Préposé à la protection des données et transparence Jura-Neuchâtel

Rapport 2016

Protection des données et transparence

Le Grand Conseil neuchâtelois a approuvé le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2016 (PV de la séance du 27 juin 2017 à 13h30).

Le Parlement jurassien a approuvé le rapport par 54 voix, 0 non et 1 absentation, lors de sa séance du 31 mai 2017 (voir détails). Débat et votes publiés dans le Journal des débats n° 8, du 31 mai 2017, pages 14 et 15, point 7.

Avant-propos

La quatrième année d’activité du préposé à la protection des données et à la transparence a été marquée par une nouvelle croissance à deux chiffres des dossiers ouverts durant l’année, soit 14.2 % (41 % depuis la création de l’autorité). Le nombre de dossiers classés a aussi sensiblement augmenté (31 %). Il a été classé une dizaine de dossiers de plus que ceux ouverts, mais les délais de traitement des dossiers restent néanmoins presque exclusivement dépendants des parties concernées et non pas du PPDT.

L’Union européenne a adopté en 2016 de nouvelles règles en matière de protection des données et le Conseil de l’Europe est sur le point d’adopter une révision d’un protocole de la Convention européenne des droits de l’Homme (CEDH). Ces changements imposent des adaptations du droit fédéral et cantonal par l’intermédiaire des engagements pris par la Confédération dans le cadre des accords bilatéraux (acquis Schengen) et de la signature de la CEDH. La CPDT-JUNE devra être révisée d’ici l’été 2018.

Afin d’améliorer la sensibilisation en matière de protection des données et de transparence, le site www.ppdt-june.ch a intégré la bande dessinée genevoise destinée tant aux citoyens qu’aux autorités.

La Commission de la protection des données et de la transparence ainsi que la Cour de droit public neuchâteloise ont rendu chacune une décision en matière de transparence. La première a admis l’accès à un cahier des charges pour l’installation d’éoliennes et la seconde, sur un recours du PPDT, l’accès à une convention de départ d’un cadre de l’administration. L’année 2016 a d’ailleurs été marquée par plusieurs décisions en Suisse condamnant les autorités à autoriser l’accès à des documents officiels. La Cour européenne des droits de l’Homme a même admis que la garantie de la liberté d’expression constituait un droit fondamental à l’accès aux documents officiels. Cette décision aura un impact non négligeable dans les futures décisions qui devront apprécier le caractère prépondérant de l’intérêt public à l’accès d’un document officiel.

Le PPDT regrette qu’une commune jurassienne ait indiqué dans un rapport à l’appui d’un projet de loi que le PPDT avait préavisé favorablement, alors qu’il n’avait jamais été préalablement consulté. Le problème serait venu d’une erreur de communication au sein des autorités et non pas d’une volonté crasse et délibérée de contourner une obligation imposée par la CPDT-JUNE. Une commune neuchâteloise a, quant elle, eu la malheureuse initiative de faire passer un règlement sans le faire préaviser par le PPDT, alors qu’elle avait été rendue préalablement attentive à cette obligation. Il lui a été demandé d’adapter son projet aux exigences de la CPDT-JUNE et finalement le projet de vidéosurveillance a été abandonné.

Quant au quotidien du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch.

Vingt-quatre surveillances de la gestion des données personnelles ont également été entreprises. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. Aucune surveillance n’a dû faire pour l’instant l’objet d’une recommandation contraignante. À relever que le Service des contributions neuchâtelois a fait l’objet d’un audit global des traitements de données personnelles (sans lien avec l’affaire pénale de fraude parue dans la presse en février 2017). Il n’a pas été constaté de manquements graves, mais il a néanmoins été demandé quelques modifications afin de diminuer certains risques d’atteintes et ainsi assurer une meilleure protection des données. En collaboration avec le Service de la justice neuchâtelois, diverses mesures ont été mises en œuvre afin que la base de données des personnes (BDP) et le Registre du contrôle des habitants respectent pleinement les exigences de la CPDT-JUNE.

