Rapport neuchâtelois 1999
Rapport de l'Autorité de surveillance instituée par la loi cantonale sur la Protection de la personnalité
Rapport d'avril 2000
Introduction
Quelques rappels historiques
Le 1er juillet 1986, la loi sur la protection de la personnalité (ci-après LCPP) est entrée en vigueur.
L'article 28 de cette loi prévoit la création d'une Autorité de surveillance, formée de trois personnes nommées par le Conseil d'Etat au début de chaque période législative, comprenant un juge de carrière qui la préside, un juriste et un spécialiste en informatique choisis tous deux en dehors de l'administration cantonale, et complétée par trois suppléants qui ont les mêmes qualités que les membres de l'Autorité de surveillance. Selon l'article 29 de la loi, cette Autorité de surveillance a pour tâches de donner son préavis dans les cas prévus par la loi, exercer les compétences qui lui sont conférées par la loi, contrôler périodiquement les installations, la gestion des données et leur utilisation, de même qu'ordonner d'office ou sur requête la rectification ou la suppression de données.
L'Autorité de surveillance a été constituée par arrêté du Conseil d'Etat du 6 octobre 1986. Elle a été tout d'abord présidée par le juge Bernard Schneider, puis Daniel Hirsch dès le 1er janvier 1990.
Pour des raisons diverses, notamment liées au fait que les interventions de l'Autorité de surveillance n'ont fréquemment été suivies d'aucun effet dans la pratique au sein des services de l’administration concernés, l'Autorité de surveillance est pratiquement restée "en veilleuse" depuis 1993 jusqu'au 1er janvier 1999.
Dans le cadre de discussions entre le Tribunal cantonal et le Conseil d'Etat, ce dernier a pris note des remarques concernant les importants problèmes de fonctionnement rencontrés par l'Autorité de surveillance, et il a donné l'assurance que l'Autorité serait désormais dotée des moyens nécessaires à l'exécution de ses tâches.
Par arrêté du Conseil d'Etat du 14 décembre 1998, Laurent Margot, président du Tribunal du district du Val-de-Travers, a été nommé président de l'Autorité de surveillance et M. Pierre Aubert, président du Tribunal du district de Neuchâtel, président suppléant de cette autorité.
Constitution de l'Autorité
Outre la nomination du président et du président suppléant (voir ci-dessus ch.1.1.), l'Autorité de surveillance a dû être complétée suite à des démissions. Elle est ainsi aujourd'hui composée de :
- Membres : Me Claire-Lise Oswald, avocate à Neuchâtel et M. Philippe Merz, doyen de la formation continue du CIFOM.
- Membre suppléant : M. Pierre-André Chardon, économiste auprès de PRASA.
Il manque toujours un juriste suppléant; le Conseil d'Etat en a été avisé.
1999 en bref
1999 a donc été une année de renouveau. Tout d'abord, l'Autorité de surveillance a dû être reconstituée (voir ci-dessus ch.1.2.), puis il s'est agi d'une part de permettre aux nouveaux membres de se familiariser avec la protection des données et de la personnalité, d'autre part de faire le point sur la protection des données dans le canton de Neuchâtel et sur les moyens de l'Autorité de surveillance (voir ci-dessous ch.2). L’Autorité a ainsi pu choisir la politique de ses interventions pour le reste de l’année (voir ci-dessous ch. 3), tout en menant diverses autres activités (voir ci-dessous ch.4).
Situation de la protection des données et des moyens de l'Autorité de surveillance en 1999
« Archives » de l'Autorité de surveillance
Dans un premier temps, il a été nécessaire de classer les "archives" de l'Autorité de surveillance qui ont été remises au nouveau président. C'est ainsi un travail de tri, de classification et de mise à jour qui a été effectué. Actuellement, tous les documents sont répartis dans des classeurs différents, classés par thème et par ordre chronologique. De surcroît, un répertoire des décisions et avis rendus par l'Autorité de surveillance, depuis sa création jusqu'au 31 décembre 1998, a été créé. Sa publication au RJN est envisagée.
