16ème Rapport d’activités

Berne, 29.06.2009 - Au cours de l’année écoulée, le Préposé fédéral à la protection des données et à la transparence (PFPDT) s’est penché, entre autres thèmes, sur la conclusion d’un accord de «safe harbor» avec les Etats-Unis, sur la conformité des systèmes de vidéosurveillance en réseau avec les principes de protection des données, sur ses propres activités de surveillance et d’information dans le cadre de la mise en œuvre des accords de Schengen, et, dans le domaine des assurances automobiles, a redigé des explications relatives au système dit «pay as you drive» et des boites noires. Il a également rédigé une recommandation à propos du contrôle des locataires et pris position sur la révision de la loi sur la poursuite pour dettes et la faillite. L’année sous revue, qui allait du 1er avril 2008 au 31 mars 2009, a également été l’occasion pour le PFPDT de mettre l’accent sur la protection de la personnalité sur Internet. Ainsi, il a ébauché les conditions dans lesquelles les sites d’évaluation en ligne peuvent être exploités, il a expliqué quels sont les dangers des sites de réseautage social et a conseillé les utilisateurs, les prestataires et les autorités sur une organisation de ces services en conformité avec la protection des données. Il a aussi pris position sur la protection de la personnalité dans les comptes-rendus sur Internet. Par ailleurs, dans son 16ème rapport d’activités, le PFPDT attire l’attention des caisses de pension sur un usage correct des certificats personnels, se prononce sur la communication de données personnelles à des tiers par les associations et les organisateurs d’événements sportifs et établit un bilan annuel des demandes d’accès, des demandes de conciliation et des recommandations dans le cadre de la loi sur la transparence.

La transmission de données personnelles dans les pays qui ne disposent pas d’un niveau de protection des données approprié ne doit avoir lieu qu’à des conditions précises. Les Etats-Unis d’Amérique font partie de ces pays. Afin de simplifier le transfert de données entre la Suisse et les Etats-Unis, le PFPDT et le Secrétariat d’Etat à l’économie (le SECO) ont conclu avec les Etats-Unis un accord établissant une sphère de sécurité («safe harbor agreement»). Cet accord renforce la protection de la personnalité des citoyens suisses concernés.

Dans le domaine de la vidéosurveillance, le progrès technique permet des applications toujours plus complexes, mais aussi une meilleure protection de la personnalité. Aujourd’hui, des centaines de caméras dans le monde entier peuvent envoyer des images via Internet à des banques de données ainsi qu’à de nombreux utilisateurs. Le codage ou le chiffrage des images, la protection physique contre l’accès non autorisé ainsi que la division de la clé de chiffrage permettent ici d’appliquer réellement le principe dit «des quatre yeux». De cette manière seulement, il est possible de concilier les nécessités de la protection des données avec les objectifs de la vidéosurveillance.

A la suite de l’évaluation de la protection des données en Suisse par l’Union européenne, le PFPDT a entamé la mise en place de ses activités d’information et de surveillance dans le cadre des accords de Schengen. Nous avons ainsi concrétisé la coopération avec les autorités cantonales de protection des données, procédé à un contrôle de la représentation diplomatique suisse en Ukraine et mené une campagne d’information à propos du système d’information Schengen SIS ainsi qu’une campagne de sensibilisation de ses utilisateurs. En outre, le PFPDT travaille à la mise en œuvre des mesures recommandées par l’UE.

Actuellement, soucieuses de pouvoir offrir à leur clientèle des offres mieux ciblées sur les besoins individuels, les compagnies d’assurances automobiles sont de plus en plus nombreuses à évaluer des données indépendantes des sinistres comme le comportement quotidien en matière de conduite, en plus bien entendu des données telles que l’état du véhicule ou le comportement usuel du conducteur. Les nouveaux moyens techniques permettent de rassembler pratiquement sans limites les données concernant les déplacements dans le cadre des solutions dites «pay as you drive», ce qui comporte des risques du point de vue de la protection des données. L’étendue, l’enregistrement et l’utilisation de ces données doivent être conformes aux principes établis dans la loi sur la protection des données.

Au cours de l’année sous revue, le PFPDT publié plusieurs recommandations concernant les services d’une société de renseignements économiques dans le domaine de l’évaluation de locataires potentiels. L’objectif de cette société est d’aider les propriétaires à diminuer les risques de pertes de loyers dus aux mauvais payeurs. Les traitements de données personnelles effectués dans ce cadre présentent des lacunes du point de vue de la protection des données. Le fournisseur de ces services a déjà procédé l’année dernière à certaines modifications. Après d’intensives discussions, iI a finalement accepté les différentes propositions de modifications ainsi que les recommandations du PFPDT.