Un accent particulier a été mis sur la surveillance de l’utilisation du Système d’Information Schengen (SIS II). Mais avant d’effectuer de nouveaux contrôles sur le terrain, il a été décidé de faire un état des lieux. Bien qu’il ait mobilisé beaucoup de temps, il en est ressorti des informations très utiles pour agir plus efficacement par la suite. Notamment que seuls 41 % des utilisateurs (184 sur un peu moins de 450) connaissaient l’existence du PPDT et que moins de 15 % avaient déjà consulté le site internet d’information. Bien évidemment, des mesures sont et vont être mises en place pour améliorer la situation.

Par ailleurs, six nouvelles requêtes de conciliation ont été réceptionnées, dont trois ont été retirées, une s'est conclue par une conciliation et une par un échec, et une est devenue sans objet; aucune ne reste donc pendante mais la conciliation en protection des données qui a échoué a fait l'objet d'une transmission à la Commission de la protection des données et de la transparence.

Enfin, en 2016 il a été mis l’accent sur la sensibilisation aux exigences formelles nécessaires aux installations de vidéosurveillance. Elle commence gentiment à porter ses fruits, mais elle est encore très souvent comprise comme un encrassement supplémentaire des activités métiers. Peut-être faudra-t-il une augmentation de la remise en cause de la légalité des enregistrements dans le cadre des procédures pénales ouvertes contre des délinquants, voire civiles, pour que les formalités exigées soient mieux accueillies.

Autorités

Base légale

La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a  institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une commission de la protection des données et de la transparence (CPDT).

Tâches du titulaire

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales1, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

  • Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.

  • Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.

  • Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

  • Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.

  • Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.

  • Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).

  • Saisir la CPDT lorsque la CPDT-JUNE le lui permet.

  • Tenir le registre public des fichiers.

  • Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Organisation

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100 % et il bénéficie d'une collaboratrice administrative travaillant à 60%.

Activités principales

Promotion de la protection des données et de la transparence

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé régulièrement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoires est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné quatorze formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de quatorze passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Avis, prises de position, conseils et assistance

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

Plus de la moitié de l'activité du PPDT consistent à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir  Statistiques).

En 2016, le PPDT a publié trente-neuf avis et prises de position en matière de protection des données et quatre prises de position en matière de transparence. Un avis concerne à la fois la protection des données et la transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

  • Les communications spontanées utiles pour l'accomplissement des tâches de l'entité qui en est l'auteure sont autorisées si elles bénéficient d'une base légale expresse et qu'elles respectent les principes généraux de la protection des données. Mais si la communication spontanée est utile à l'accomplissement des tâches du service à qui elle est adressée, il suffit que ces dernières figurent clairement dans une base légale (formelle pour les données sensibles) et que les principes généraux de la protection des données, ainsi que les conditions des articles 26 (notamment l'absence de secret fiscal, professionnel, d'enquête (73 CPP), ou de fonction qualifié) et 30 CPDT-JUNE soient respectés. Plus les données sont sensibles, plus le degré de précision de la base légale est élevé. [lire la suite…]

  • En plus des entités énumérées aux lettres a à c de l'article 2 CPDT-JUNE, sont soumises à la CPDT-JUNE les personnes physiques et morales et les groupements de personnes de droit privé qui sont obligés par la Constitution, une loi ou par délégation (mandat de prestation), à effectuer durablement une activité, et non pas se limiter à la tolérer ou à s'en abstenir. De même que les institutions, établissements ou sociétés de droit privé ou de droit public cantonal dans lesquels une ou plusieurs entités précitées aux lettre a à c disposent ensemble au moins d'une participation majoritaire et qu'elles accomplissent une tâche dévolue à l'État/aux Communes. Les entités qui n'entrent pas dans l'une de ces catégories sont soumises à la loi fédérale sur la protection des données (LPD; RS 235.1) et à la surveillance du préposé fédéral à la protection des données et à la transparence. . [lire la suite…]

  • Les membres du syndicat qui souhaiteraient informer les parents à propos d'une éventuelle grève ne sont pas en droit d'utiliser les données figurant dans CLOEE ou provenant d'une liste de classe quelconque. En revanche, ces sources d'adresses sont exploitables s'il s'agit uniquement de communiquer les éléments permettant aux parents d'organiser la prise en charge de leur enfant. [lire la suite…]