Registre de déclarations de traitement de données
Selon la LCPP et son règlement d'exécution, le traitement de données doit faire l'objet d'une déclaration (art. 5 LCPP). Les déclarations de traitement de données émanant d'un service de l'administration cantonale ou de plusieurs services, administrations ou institutions du canton, ou de plusieurs communes intéressées à une même installation de traitement, sont adressées au Conseil d'Etat (art. 6 LCPP); elles sont adressées au Conseil communal lorsque les données n'intéressent qu'une seule commune (art. 6 al.2 LCPP). Les déclarations de traitement de données sont réunies dans un registre dont un exemplaire est tenu par l'Autorité de surveillance, un par la Chancellerie d'Etat et un par les communes en ce qui concerne les données les intéressant (art. 9 al.1 LCPP). Le registre est public et la liste des déclarations de traitement de données fait l'objet d'une publication dans la Feuille officielle (art. 9 al.2 et 3 LCPP). Les données qui ne répondent pas ou cessent de répondre aux critères de la loi doivent être supprimées, la suppression étant communiquée à l'autorité compétente et le registre des déclarations modifié en conséquence (art. 10 al.1 et 2 LCPP).
A ce jour, des publications ont été faites les 24 janvier 1992, 26 juin 1992, 13 janvier 1993, 25 juin 1993, 7 janvier 1994 et 11 janvier 1995. Depuis lors, plus aucune publication n'est intervenue.
Une trentaine de déclarations de traitement de données antérieures à 1996 n'ont pas encore fait l'objet d'une publication. Depuis 1996, seules deux déclarations ont été faites, en janvier 1998.
Le registre des déclarations de traitement de données qui est en mains de l'Autorité de surveillance est composé de 15 classeurs fédéraux, tous remplis de formulaires de déclaration de traitement de données. Quant à celui qui est tenu par la Chancellerie, il est composé de 6 classeurs. Les formulaires de déclaration de traitement de données qui se trouvent dans ces classeurs sont différents de ceux qui composent le registre de l'Autorité de surveillance.
L'Autorité de surveillance a donc dû constater que les règles de la LCPP relatives à ce registre et à l'obligation pour l'administration d'établir une déclaration de traitement de données, sont méconnues depuis plusieurs années.
Interventions de l'Autorité de surveillance
L'Autorité de surveillance peut contrôler périodiquement les installations, la gestion des données et leur utilisation (art. 29 al.1 lettre c LCPP); elle peut en outre ordonner d'office la rectification ou la suppression de données (art. 29 al.1 lettre d LCPP) et, finalement, adresser au Conseil d'Etat, en tout temps ou d'office, un rapport spécial (art. 29 al.2 LCPP).
Là encore, l'Autorité de surveillance n'a pas mis en œuvre ces prérogatives pendant plusieurs années. Elle est de la sorte tombée dans l'oubli pour de nombreux services de l'administration (ce qui peut peut-être également expliquer l'absence de déclarations de traitement de données depuis 1996).
POLITIQUE ADOPTEE PAR L'AUTORITE DE SURVEILLANCE POUR 1999
Après avoir fait le point sur la situation de la protection des données dans le canton de Neuchâtel et sur les moyens dont dispose l'Autorité de surveillance, cette dernière a tracé des lignes directrices de sa politique, à savoir:
Collaboration avec le Préposé fédéral à la protection des données et les Préposés des autres cantons
Le président de l'Autorité de surveillance a pris contact avec le Préposé fédéral à la protection des données. Il l'a rencontré à Berne et a visité son service. Il a ainsi pu faire connaissance de nombreuses personnes spécialisées en la matière, avec lesquelles une collaboration s'est mise sur pied. Le président de l'Autorité a également eu des contacts avec la conférence suisse des commissaires à la protection des données, par l'intermédiaire de sa présidente, la Préposée fribourgeoise à la protection des données, Mme Nouveau Stoffel. Là encore, une collaboration se dessine.
Remise à jour du Registre neuchâtelois de déclarations de traitement de données.
Comme cela a été relevé ci-dessus (ch.2.2) le registre de déclarations de traitement de données ne répond plus aux conditions posées par la loi. Il s'agit dès lors de le remettre à jour. L'Autorité de surveillance est d'avis qu'il convient de profiter de l'occasion pour procéder à l'informatisation de ce registre dont la tenue et la consultation sont actuellement difficiles.
Information
Après plusieurs années d'inactivité, l'Autorité de surveillance est devenue fort méconnue dans le public et l'administration. Elle entend y remédier de plusieurs manières. Tout d'abord, elle envisage de créer un site Internet, lequel mettrait à la disposition du public et de l'administration de nombreuses informations relatives à la protection des données (en comportant de plus des liens avec les autres sites suisses ou internationaux concernant la même matière) ; il pourrait en outre comporter le registre de déclarations de traitement de données, en permettant aussi à l'administration d'utiliser la voie informatique pour déclarer les traitements de données. L’Autorité espère qu’elle recevra les moyens financiers nécessaires à la création de ce site. Ensuite, l’Autorité envisage de s'adresser à toutes les instances soumises à la LCPP en leur distribuant une brochure leur rappelant l'existence de l'Autorité de surveillance et ses compétences, les droits et obligations en matière de protection de données (illustrés de cas pratiques), de même que le site Internet qui sera créé. Un projet de réseau de personnes de contact au sein des différents services de l'administration est de plus en voie d'élaboration au sein de l'Autorité de surveillance.
