Le PFPDT a publié le 26 juin 2017 son 24e Rapport d’activités 2016/17, le premier pour le Préposé Adrian Lobsiger.
Parmi les principaux domaines traités, on peut relever la négociation et l’entrée en vigueur du Privacy Shield, les prises de positions sur l’avant-projet de révision de la LPD, les ordonnances d’application de la LSCPT révisée, la Stratégie «Suisse numérique», l’échange automatique de renseignements (EAR) sur les comptes financiers, l’avant-projet de loi sur l’identité électronique, la création d’un registre national d’adresses, et les ordonnance d’exécution de la loi fédérale sur le dossier électronique du patient.
Le PFPDT effectué des contrôles du traitement de données lors de candidatures auprès de l’administration fédérale, de la destruction et la suppression des données collectées dans le cadre du recensement de la population et des services de réception des données certifié (SRD) des assureurs-maladie. Il a aussi clôturé ses contrôles de suivi auprès des CFF et de l’Union des transports publics. Il est finalement intervenu auprès de Swisscom pour qu’elle adapte ses nouvelles conditions générales en vue de la communication de données à la régie publicitaire Admeira, ainsi qu’auprès de Microsoft pour que le système d’exploitation Windows 10 indique plus clairement, lors du processus d’installation, quelles données d’utilisateur sont traitées et de quelle manière.
En avril, le Tribunal administratif fédéral confirmé l’avis du PFPDT dans une affaire l’opposant à Moneyhouse. Même si elles sont déjà publiques, des données personnelles ne peuvent pas être librement enregistrées, mises en lien ou reproduites. Moneyhouse ne peut dès lors traiter des données que si la personne concernée y a expressément consenti ou si le traitement est en lien direct avec la fourniture de renseignements sur la solvabilité. Un recours sera probablement déposé contre cette décision et le Tribunal fédéral devra se prononcer en dernière instance.
En matière de transparence, 551 demandes d’accès aux données ont été adressées aux autorités fédérales en 2016. Dans 55% des cas, les autorités ont accordé aux requérants un accès complet, et dans 19% des cas un accès partiel. Dans 16% des cas le droit de consultation a été entièrement refusé. 149 demandes de médiations ont été adressées au PFPDT. A ce sujet, on relèvera que depuis janvier 2017, ces demandes sont traitées majoritairement au moyen de médiations orales en présence des personnes et des offices concernés, plutôt que par écrit. Le PFPDT s’est en outre prononcé dans plusieurs consultations contre des projets de loi visant à restreindre la transparence.
Les prochaines étapes
Considérant à juste titre que le grand public attend du PFPDT qu’il l’informe concernant les risques que comportent la société numérique et les applications les plus courantes, il a ouvert une hotline, renforcé ses ressources humaines en informatique et mis en place un laboratoire informatique rudimentaire, lui permettant de tester la conformité en termes de protection des données des applications pour smartphone les plus courantes et d’autres offres en ligne.
La révision de la LPD, dont nous avons déjà largement parlé, est un grand chantier de l’année. Le PFPDT a aussi commencé à pratiquer un accompagnement consultatif de grands projets impliquant le traitement d’importants volumes de données personnelles. Cet accompagnement des projets en amont correspond au principe de protection de la sphère privée dès la conception (privacy by design). Il doit être salué.
Le SECO mènera des évaluations annuelles «Privacy Shield» conclu en janvier 2017 entre la Suisse et les États-Unis. Il sera assisté du PFPDT, qui produira un rapport indépendant.
La motion Doris Fiala (16.3752) du Groupe radical libéral «Contre les doublons en matière de protection des données» demande au Conseil fédéral d’approcher l’Union européenne en vue d’un accord de coopération concernant l’application des législations respectives. Une certaine coordination entre le RGPD et la LPD serait bienvenue.
Encore quelques points intéressants
Le PFPDT s’est exprimé sur l’introduction de services de billetterie électronique par des entreprises de transport. Il a en particulier précisé que ces dernières ne sont en principe pas autorisées à communiquer à des tiers les données de déplacement. Ainsi, elles doivent transmettre à une société de carte de crédit chargée de la facturation uniquement le montant global, et non les informations sur les voyages ou les déplacements. De plus, si des données ne sont pas collectées uniquement pour le calcul du prix du billet et la facturation, mais également pour une utilisation à des fins de marketing, l’autorisation de la personne concernée est requise. Le traitement de profils de déplacement doit en outre être expressément autorisé par l’utilisateur (opt-in).
Dans le cadre d’une externalisation de la facturation dans le domaine médical, le PFPDT considère que la communication aux prestataires des données patients (tant administratives que médicales) nécessite le consentement exprès du patient et pour des raisons de preuve, le consentement doit absolument être donné par écrit.
Le PFPDT recommande depuis des années l’utilisation d’identifiants sectoriels plutôt qu’un numéro unique. Si cette solution a été retenue pour le numéro d’identification du patient, le registre foncier et le registre du commerce, le Conseil fédéral a néanmoins demandé au Département fédéral de l’intérieur d’élaborer un projet de loi destiné à faciliter l’utilisation systématique des numéros AVS par les autorités fédérales, cantonales et communales au-delà du domaine des assurances sociales. Ce changement de direction est dangereux car l’utilisation généralisée du numéro AVS en dehors du domaine des assurances sociales exposerait intégralement et simultanément toutes les administrations en cas de fuites et permet des recoupements de données importants sans justification. Ce numéro n’est au surplus pas sûr puisqu’il circule dans toutes les entreprises privées.