  • L'utilisation de WhatsApp est déconseillée, mais les enseignants peuvent communiquer avec les élèves par ce service si l'ensemble de la classe l'utilise déjà, ou que ceux qui ne l'ont pas encore ne sont pas poussés à le faire. Dans tous les cas, il serait bien que l'utilisation soit préalablement accompagnée d'informations à propos des dangers de tels services au niveau de la protection des données personnelles. [lire la suite…]

  • La CPDT-JUNE ne permet pas la communication de listes relatives à des données sensibles. [lire la suite…]

  • Les traitements de données personnelles, dans le cadre d'enquêtes pénales, par l'ensemble de NOMAD, y compris les apprentis, étudiants, élèves, stagiaires, ainsi que les membres de la direction générale et les cadres supérieurs (ci-après le personnel), sont soumis à certaines conditions qui peuvent varier selon les cas de figure. Les principaux sont développés ci-après. [lire la suite…]

  • L'enregistrement du numéro de pièces d'identité par les bibliothèques publiques n'est pas conforme aux règles sur la protection des données. [lire la suite…]

  • Les communications de données personnelles de clients/patients/résidents par NOMAD à des partenaires doivent obtenir préalablement le consentement des personnes concernées selon les modalités suivantes. [lire la suite…]

  • Le respect du principe de la finalité exclut l'utilisation de données à d'autres fins que celle prévue dans la base légale en vigueur. [lire la suite…]

  • Les sociétés de distribution d'énergie, même si elles appartiennent à une collectivité publique, ne sont pas en droit d'obtenir une mise à jour des adresses des clients auprès du registre du contrôle des habitants. Celles qui distribuent l'eau peuvent obtenir des données dudit registre à certaines conditions. [lire la suite…]

  • Les services s'occupant de l'énergie ne sont pas en droit de récolter des données auprès du service des contributions pour déterminer les performances énergétiques des bâtiments. [lire la suite…]

  • Les entités sont en droit de livrer les données personnelles nécessaires pour que les sous-traitants de l'OFROU effectuent les contrôles prévus par la loi. [lire la suite…]

 

Sous ces liens, se trouve l'ensemble des Avis et Prises de position du PPDT 2016.

AVIS PUBLIES EN MATIERE DE TRANSPARENCE

Aucun avis n’a été publié dans le domaine de la transparence en 2016, mais sous ce lien, se trouvent les quatre Prises de position du PPDT 2016.

Procédures législatives

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté vingt-six fois en 2016.

  

PROJETS SOUMIS AU PPDT

  • Projet de modification de l'ordonnance concernant le contrôle des habitants.

  • Projet de Convention de fusion des Communes de Haute-Ajoie et Rocourt.

  • Projet de Convention de fusion des Communes de Corban et Val Terbi.

  • Projet de modification de l'ordonnance sur l'action sociale (RSJU 850.111).

  • Projet de modification de l'ordonnance concernant le contrôle des habitants (RSJU 142.111).

  • Projet de règlement communal type pour la vidéosurveillance.


  

PROJETS SOUMIS AU PPDT

  • Projet d'arrêté autorisant l'association Agriviva à obtenir une liste de données.

  • Projet de règlement d'exécution de la loi sur la publication des actes officiels (RELPAO).

  • Projet de révision totale de la loi sur le droit de cité neuchâtelois (LDCN).

  • Projet de règlement d'exécution de la loi sur la prostitution et la pornographie RELProst), articles 10 et 13.

  • Projet de loi portant modification de la loi concernant l'harmonisation des registres officiels de personnes et le contrôle des habitants (LHRCH), article 55f.

  • Projet de loi modifiant la loi sur les mines et les carrières (LMiCa, exploitation durable du sous-sol).

  • Projet de loi sur la base de données des établissements, entreprises et entités du canton de Neuchâtel (LBDEEE).

  • Projet de loi sur la prostitution et la pornographie (LProst; RSN 941.70).

  • Projet de modification de la loi sur l'Université de Neuchâtel (LUNE; RSN 416.10), art. 94 à 97.

  • Projet d'arrêté portant modification du règlement d'exécution de la loi concernant la création d'un fonds pour la formation et le perfectionnement professionnels (RFFPP; RSN 414.111.0), art.18a.