Contrôles
Au vu de l'oubli dans lequel l'Autorité de surveillance est tombée suite à son inactivité, il a été décidé de ne pas procéder en 1999 à des contrôles au sens de l'article 29 al.1 lettre c LCPP. Par contre, l'Autorité de surveillance a fait des visites dans le but d'une part de familiariser ses nouveaux membres avec le monde de la protection des données avec les installations utilisées par l'administration, d'autre part de rappeler aux services visités l'existence de l'Autorité de surveillance et de la réglementation en matière de protection des données. Le monde judiciaire a été choisi pour cette première campagne de visites. En effet, plusieurs membres de l'Autorité de surveillance connaissent déjà bien ce milieu. De plus, un nouveau système informatique, Juris, a été introduit ; l'Autorité de surveillance a ainsi pu examiner sa mise en œuvre. L'autorité a donc visité en 1999 le greffe des Juges d'instruction, le Tribunal du district de Boudry, le secrétariat du Ministère public, le Tribunal cantonal et l'Autorité régionale de conciliation. Après chaque visite, un rapport a été établi à l'attention des juges, greffiers et secrétaires concernés. La campagne se poursuit en 2000, notamment pour examiner l’utilisation du nouveau système Juris. Un rapport final sera rendu au Conseil d'Etat. Dans le cadre de ces visites, aucun problème n'a été constaté dans la gestion des données; par contre, des problèmes de sécurité des locaux ont été mis en évidence au sein de certaines autorités judiciaires ne disposant par exemple par de système d'alarme adéquat.
AUTRES ACTIVITES
Avis
Durant l'année 1999, l'Autorité de surveillance a été sollicitée à trois reprises pour exprimer son avis en matière de protection des données et de la personnalité. Le premier cas concernait une personne qui demandait à ne plus figurer dans la liste des détenteurs de véhicules à moteur publiée par le canton. Le deuxième se rapportait à une demande émanant de la police cantonale afin de pouvoir consulter des données auprès de l'administration des contributions. Dans un troisième cas, l'autorité a dû renseigner une commune de laquelle un parti sollicitait la liste des électeurs de l'étranger.
Renseignements téléphoniques
A quelques reprises également, l'Autorité de surveillance a donné des informations par téléphone, principalement à des communes qui souhaitaient connaître leurs droits et obligations en matière de protection des données et de la personnalité.
Surveillance du réseau informatique
Les différents services de l'administration cantonale sont intégrés dans un réseau informatique. Régulièrement, le président de l'Autorité de surveillance examine les nombreux dossiers qui se trouvent sur ce réseau et qui sont accessibles à tous les membres de l'administration cantonale, ou les dossiers qui ne peuvent être lus que par les autorités judiciaires. Cette surveillance a permis de mettre en évidence quelques cas où des fichiers étaient livrés sur ce réseau quand bien même ils comportaient des informations confidentielles. Le service concerné a ainsi été contacté, l'Autorité lui demandant de retirer ce fichier du réseau et d'examiner les mesures qui doivent être prises afin d'éviter qu'un tel problème ne se reproduise, tout en se tenant à sa disposition pour améliorer la situation ou le renseigner en matière de protection des données et de la personnalité. Le délégué aux étrangers et le service de l'assurance maladie ont été de la sorte contactés par l'Autorité de surveillance; ils ont tous deux pris rapidement les mesures qui s'imposaient.
Séances
Pour mener à bien son travail, l'Autorité de surveillance s'est réunie à sept reprises en 1999.
CONCLUSION
l'Autorité de surveillance constate que le travail qui lui incombe est très important. Or, ses moyens sont limités: Le président occupe, parallèlement à sa fonction au sein de l'Autorité, un poste de juge à temps complet et les membres de l'Autorité sont des "miliciens" qui ont également leur propre activité professionnelle, tandis que dans de nombreux cantons, des postes de travail sont attribués à la protection des données. Les moyens réduits que s'est donné le canton de Neuchâtel ont notamment pour conséquences que les interventions de l'Autorité de surveillance sont restreintes et que ses travaux ne peuvent avancer rapidement.
Indépendamment de ces problèmes, les membres de l'Autorité de surveillance apprécient la tâche intéressante qui est la leur et l’accomplissent avec plaisir.