17e rapport d’activités

Berne, 28.06.2010 - Au cours de l’année écoulée, le préposé fédéral à la protection des données et à la transparence (PFPDT) a traité entre autres divers thèmes d’actualité dont les plus marquants ont été le caractère obligatoire de l’Enquête suisse sur la population active (ESPA), les requêtes portant sur un registre en ligne pour les chauffards ou encore la controverse sur les services en ligne de Google Street View. A la demande de tiers, le préposé s’est penché sur le cas d’un prestataire de tests génétiques, a rendu un avis sur le caractère légal des enregistrements vidéo effectués par des drones, a fait examiner dans le cadre d’une expertise la proportionnalité des traitements de données concernant la solvabilité de certains citoyens, a rédigé des commentaires explicatifs sur les responsables de la protection des données dans les entreprises et a pris position sur la communication de données personnelles à des tiers par des associations à des fins de marketing. Dans ce rapport d’activités, qui porte sur la période du 1er avril 2009 au 31 mars 2010, le PFPDT a mis l’accent sur un sujet qui lui tient tout particulièrement à cœur, la sensibilisation des enfants et des jeunes. Dans le contexte de Schengen, il a en outre procédé à plusieurs contrôles et mis en place la collaboration requise avec les cantons. Par ailleurs, il a exprimé ses réserves quant à l’avant-projet de révision de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication, émis un avis sur le projet de cybersanté suisse et a tenu une conférence à l’Ecole polytechnique fédérale de Zurich sur les questions de protection des données liées à l’utilisation des puces RFID. Comme tous les ans, le PFPDT s’est penché sur des thèmes touchant à la protection des données sur le lieu de travail, par exemple l’utilisation adéquate des empreintes digitales dans le but de contrôler les présences ou le problème des logiciels d’espionnage. Le cas, déjà mentionné l’an dernier, de la caisse de pension qui envoyait les cartes personnelles de ses assurés au mépris des principes de la protection des données a été traité cette année par une instance supérieure, tout comme celui du Centre de sports et de loisirs KSS qui avait rejeté les recommandations du PFPDT à propos du contrôle biométrique des entrées: il a été rappelé à l’ordre par le Tribunal administratif fédéral. Enfin, le rapport présente un résumé du travail accompli par le PFPDT dans le cadre de la loi fédérale sur la transparence.

La participation à l’Enquête suisse sur la population active (ESPA) est depuis peu obligatoire, ce qui n’a pas manqué de susciter des protestations à l’automne dernier, tout comme le fait que les questions soient posées au téléphone par un institut de sondage privé, mandaté par l’Office fédéral de la statistique (OFS). Le PFPDT a proposé à l’OFS diverses mesures destinées à assurer à la population que le traitement des informations recueillies est conforme aux principes de protection des données.

A la suite de plusieurs accidents tragiques provoqués par des conducteurs irresponsables, des voies se sont élevées pour réclamer la publication des noms des coupables. Le PFPDT doute toutefois de l’utilité préventive de ce genre de mise au pilori sur Internet et craint même que cela ne se transforme en hit-parade du plus rapide. Des mesures plus sévères comme le retrait du permis de conduire sur une longue période auraient un impact beaucoup plus grand.

Au mois d’août dernier, Google a mis en ligne son service Street View qui, du point de vue de la protection des données, présentait de considérables lacunes. De nombreuses personnes ont exprimé leur mécontentement auprès du PFPDT. Google ayant refusé la plupart des recommandations visant à améliorer la protection des données, le PFPDT a déposé plainte devant le Tribunal administratif fédéral.

Informé par diverses personnes, le PFPDT a procédé à un examen des faits auprès d’une entreprise zurichoise proposant des tests de paternité et des analyses généalogiques. Cet examen a permis de déceler de légères insuffisances touchant à la transparence qui ont été comblées rapidement par l’entreprise. Notre action s’est donc arrêtée là.

A la demande de l’Office fédéral de l’aviation civile (OFAC), le PFPDT a exposé les principes auxquels devaient répondre les enregistrements vidéo faits à partir de drones ou d’autres aéronefs. Entre autres, il faut qu’il y ait toujours un motif justificatif, la transparence à l’égard des personnes concernées doit être assurée et les données doivent être protégées contre les accès indus. Elles doivent ensuite être rapidement effacées.

Dans le cadre d’une expertise, le PFPDT a fait examiner la durée pendant laquelle les agences de renseignements économiques avaient le droit de traiter et de transmettre des informations touchant au droit de la poursuite. Il a été établi à cette occasion que les limites posées par la loi fédérale sur la poursuite pour dette et la faillite (LP) étaient pertinentes quant à la proportionnalité de la durée du traitement, bien que la loi ne dise rien de particulier à propos des agences de renseignements économiques. Le PFPDT a informé des résultats l’Office fédéral de la justice ainsi que les agences de renseignements économiques et a souligné, non pour la première fois, le rôle considérable que jouent dans la vie économique actuelle les données concernant les poursuites et leur transmission par ces agences à des tiers.

Depuis la révision de la loi sur la protection des données, en vigueur depuis 2008, les entreprises ne sont plus tenues d’annoncer leurs fichiers auprès du PFPDT si elles nomment un conseiller à la protection des données et en informent le PFPDT. Le rôle et le choix de la personne responsable doivent toutefois répondre à des critères déterminés que le PFPDT a exposés dans ses explications concernant les conseillers à la protection des données en entreprise.