  • Projet de loi portant modification de la loi sur le fonds pour la formation et le perfectionnement professionnels (LFFPP, RSN 414.111), art. 15bis.

  • Projet de règlement d'exécution de la loi sur la statistique cantonale (RELStat, RSN 150.60).

  • Projet de loi sur l'exécution des peines et des mesures pour les personnes adultes (LPMPA, RSN 351.0).

  • Projet de loi sur la publication des actes officiels (LPAO; RSN 150.20).

  • Projet de modification de la loi sur l'emploi et l'assurance-chômage (LEmpl; RSN 813.10), art. 34bis à quinqies et 47 à 48.

  • Avant-projet de loi sur l'enfance et la jeunesse (LEJ).

  • Projet de loi sur la constitution d'une société anonyme.

  • Projet de modification de la loi sur la préservation des bâtiments (LAB; RSN 863.10), art. 44.

  • Projet de modification de la loi sur les contributions directes (LCDir; RSN 631.0), art. 178bis et 178ter.

  • DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (2016.1394).

Vidéosurveillance

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.

BASES LÉGALES ACCEPTÉES EN 2016

  • Plusieurs zones de surveillances dans la Commune de Haute-Sorne. 

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2016

  • Plusieurs poses de vidéosurveillances dans la Commune de Delémont.                       

PROJETS SOUMIS EN 2016 ET EN COURS

  • Aucun projet en cours.

BASES LÉGALES ACCEPTÉES EN 2016

  • Filmer les interventions des sapeurs-pompiers.

  • Lieux de manifestations sportives.

  • Intérieurs et abords des bâtiments de l'université.

  • Établissements de détention.

  • Vidéosurveillance communale du Val-de-Ruz.

  • Secteur des documents d'identité du service de la justice.

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2016

  • Aucune pose de vidéosurveillance acceptée en 2016.

PROJETS SOUMIS EN 2016 ET EN COURS

  • Déchetterie intercommunale : vidéosurveillance et cartes pour accéder à la déchetterie, en cours.

  • Surveillance de l'entrée d'un bâtiment de soins, par visiophone, en cours.

Procédures de conciliation

La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci; lorsque la conciliation échoue, la cause peut être transmise à la CPDT pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les requêtes terminées en 2016. Aucune requête ouverte en 2016 n'est en cours de traitement; une a fait l'objet de transmission à la Commission de la protection des données.

CONCILIATIONS

En matière de protection des données

  • Demande des coordonnées d'éventuels héritiers ou du mandataire chargé d'une succession par une gérance de PPE. Requête retirée.

  • Une personne demande de constater le caractère illicite d'une communication de données personnelles. Échec de la conciliation, la Commission de la protection des données et de la transparence a été saisie.

  • Demande de rectification d'une information détenue par un service d'aide sociale. Requête retirée.

En matière de transparence

  • Demande d'un document officiel non caviardé au service de l'économie et de l'emploi. Litige devenu sans objet.

  • Demande d'accès par le service juridique à un dossier pénal clôturé. Requête retirée.

  • Demande d'accès à des documents d'inspection d'une entreprise utilisant des produits chimiques de galvanoplastie. Requête retirée.

  • Demande d'accès à une convention de départ d'un cadre de l'État de Neuchâtel. Conciliation aboutie.

  • Demande d'accès à un document officiel émis par le service des communes. Conciliation aboutie.

  • Demande d'accès à la décision qui a mis fin à une procédure de demande de permis de construire à une commune jurassienne. Requête retirée.

  • Demande d'accès à un document technique servant à évaluer les fonctions d'un service jurassien. Requête retirée.

