Rapport d‘activités 2016/2017 du PFPDT: Protection des données - accent sur les technologies conformes

Berne, 26.06.2017 - Le PFPDT exige que les applications du Big Data, l’intelligence artificielle et la robotique garantissent l’exercice du droit fondamental à l’autodétermination informationnelle et à la protection de la vie privée. Au cours de l’année sous revue, en sa qualité de Préposé à la transparence, il s’est employé à ce que diverses révisions de lois spéciales ne conduisent pas à des limitations supplémentaires de la loi sur la transparence.

Dans la société suisse, marquée par la démocratie directe et l’économie de marché, il existe un droit fondamental à la protection de la vie privée et à l’autodétermination informationnelle. Le Préposé exige que les applications du Big Data, l’intelligence artificielle et la robotique proposent, à côté de leurs buts commerciaux, étatiques ou scientifiques, des moyens d’exercer ce droit fondamental. Il est possible de rendre le traitement des données en ligne conviviale et transparent, de sorte que les utilisateurs soient en mesure de comprendre les choix qu’ils font et qu’ils puissent les modifier en tout temps.

Dans cette optique, le PFPDT a agi auprès de Microsoft pour que le système d’exploitation Windows 10 indique clairement, lors du processus d’installation, quelles données d’utilisateur sont traitées et de quelle manière. La version du logiciel lancée dans le monde entier en avril 2017 tient compte de la première partie des recommandations du PFPDT. La mise en œuvre de la deuxième partie est attendue pour l’automne 2017. Il sera dorénavant plus facile pour l’utilisateur de connaître quelles données sont fournies au système et les possibilités d’en limiter le traitement. La solution élaborée conjointement avec Microsoft sert à présent de ligne directrice pour les applications numériques indépendamment du secteur concerné.

Dans le courant du mois d’avril, le Tribunal administratif fédéral a rendu un arrêt décisif concernant la société de renseignements en ligne Moneyhouse. Il a confirmé l’avis du PFPDT, à savoir que, même si elles sont déjà publiques, des données personnelles ne peuvent pas être librement enregistrées, mises en lien ou reproduites. Moneyhouse ne peut dès lors traiter des données que si la personne concernée y a expressément consenti ou si le traitement est en lien direct avec la fourniture de renseignements sur la solvabilité. L’entreprise de télécommunications Swisscom a soumis ses nouvelles conditions générales au PFPDT et les a adaptées aux recommandations reçues en retour. Swisscom doit à présent informer ses clients avant de transmettre leurs données à la régie publicitaire Admeira, et doit leur permettre de s’y opposer.

Pendant l’année sous revue, le Préposé a clôturé ses contrôles de suivi auprès des CFF et de l’Union des transports publics. Il a pu constater que ces derniers ont mis en œuvre ses recommandations de janvier 2016 en matière d’effacement des données. Il a également fourni des conseils relatifs à divers projets en lien avec la mobilité, notamment aux services de billetteries électroniques sur la manière de fournir des informations claires et complètes aux clients et sur les limites juridiques en matière de transfert de données de positionnement à des tiers.

Depuis avril 2017, les entreprises américaines transmettant des données personnelles de la Suisse vers les États-Unis peuvent se soumettre au nouveau cadre juridique «Privacy Shield». Le Préposé a accompagné attentivement les négociations entre le SECO et les États-Unis sur ce dossier. Cette dernière année, il s’est aussi penché sur l’échange automatique de renseignements bancaires (EAR) et son extension à de nouveaux États (voir résumé du 24e rapport d’activité).

Principe de la transparence

Le nombre de demandes d’accès aux documents de l’administration fédérale a légèrement baissé en 2016 (551 contre 597 en 2015). Le nombre de demandes en médiation déposées auprès du Préposé a en revanche augmenté de 50 % (149 en 2016 contre 98 en 2015). En tout, ce dernier a clôt 159 procédures au cours de l’année 2016. Du fait que les demandes en médiation ne pouvaient que rarement être traitées dans le délai prévu de 30 jours, une procédure-test consistant à traiter les demandes en médiation de manière accélérée et par voie orale a été mise en place à partir du 1er janvier 2017 pour une période d’une année. Au travers de cette nouvelle méthode de travail, le PFPDT s’attend à une diminution de la durée des procédures de médiation et un nombre plus élevé des cas résolus à l’amiable. Le bilan des six premiers mois est positif.

Dans les domaines des marchés publics de la Confédération et de la surveillance des transports publics, le PFPDT est intervenu de manière à ce que les révisions des lois spéciales y relatives ne contournent pas davantage la loi sur la transparence. A ses yeux, cette dernière permet de tenir suffisamment compte des intérêts au maintien du secret et de la confidentialité.

Défis numériques et nouvelle loi sur la protection des données

En axant sa stratégie sur le phénomène de la numérisation, le Préposé est confronté à de nouveaux défis:

  • Les utilisateurs des technologies numériques attendent de lui qu’il les informe sur les risques des applications fréquemment utilisées et sur la manière de protéger leur vie privée.

  • Les projets des autorités fédérales et de l’économie en lien avec le Big Data impliquent pour le PFPDT un élargissement considérable de ses activités de surveillance et de conseil. Il doit notamment veiller à ce que les données personnelles traitées dans ce cadre soient anonymisées et qu’il soit impossible de ré-identifier ultérieurement les personnes concernées. 

  • Les applications de traitement de données personnelles sont de plus en plus rattachées au Cloud et se modifient en permanence, de sorte que le PFPDT doit mener rapidement ses contrôles à leur terme.

Afin de renforcer ses compétences dans le domaine du numérique et d’optimiser le peu de ressources dont il dispose, le Préposé a revu son organisation et a notamment pris les mesures internes suivantes: un réaménagement du laboratoire afin d’améliorer les tests des produits TIC et une accélération des procédures de médiation afin de réduire le nombre de dossiers pendants sans devoir transférer davantage de collaborateurs du domaine de la protection des données vers celui de la transparence.

Pour faire face à moyen terme aux défis évoqués, le Préposé a besoin d’instruments et de compétences supplémentaires ainsi que des moyens de les mettre en œuvre. Le projet de révision de la loi sur la protection des données va dans le bon sens. Dans son rapport explicatif, le Conseil fédéral prévoit que les ressources du PFPDT devraient «augmenter significativement». L’efficacité avec laquelle les tâches pourront être exécutées dépendra donc des ressources à sa disposition.

D’autres thèmes figurant dans le 24e Rapport d’activités sont présentés dans le résumé ci-joint.

Le Rapport 2016-2017 peut être consulté dans son intégralité sur le site du PFPDT www.lepréposé.ch, à la rubrique Documentation.


Adresse pour l'envoi de questions

Service d’information du Préposé fédéral à la protection des données et à la transparence, tél. 058 464 94 10, info@edoeb.admin.ch



Auteur

Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html

https://www.admin.ch/content/gov/fr/accueil/documentation/communiques.msg-id-67272.html