Cette année encore, le traitement des données des membres au sein des fédérations et associations a soulevé un certain nombre de questions. Le PFPDT a conseillé quelques associations sportives et leur fédération à propos de la transmission de données de leurs membres à des fins de marketing, transmission qui ne doit en principe avoir lieu qu’avec le consentement de ces mêmes membres. Au lieu que chaque association s’enquière séparément de ce consentement, ce qui bloque régulièrement pas mal de capacités, le PFPDT estime tout à fait envisageable que la fédération se charge de cette tâche: elle ne s’adresse qu’une seule fois à tous les membres et ne traite ensuite que les données personnelles pour lesquelles une autorisation a été obtenue.

De nombreuses offres sur Internet et dans le domaine de la téléphonie mobile s’adressent aussi aux jeunes ou sont spécifiquement ciblées sur les jeunes. Souvent, ces offres présentent un risque pour la sphère privée de ces jeunes qui ne sont pas suffisamment conscients des dangers qui les guettent sur Internet. Au cours l’année écoulée, le PFPDT s’est penché tout particulièrement sur les questions touchant la jeune génération dans l’intention de les sensibiliser, mais aussi leurs parents et leurs enseignants, aux problèmes de protection des données. Des rencontres à ce propos ont été organisées dans le cadre de la 4e Journée européenne de la protection des données et le PFPDT a mis au point un outil de formation pour les jeunes et les enseignants permettant aux élèves des écoles d’assimiler les bases de la protection des données. Il a en outre publié des informations détaillées à ce propos sur son site Internet.

Concernant les traitements de données personnelles dans le Système d’information Schengen SIS, le PFPDT a effectué plusieurs contrôles en tant qu’autorité de surveillance des organes fédéraux en matière de protection des données. Il a ainsi contrôlé la représentation diplomatique de la Suisse au Caire, mais aussi les traitements de données effectués par la Police judiciaire fédérale. En outre, il a convoqué à deux reprises pour une réunion le Groupe de coordination des autorités suisses de protection des données.

Dans le cadre de la consultation des offices à propos de l’avant-projet de révision de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication, le PFPDT a souligné entre autres le manque de clarté dans l’application du droit d’accès et le manque de précisions sur l’efficacité des programmes informatiques destinés à être placés subrepticement sur des ordinateurs. En outre, le PFPDT a demandé une description claire des personnes auxquelles la loi doit s’appliquer.

A propos de la stratégie suisse en matière de cybersanté, le Conseil fédéral accorde une importance particulière au respect des normes en matière de protection des données. Le PFPDT participe au projet «Normes et architectures» et souligne l’importance du droit à l’autodétermination en matière d’information, d’une structure décentralisée et de la finalité du traitement des données. Il a constaté à cette occasion que la sensibilité à l’égard des problèmes de protection des données est réelle.

La technologie RFID est de plus en plus souvent intégrée aux articles courants comme les billets de chemins de fer, les livres de bibliothèques ou les marchandises à titre de protection contre le vol. Les données enregistrées sur les puces RFID qui ne font pas l’objet d’une protection spéciale peuvent être lues ou manipulées par des appareils adéquats sans que la personne concernée ne le remarque. L’utilisation de ces marqueurs implique des risques considérables pour la sphère privée car ils pourraient être utilisés pour établir par exemple des profils d’achat ou de déplacement. L’utilisation de la technologie RFID nécessite que la transparence soit garantie et que les systèmes soient conçus de manière à permettre de respecter les exigences de la protection des données.

L’utilisation des données biométriques comme les empreintes digitales a aussi le vent en poupe. Or, dans bien des cas, au lieu de l’empreinte entière, un extrait de l’empreinte serait suffisant. Cela permettrait aussi de réduire les risques inhérents au traitement des données biométriques. En outre, il est rare qu’une centralisation des données enregistrées soit nécessaire. Le PFPDT a élaboré un guide relatif aux systèmes de reconnaissance biométrique.

Les programmes informatiques permettant une surveillance continue des travailleurs sur le lieu de travail portent atteinte à la sphère privée. Certes l’employeur est en droit de contrôler la productivité de ses employés, mais il n’est pas autorisé à les surveiller 24 heures sur 24. Il doit consigner dans un règlement spécifique l’utilisation des moyens informatiques prévus (ordinateur, courriel, Internet, etc.) et expliquer comment le respect de ces règles est contrôlé et les manquements seront sanctionnés.

La caisse de pension qui envoie les certificats personnels aux employeurs au lieu de les faire parvenir directement à ses assurés porte atteinte au principe de légalité et au devoir de discrétion relevant du droit des assurances sociales. L’institution de prévoyance en question, qui a déjà préoccupé le PFPDT l’an dernier, a rejeté la recommandation que le préposé avait rédigée à son intention. Ce dernier a déposé une demande de décision dans cette affaire auprès du Département fédéral de l’intérieur (DFI).

Le cas du Centre de sports et de loisirs KSS a aussi occupé le PFPDT durant l’exercice écoulé. Mais il a trouvé une issue satisfaisante: chargé d’examiner l’organisation du système biométrique d’accès à ce centre, le Tribunal administratif fédéral a approuvé la plainte du PFPDT. Il a dans le même temps procédé à quelques clarifications sur des questions de protection des données dans ce domaine. Le PFPDT a approuvé le jugement du tribunal qui, depuis, est devenu exécutoire.

Le principe de la transparence a également fortement occupé le PFPDT. Alors que le nombre des demandes d’accès auprès de l’administration fédérale est demeuré pratiquement identique dans les départements et les offices fédéraux, le nombre des demandes en médiation a pour sa part augmenté considérablement. Depuis l’introduction de la loi sur la transparence il y a maintenant quatre ans, il apparaît que le pourcentage des accès entièrement refusés diminue et que le nombre des accès partiels autorisés augmente.

D’autres thèmes traités dans le 17e rapport d’activités sont présentés dans le résumé ci-joint.