Surveillances

Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Au vu de l’augmentation globale des dossiers, le nombre de surveillance a été restreint par rapport 2015. Seules vingt-quatre surveillances ont été ouvertes en 2016. Douze sont toujours en cours, toutes années confondues:

SURVEILLANCES

  • Le PPDT a dû demander au SRH NE de prendre des mesures pour améliorer la protection de la personnalité des candidats soumis à un assessment, parce que ce service a choisi pour ce faire d’utiliser une web application (PerformanSE) hébergée en France, sans s’assurer au préalable que la CPDT-JUNE était respectée. Alors que le prénom et une initiale du nom figuraient précédemment dans l’application, aucun élément de l'identité des candidats n'y figure désormais. Le SRH a également été rendu attentif qu’une modalité administrative imposée par le droit français n’était pas respectée et des conséquences qui pourraient s’en suivre. Le PPDT regrette les difficultés rencontrées dans ce dossier, imputables essentiellement au fournisseur de l’application, pour obtenir les renseignements nécessaires pour effectuer sa surveillance En collaboration avec le service informatique du Jura (SDI), il a été mis en place un outil permettant au PPDT de connaître les projets informatiques impliquant le traitement de données personnelles.

  • Suite à un article de presse relevant qu'une école valaisanne publiait des données d'élèves sur des réseaux sociaux, il a été vérifié auprès de l'ensemble des directions d'école du secondaire I et II, jurassiennes et neuchâteloises, si de telles pratiques existaient. Il ressort de la vérification qu'en principe les enseignants ont été sensibilisés à la problématique et que les publications en cause ne devraient pas avoir eu lieu. Les personnes intéressées peuvent se rappeler les principes à respecter en consultant ce lien. En revanche, il a néanmoins été constaté que l'utilisation de WhatsApp n'était pas rare. Or, ce service pose autant de problèmes que les réseaux sociaux du point de vue de la protection des données. C'est pourquoi il a été rédigé un avis sur cette application dont le lien a été envoyé à l'ensemble des directions sollicitées.

  • Microsoft a affirmé dans des offres que certains de leurs produits destinés aux administrations publiques étaient parfaitement conformes aux règles sur la protection des données et validés par le Préposé fédéral à la protection des données. Cette affirmation a fait l'objet d'un contrôle et il s'est avéré que le PFPDT ne s'est prononcé que pour les produits destinés aux personnes privées.

  • L'enregistrement, par Hôpital neuchâtelois, de certaines patientes étrangères mariées sous leur nom de jeune fille, est conforme aux règles sur les registres d'État civil et du contrôle des habitants.

  • Il a été demandé que les webcams de Tourisme neuchâtelois évitent au maximum la récolte et le stockage de données personnelles.

  • Un sondage a été effectué afin de se faire une idée du degré d'information et de sensibilisation nécessaire pour les utilisateurs du Système d'information Schengen II (SIS II). Les résultats ont fait l'objet d'un rapport spécifique.

  • Une commune peu coopérative a adopté un règlement de vidéosurveillance sans le soumettre préalablement au PPDT. Compte tenu que les exigences des règles de protection des données n'étaient pas pleinement respectées, il a été demandé des corrections. Le projet a finalement été abandonné.

  • Il a été demandé au Ministère public de s'assurer que le contenu des ordonnances pénales actuelles était bel et bien conforme au "nouveau" Code de procédure pénal fédéral.

  • Il a été vérifié que le projet de coopération avec le Canton de Fribourg pour le guichet unique ne comprenait pas de traitements de données personnelles.

  • Il a été vérifié que les données des messageries neuchâteloises étaient toujours stockées dans le canton, malgré l'arrivée d'Outlook 2016 server.

  • Suite à la communication d'un fichier d'adresses à une stagiaire étudiant à la HES, il a été demandé de rigoureusement effacer le fichier et les données personnelles sur tous les supports, excepté celles des personnes ayant donné leur consentement au traitement.

  • Le PPDT a dû rappeler à la Police neuchâteloise que les projets de loi concernant la protection des données devaient préalablement lui être soumis.

  • Suite au constat de l'absence de bases légales pour la vidéosurveillance à l'Université de Neuchâtel, la loi sur l'Université a été modifiée en conséquence.

  • Une entité paraétatique a été rendue attentive qu'il est illicite d'utiliser Google Education pour le traitement de données personnelles.

  • Vérification de la mise en place d'un règlement cantonal sur le registre des tumeurs. Il sera attendu l'arrivée du nouveau droit fédéral en la matière.

  • Il a été vérifié que deux entités quittant l'hébergement mis à disposition par le SDI ne stockent pas leurs données dans un cloud non conforme aux exigences de la protection des données

  • Une commune a mis hors service son système de vidéosurveillance suite au constat de l'absence de bases légales.

