30e rapport d’activités 2022/2023 : Le nouveau droit renforce le PFPDT

Berne, 26.06.2023 - La loi sur la protection des données, qui a été totalement révisée, et ses ordonnances d’exécution entreront en vigueur le 1er septembre 2023. Les travaux du PFPDT visant à assurer un passage sans heurts à la nouvelle législation se déroulent comme prévu. Le nouveau site Internet est mis à jour en continu, et les portails de notification qui y sont accessibles seront complétés d’ici à la date d’entrée en vigueur. À partir de ce moment, le PFPDT intensifiera progressivement ses activités d’investigation dans le cadre de l’exercice de ses nouvelles compétences, ce qui suppose une utilisation efficace des ressources, à laquelle doit notamment contribuer la publication d’un nouveau document destiné aux activistes informatiques. Compte tenu de l’augmentation des cas dans lesquels la loi sur la transparence ne s’applique pas et de la multiplication du recours au droit de nécessité, le PFPDT publie désormais une liste de toutes les exceptions prévues par des lois spéciales.

Nouvelle loi sur la protection des données

30 ans après l’entrée en vigueur de la loi fédérale sur la protection des données (LPD), le PFPDT publie aujourd’hui son 30e rapport d’activités. Le 1er septembre 2023, la LPD totalement révisée et ses ordonnances d’exécution entreront en vigueur, donnant aux milieux économiques, à l’administration fédérale et à la surveillance fédérale de la protection des données de nouveaux instruments pour répondre aux attentes légitimes de la population en matière de protection - forte et conforme à l’État de droit - de leur sphère privée et de leur autodétermination informationnelle dans un monde marqué par le numérique.

Nouveau site Internet et portails de notification

Les travaux du PFPDT visant à assurer un passage sans heurts à la nouvelle législation se déroulent comme prévu. Depuis le début du mois de mai 2023, nous proposons une nouvelle mouture de notre site Internet, dont le contenu est adapté à la nouvelle LPD et qui est complété en continu. Deux nouveaux portails de notification en ligne y sont d’ores et déjà disponibles : le registre des activités de traitement des organes fédéraux (DataReg) et le portail permettant de notifier les violations de la sécurité des données (DataBreach). Un troisième portail, qui contiendra la liste des conseillers à la protection des données en entreprise, suivra dans le courant de l’été.

Vers une intensification de la surveillance

Dès l’entrée en vigueur de la LPD révisée, le PFPDT intensifiera ses activités de surveillance dans le cadre de l’exercice de ses nouvelles compétences et augmentera progressivement le nombre des enquêtes formelles qu’il mène. Entre autres, l’exigence en vigueur selon laquelle le PFPDT ne pouvait procéder à l’établissement des faits lors de traitements de données effectués par des personnes privées que s’il y avait une erreur de système et une atteinte à la personnalité d’un nombre important de personnes, sera abolie.

Document destiné aux hackers éthiques

Au cours de la dernière période sous revue, le PFPDT a notamment été informé de failles dans la protection des données et la sécurité par des hackers bien intentionnés, communément appelés « hackers éthiques » (white hat hackers). Ainsi, après avoir reçu un signalement de la part d’un particulier, nous avons procédé à l’établissement des faits concernant une banque de données insuffisamment sécurisée de centres privés de dépistage du COVID-19. Ayant constaté que les responsables avaient pris des mesures d’urgence appropriées après la découverte de la faille et qu’ils avaient pu prouver qu’aucun tiers n’avait accédé aux données en dehors du hacker éthique, nous avons clos notre enquête sans formuler de recommandations. Afin que, dans des cas de figure de ce genre, tous les acteurs agissent efficacement et dans le respect de la législation sur la protection des données, le PFPDT a rédigé un document contenant des propositions d’action concrètes.

Effet d’intimidation des capteurs de surveillance

Les récentes réactions provoquées par l’appel d’offres public en vue de l’acquisition d’un système de mesure de l’affluence de la clientèle des CFF révèlent que la population suisse est préoccupée face au nombre croissant de capteurs installés sur des sites privés ou publics. Ces capteurs ont un effet d’intimidation (chilling effect), de sorte que les personnes voient leur autodétermination limitée en termes de mouvements et de mode de vie. Il est également inquiétant de constater que les capteurs de surveillance, qui sont de moins en moins chers, peuvent, s’ils sont configurés de manière appropriée, être reliés à Internet et à d’autres bases de données, voire être en mesure de traiter des données de manière autonome. Le PFPDT conseille donc aux responsables de projets numériques de faire preuve de retenue dans l’usage de capteurs. Il estime qu’il conviendra de compléter à moyen terme les dispositions du droit fédéral régissant non seulement la collecte de données biométriques telles que les visages ou les voix, mais aussi leur analyse et leur reconnaissance automatisées.

La liste des exceptions à la loi sur la transparence s’allonge

Après la phase de la pandémie de coronavirus marquée par des décisions relevant du droit de nécessité et après la mise en place du mécanisme de sauvetage du secteur de l’électricité, le Conseil fédéral a, en l’espace de quelques mois, soustrait une nouvelle fois à la loi sur la transparence des activités de l’administration en recourant à une ordonnance de nécessité pour sauver Credit Suisse. L’exclusion - par le recours au droit de nécessité - de droits d’accès des citoyens garantis par la loi sur la transparence soulève des questions juridiques de fond, ce qui a poussé le PFPDT à publier, en même temps que le rapport d’activités, une liste de toutes les exceptions prévues par des lois spé-ciales. Cette liste est désormais disponible sur notre site Internet.


Information destinée aux journalistes :

Le Préposé, M. Adrian Lobsiger, et sa suppléante, Mme Florence Henguely, se tiennent à votre disposition pour des interviews. Dans le souci de faciliter la coordination, nous vous prions d’adresser vos demandes, si possible avant la conférence de presse, à l’adresse suivante : info@edoeb.admin.ch.


Adresse pour l'envoi de questions

Préposé fédéral à la protection des données et à la transparence (PFPDT), Tél. +41 58 464 94 10, info@edoeb.admin.ch



Auteur

Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html

https://www.admin.ch/content/gov/fr/accueil/documentation/communiques.msg-id-96037.html