant de 16% à plus de 20% depuis le dernier rapport d’activités. Cette augmen­ta­tion a comme pendant une dimi­nu­tion des acti­vi­tés liées à la légis­la­tion, pour­tant centrale pour assu­rer que les évolu­tions légis­la­tives suisses conti­nuent à respec­ter les prin­cipes établis dans la LPD. Malgré l’absence d’augmentation d’effectif, le PFPDT suit égale­ment des dossiers légis­la­tifs pouvant avoir des impacts impor­tants sur les droits et liber­tés fonda­men­tales des personnes concer­nées, comme la révi­sion de la Loi sur le rensei­gne­ment (LRens) ou la révi­sion de la Loi sur le dossier élec­tro­nique du patient (LDEP).

Une prochaine contri­bu­tion abor­dera la partie « prin­cipe de la trans­pa­rence » du rapport d’activités.