  • Suite au constat de l'absence de bases légales pour la vidéosurveillance dans une commune neuchâteloise, un projet de loi est en cours d'élaboration.

  • Suite au constat de l'absence de bases légales pour la vidéosurveillance dans les structures extrascolaires, il a été adopté un arrêté par le Conseil d'État.

  • Suite au constat de l'absence de bases légales pour la sous-traitance des impressions des services de l'État neuchâtelois, un projet a été soumis au Grand Conseil.

  • L'utilisation d'un keylogger par une école professionnelle n'étant pas conforme, il a été supprimé.

  • Il a été demandé que la publication dans une école de la liste d'anniversaires des élèves ne se fasse pas sans l'accord préalable de ces derniers.

  • Il a été demandé à la PONE d'éviter qu'apparaisse la mention "non-respect de la vitesse maximale autorisée"  dans l'entête visible sur l'enveloppe.

Recommandations

Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.

Une recommandation impose aux maîtres de fichiers de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.

Registre des fichiers

La version 1.0 de l’application permettant aux entités neuchâteloises de déclarer les fichiers est utilisable depuis la toute fin d’année 2014. Des entités neuchâteloises ont été invitées à déclarer leurs fichiers durant 2015. La phase de test de l’application et la mise en route s’avèrent plus difficiles que prévu. À cela s’ajoutent les incertitudes sur l’évolution de cette obligation en raison des changements du droit européen. C’est pourquoi, il n’a pas été mis un accent particulier sur ce registre en 2016.

Les premiers retours semblent montrer que la déclaration exige des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches. Deux fichiers sont désormais publiés.

Il a été pris la décision, pour des raisons de coût et d’efficacité, d’héberger le registre jurassien dans la même application que le neuchâtelois. Ainsi, les maîtres de fichiers neuchâtelois et jurassiens doivent passer par le Guichet unique neuchâtelois. Le public pourra accéder aux listes directement par l’intermédiaire du site du PPDT.

Collaborations

Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS II, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.

Depuis avril 2014, le PPDT a intégré le comité de privatim, association regroupant les préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a notamment pu cette année profiter des volumineux travaux préparatoires pour l’adaptation du droit cantonal aux nouvelles règles européennes.

Le PPDT est également membre du Groupe de travail Protection des données de l’Organisation d’accompagnement intercantonale de la Conférence des gouvernements cantonaux, qui a établi un guide à l’attention des cantons pour déterminer les révisions nécessaires des droits cantonaux, suite à l’adoption par la Suisse de la nouvelle directive européenne à propos de Schengen-Dublin.

Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles. Deux réunions ont eu lieu. Sous l’impulsion du PPDT, une plateforme d’échanges a été mise sur pied et est effective depuis le deuxième semestre 2014. Sur l’initiative du préposé valaisan, une base de données de sources juridiques spécifiques à la protection des données et à la transparence a été mise sur pied.

Comptes

Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.

Le budget 2016 a été bien respecté puisqu’il en ressort une économie de SFr. 29'213.-. Plus des trois-quarts des économies s’expliquent par la non utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité, du temps à disposition et de l’ampleur des dossiers rencontrés. Le petit quart restant est essentiellement dû à une budgétisation trop élevée des formations, de la littérature spécialisée et fournitures. Seul le montant des frais de déplacement a été légèrement sous-évalué.

       

Numéro de compte

Intitulé du compte

Budget 2016 (en SFr.)

Comptes 2016 (en SFr.)

115.3010.00

Traitements du personnel

177'300.00

 172'294.40

115.3050.00

Assurances sociales

11'100.00

10'901.95

115.3051.00

Caisse de pensions

14'900.00

16'165.80

115.3053.00

Assurances-accidents

 300.00

 332.55

115.3054.00

Cotisations allocations familiales

 5'000.00

4'910.40

115.3055.00

Cotisations patronales aux assurances ind. journalières

 1'700.00

 1'619.55

115.3090.00

Formation et perfectionnement du personnel

1'500.00

 690.00

115.3100.00

Fournitures de bureau

500.00

0.00

115.3103.00

Littérature spécialisée, Swisslex

4'000.00

3'132.55

115.3130.00

Prestations de services de tiers

 31'000.00

7'624.20

115.3160.00

Loyers

 12'000.00

 12'000.00

115.3170.00

Dédommagements, frais déplacem.

