Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a présenté son 23e rapport d’activité, qui marque le 10e anniversaire de la Loi fédéral sur la transparence. Si le changement de paradigme a eu lieu en 2006, on constate encore de nombreuses réticences de l’administration à donner accès aux documents demandés. Sur le front de la protection des données, 2016 est l’année de l’adoption du Règlement général de protection des données de l’UE et de la révision de la Convention 108 du Conseil de l’Europe.
Pour le PFPDT, la révision en cours de la Loi sur la protection des données (LPD), dont l’avant-projet sera présenté prochainement, doit permettre à tout un chacun de garder et d’exercer effectivement la maîtrise sur les données qui le concerne, notamment par l’introduction d’une action collective, le renversement du fardeau de la preuve, une responsabilité objective du fait du traitement et des obligations supplémentaires pour les responsables de traitement (annonce des violations de données, évaluation des risques, etc.). Des sanctions dissuasives doivent aussi être introduites.
Dans son bilan, le PFPDT a mis en évidence quatre points d’inquiétude particuliers :
- L’utilisation du numéro AVS comme identifiant unique universel au lieu de numéros sectoriels comme pour le dossier électronique du patient ;
- L’absence de réponse ou la réponse insatisfaisante des maîtres de fichiers aux personnes qui demande les données les concernant ;
- Le recours à la vidéosurveillance souvent de manière disproportionnée, sans véritable justification et dans le non-respect des règles de transparence ;
- Les développements technologiques qui permettent de tracer les personnes, d’établir des profils de comportement et d’avoir un suivi constant notamment de toutes leurs activités au travers des applications pour téléphones intelligents ou d’objets connectés.
Les CFF dans le viseur
Parmi les dossiers traités cette année, le PFPDT s’est penché sur deux dossiers concernant les CFF, soit le SwissPass dont nous avons déjà parlé et l’accès gratuit au wifi dans certaines gares. Les CFF ont accepté la plupart des recommandations, notamment celles visant à limiter la conservation des données, à adapter les conditions générales aux traitements réellement effectués (les conditions générales permettaient d’effectuer plus de traitements que ce qui avait réellement lieu) et prévoir une procédure écrite pour répondre aux demandes de traitement. En revanche, les CFF ont refusé de ne pas journaliser les «adresses IP de destination» et «ports de destination», la conservation de ces données étant apparemment fortement conseillée par le Service de surveillance de la correspondance postale et des télécommunications. Une telle conservation n’est pourtant pas exigée par la LSCPT.
Le sport, encore
Le PFPDT s’est aussi prononcé sur un projet de la Swiss Football League d’accompagner et filmer en secret des groupes de supporters lors de matchs à l’extérieur afin d’obtenir des preuves en cas de débordements. Il considère que de tels enregistrements doivent avoir lieu sur la base d’un mandat policier, ou alors être strictement limités à la survenance d’incidents. On peut s’étonner que le PFPDT n’ait pas exigé aussi une information préalable générale.
Quant au contrôle de la validité des abonnements de ski sur la base d’un enregistrement de photos des détenteurs, il porte une atteinte qui ne peut être justifiée que pour les abonnements de valeur élevée (forfait hebdomadaire au minimum). Une information claire doit être affichée au tourniquet (pour que toutes les personnes dont les photos sont enregistrées soient informées). Une conservation des images en l’absence d’abus n’est pas justifiée.
Une plainte pénale et deux procédures devant le TAF
Face au refus de collaborer d’un maître de fichier dans le cadre d’une procédure d’établissement des faits, le PFPDT a déposé une plainte pénale. Il s’agit d’une des rares infractions pénales contenues dans la LPD. Le maître du fichier a finalement transmis les documents demandés et le PFPDT a transmis à l’autorité compétente en matière de poursuite pénale une déclaration de désintérêt qui a conduit au classement de la procédure. Il aurait néanmoins été intéressant d’avoir une décision au fond.
Le PFPDT a porté deux affaires devant le Tribunal administratif fédéral. La première concerne un commerçant d’adresses qui n’a pas donné suite à des demandes d’accès et d’effacement et qui n’a pas suivi les recommandations du PFPDT. La seconde concerne l’agence de renseignements économiques Moneyhouse. Les recommandations du PFPDT visaient à obliger Moneyhouse à vérifier davantage l’exactitude des données de solvabilité traitées, à limiter les possibilités de recherches conformément à la pratique du registre du commerce et surtout le plus traiter de profils de personnalité sans l’autorisation des personnes concernées. Cette décision est très attendue car elle devrait permettre de clarifier la notion de profil de personnalité.
Encore quelques précisions
Le représentant légal peut exercer le droit d’accès à la place de la personne mineure et incapable de discernement. Indépendamment de la personne qui a la garde de l’enfant, les deux parents titulaires de l’autorité parentale peuvent faire valoir ce droit d’accès. La situation est différente si certaines informations ne peuvent plus être confiées à l’un des parents afin de protéger l’enfant, auquel cas il faudra s’en remettre à la décision d’un tribunal ou de l’autorité de protection de l’enfant et de l’adulte (APEA).
On retiendra encore les éléments suivants tirés des différentes prises de positions rendues durant l’année :
- L’élaboration du rapport concernant Windows 10 est toujours en cours.
- Le numéro de châssis (VIN ou vehicle identification number) est une donnée personnelle au sens de la LPD.
- Les mesures d’identification et de surveillance prévues dans le projet de révision de la LDA sont problématiques sous l’angle de la protection des données.
- Postfinance ne peut pas faire dépendre l’accès aux prestations de paiement de l’acceptation par ses clients de l’outil d’analyse e-cockpit ou de consentement à l’envoi de publicités ciblées de tiers.
- L’absence de réaction d’un client à de nouvelles conditions générales n’est pas un consentement explicite suffisant pour traiter un profil de personnalité.
- La participation (exceptionnelle) aux frais générés par la réponse au droit d’accès ne peut pas dépasser 300.- comme le précise l’OLPD, même si de plus en plus de sociétés tentent de facturer des montants supérieurs.
- Le Safe Harbor et des garanties contractuelles pour l’échange de données avec les États-Unis ne permettent pas d’empêcher un accès disproportionné des autorités américaines à des données à caractère personnel. Dans l’attente d’un solution politique, le PFPDT demande de renforcer l’information des personnes concernées et éviter de satisfaire aux demandes d’accès des autorités américaines (nous en avions déjà parlé).