26e rapport d’activités 2018/2019: La Suisse doit maintenir son niveau de protection des données
Berne, 18.06.2019 - Le PFPDT attend que le Conseil fédéral et le Parlement garantissent à la popula-tion suisse un niveau de protection des données toujours équivalent à celui de l’Europe par la signature prochaine de la convention 108 du Conseil de l’Europe et l’adoption rapide de la révision totale de la loi sur la protection des données. Il axe son activité de surveillance sur les autorités fédérales responsables de la sécurité et la société SwissSign. Dans le domaine de la loi sur la transparence, la consolidation amorcée l’année précédente se poursuit.
Sortir rapidement d’une période transitoire difficile
Le Conseil fédéral a transmis le message concernant la révision totale de la loi sur la protection des données en septembre 2017, démarrant ainsi le processus législatif. A ce jour, aucun des conseils n’a encore traité la loi, alors que le règlement général sur la protection des données (RGPD) est en vigueur en Europe depuis un an. La période transitoire qui court jusqu’à l’entrée en vigueur de la loi révisée s’annonce donc toujours aussi difficile. Les autorités de protection des données des Etats de l’EEE ont vu leurs effectifs croître et exercent leurs pouvoirs de décision et de sanction. Quant à lui, le PFPDT ne peut qu’adresser des recommandations aux entreprises et à la plupart des autorités fédérales, conformément à la loi sur la protection des données de 1992. Ses moyens sont restés pratiquement les mêmes depuis 2005, ce qui a conduit la Commission européenne à juger la densité de ses contrôles et sa dotation insuffisantes dans le cadre de l’évaluation Schengen en mars 2019. Au printemps 2019, la commission a entamé son évaluation générale du niveau de protection des données de la Suisse. Dans ce contexte, il serait souhaitable que le Conseil fédéral saisisse l’occasion de l’ouverture à la signature, depuis octobre 2018, de la convention pour la protection des personnes à l'égard du traitement automatisé des données personnelles (convention 108) modernisée, d’autant plus que la Commission européenne a rappelé à plusieurs reprises que la ratification de cette convention actualisée était déterminante dans sa décision d’adéquation.
La loi sur la protection des données Schengen renforce la surveillance sur les autorités fédérales chargées de la sécurité
La loi sur la protection des données Schengen (LPDS) est entrée en vigueur le 1er mars 2019. Elle règle le traitement des données personnelles effectué dans le domaine de la police et confère de nouvelles tâches et compétences au PFPDT. Le préposé attend désormais du Conseil fédéral qu'il mette à sa disposition des moyens en personnel afin qu'il puisse faire de la surveillance des autorités fédérales chargées de la sécurité une priorité.
Dans ce contexte, le PFPDT observe la tendance, en hausse au niveau mondial, des autorités chargées de la sécurité à recourir à des technologies telles que le profilage d’ADN, la reconnaissance faciale et l’empreinte vocale pour le traitement des données biométriques. Cette tendance appelle des bases légales spécifiques et proportionnées.
A cet égard, le projet de loi fédérale sur les mesures policières de lutte contre le terrorisme (MPT) n’est pas un exemple à suivre. Faute de concrétiser suffisamment les traitements de données, cette loi rate son objectif et ne fait qu’aggraver le fatras de dispositions spéciales qui règlent les activités de police au niveau fédéral.
E-ID et la société SwissSign
À l’occasion de l'audition devant les Commissions des affaires juridiques des deux conseils, le PFPDT a précisé qu'il avait pour tâche d'assurer le niveau de protection des données le plus élevé possible, indépendamment de la décision politique en faveur d'une solution purement étatique ou mixte (Etat – secteur privé). Il a également demandé des améliorations ponctuelles de la loi e-ID. Le Conseil national et le Conseil des Etats en ont tenu compte en inscrivant dans la loi que l’autorité de reconnaissance doit consulter le PFPDT avant de reconnaître un fournisseur d’identité. Le PFPDT a en outre insisté pour que le message précise que l’e-ID ne doit être utilisée que pour les transactions exigeant une identification sûre. Par contre pour les nombreuses transactions en ligne ou achats de services où cela n'est pas nécessaire, la loi e-ID ne doit pas créer de nouvelles obligations d'identification que ce soit dans le commerce analogique ou numérique. Les deux conseils ont modifié dans ce sens l’article de la loi relatif au but.
La société SwissSign est active dans un domaine où les risques en matière de protection des données sont élevés. Dans la perspective de sa surveillance, le PFPDT veillera à ce que le conseiller à la protection des données récemment nommé par l’entreprise mette en évidence, en toute transparence, les risques liés à l’utilisation de l’authentification unique (single sign-in) et à ce que l’entreprise maîtrise ces risques par des mesures de protection exemplaires et des investissements dans des technologies compatibles avec la protection des données, ne serait-ce que pour obtenir la reconnaissance en tant que fournisseur d’identité.
Toujours plus de transparence dans l’administration fédérale
Le PFPDT constate que l‘application de la loi sur la transparence (LTrans) par les autorités fédérales se consolide. Le nombre des accès complets accordés augmente parallèlement à celui des demandes, alors que le pourcentage des accès entièrement refusés baisse constamment depuis des années. En 2018, les demandes d’accès ont augmenté de 9,5 % par rapport à l’année précédente, s’élevant à 636 contre 581 en 2017.
Le PFPDT constate en outre que l’administration fédérale informe de plus en plus, ce qui est sans doute dû aux progrès réalisés dans l’application de la LTrans. Cette évolution, le nombre croissant de solutions à l’amiable et l’efficacité toujours plus grande des procédures de médiation, ont conduit le Conseil fédéral à renoncer à entreprendre une révision de la LTrans en mai 2019.
Le 26e rapport d’activités 2018/2019 du PFPDT, disponible en quatre langues, peut être consulté sous forme numérique à l’adresse www.edoeb.admin.ch.
Adresse pour l'envoi de questions
Service d’information du Préposé fédéral à la protection des données et à la transparence (PFPDT), tél. 058 464 94 10, info@edoeb.admin.ch
Liens
Auteur
Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html