Les données figurant dans les registres des faillites sont très sensibles. Conscient de cet état de choses, le PFPDT a pris position à propos de la révision du droit des poursuites et faillites et suggéré une modification des délais d’inscription. Aujourd’hui, à quelques exceptions près, les données concernant les poursuites demeurent durant cinq ans dans l’extrait du registre des poursuites, même si le paiement a eu lieu ou si les poursuites ne sont pas maintenues. Le PFPDT propose un droit de consultation échelonné dans le temps. Cette solution aurait l’avantage d’inciter la personne concernée à s’acquitter de sa dette puisqu’au bout d’un an, sa réputation financière serait rétablie.

Aujourd’hui, notre société ne peut imaginer le quotidien sans Internet. Une partie considérable de nos activités sont liées à l’utilisation du réseau mondial. Mais, effectivement accessible aux quatre coins de la terre, il ne connaît point l’oubli ! C’est cet aspect de la chose qui a incité le PFPDT à se pencher d’un peu plus près sur certains thèmes. Ainsi, il a défini les conditions dans lesquelles les sites en ligne d’évaluation de prestations de services et de catégories professionnelles doivent être exploités, en a souligné les risques pour les exploitants et les utilisateurs et proposé des mesures permettant de minimiser le danger d’atteintes à la personnalité. Il a également abordé les risques liés aux sites de réseautage social, très à la mode actuellement. La personne qui divulgue sur Internet de nombreuses informations personnelles, accède certes à d’innombrables fichiers (dont des fichiers privés), mais perd aussi le contrôle de ses propres données. Les exploitants des sites de réseautage sont en mesure de combiner des données personnelles avec des métadonnées et établissent des profils de la personnalité aussi complets que lucratifs. Le PFPDT conseille les utilisateurs, les prestataires et les autorités dans l’optique d’une approche de ces services conforme aux principes de la protection des données. Les comptes-rendus divers que l’on peut trouver sur Internet ont également préoccupé le PFPDT au cours de l’année écoulée. La question de la protection de la personnalité se pose lorsqu’à la lecture de ces comptes-rendus, il est possible de reconnaître aisément certains participants à un événement. Tout dépend de la manière avec laquelle les informations sont rapportées. Si les textes et les images mettent l’accent sur ce qui est d’intérêt public, à savoir le contenu de la manifestation ou certains événements précis, et si la personnalité des personnes présentes est préservée, le compte-rendu informatif ne pose aucun problème. Par contre, le PFPDT estime qu’un compte-rendu porte illégalement atteinte à la personnalité lorsque certains participants se voient «portraiturés» sans consentement ou mis au pilori sans qu’il y ait un intérêt public prépondérant pour cela.

Les employés assurés auprès d’une caisse de pension reçoivent leur certificat personnel d’assurance à intervalles réguliers. L’employeur n’a pas besoin des informations rassemblées sur le certificat et le PFPDT estime qu’en envoyant d’abord les certificats personnels aux employeurs, les caisses de pension n’agissent pas conformément au droit de la protection des données car ce faisant, elles divulguent les informations qui y sont contenues. Faute d’avoir pu trouver un accord avec la caisse de pension concernée, le PFPDT rédigera une recommandation à son intention.

Les associations ou les organisateurs d’événements sportifs ne doivent pas transmettre les données concernant des membres ou des participants sans le consentement des personnes concernées. Il est permis d’utiliser les données personnelles dans le cadre de ce qui est nécessaire à la manifestation et de ce qui est reconnaissable pour les participants (listes des départs, résultats, mesurages du temps, etc.). La transmission à des fins de marketing aux sponsors, photographes ou autres tiers n’est permise qu’avec le consentement des personnes concernées. En effet, celles-ci doivent avoir la possibilité de s’opposer à cette transmission.

Le principe de la transparence est applicable depuis trois ans maintenant. A cette occasion, le PFPDT ne se contente pas d’établir un bilan à propos de l’évolution des demandes d’accès, des recommandations et des médiations dans le cadre de son 16ème rapport d’activités. Il a également mandaté un organisme indépendant d’évaluer l’exécution, le coût de l’application et l’efficacité de la loi sur la transparence et présentera les résultats de cette étude à l’occasion de sa conférence de presse du 29 juin 2009.

Le résumé ci-joint présente d’autres thèmes traités dans le 16ème rapport d’activités du PFPDT.