 4'000.00

4'415.20

115.3199.00

Autres charges d'exploitation

0.00

0.00

115.3910.00

Imp. int. pour prestations de services

 26'000.-

 26'000.00

115.4210.00

Émoluments administratifs

- 500.00

0.00

115.4611.00

Dédommagements des cantons

-205'000.00

-184’656.35

 

Total des charges

289'300.00

260'086.60

 

Part neuchâteloise (71%)

205'500.00

184'656.35

 

Part jurassienne (29%)

83'800.00

75'430.25

Statistiques

Les graphiques ci-après permettent de détailler les 402 dossiers ouverts en 2016.

Plus de la moitié de l'activité consistent à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence exclusivement est en augmentation par rapport à 2015 (+ 7) et se situe légèrement en dessus de la moyenne, alors qu’en matière de protection des données, il a diminué (-19). Les dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, ont sensiblement augmentés (+62).

L’augmentation globale de 50 dossiers en 2016 s’explique avant tout par celle de l’examen de projets de bases légales (+24), celle des collaborations intercantonales (+16) et celle de la gestion administrative de l’autorité (+8).

Les communes sont à l'origine d'environ 12 % des dossiers, chiffre légèrement en dessous de la moyenne des quatre dernières années (13.4 %).

Six nouvelles requêtes de conciliation ont été réceptionnées, dont trois ont été retirées, une s'est conclue par une conciliation, une par un échec, et une est devenue sans objet; aucune ne reste donc pendante mais la conciliation en protection des données qui a échoué a fait l'objet d'une transmission à la CPDT.

Le nombre d’ouvertures de dossiers est passé de 352 à 402 entre 2015 et 2016, soit une augmentation de 14.2 %. Le nombre de dossiers classés a lui aussi nettement progressé puisqu’il est passé de 313 à 413. Quoi qu’il en soit, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Fin 2016, environ 107 dossiers étaient dans l’attente de nouvelles ou de réponses, alors qu’ils étaient 133 à fin 2015. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.

La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.

Répartition des dossiers par matière et évolution annuelle

Répartition des dossiers par activité en protection des données

Répartition des dossiers par activité en transparence

Répartition des dossiers par activité commune à la transparence et la protection des données

Nombre de dossiers par initiateur et par année

Répartition des dossiers 2016 par initiateur

Moyens de saisie utilisés

Sujets des dossiers

Maîtres de fichiers concernés

Bilan

L’année écoulée a été marquée par une nouvelle augmentation substantielle des dossiers (+ 14.2 %). Ces augmentations non négligeables imposent une recherche permanente d’efficacité afin d’éviter d’être submergé et d’accumuler les retards. Malgré ces efforts, les surveillances souffrent quelque peu du volume conséquent des autres sollicitations.

Le registre des fichiers a peiné à « décoller » non seulement en raison de quelques problèmes techniques à résoudre, mais également à cause des incertitudes provoquées par les nouvelles règles européennes. Certaines modalités d’enregistrement d’un fichier pourraient changées. Or, il est douteux que les entités sollicitées soient très heureuses d’effectuer le travail deux fois en peu de temps. Par conséquent, il a été décidé de ne pas être trop actif dans ce dossier.

La réalisation d’un état des lieux auprès des utilisateurs (un peu moins de 450) du Système d’Information Schengen (SIS II) a été très riche en renseignement pour savoir où les efforts devront être portés à l’avenir, soit en matière de communication et de sensibilisation.

À relever que le premier trimestre 2017 laisse présager à nouveau une augmentation un peu plus faible que celle de 2016. Il est espéré que la mise sur pied d’un site aussi complet et accessible que possible réussisse à terme à stabiliser le nombre de sollicitations.

Quoi qu’il en soit, le volume des dossiers traités semble montrer un intérêt grandissant pour la protection des données et la transparence.

Comme chaque année, le PPDT cherche à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a été saisie qu’une fois en 2016 sur six requêtes traitées (deux fois sur neuf en 2015), la réalisation de cet objectif paraît rester sur le bon chemin.

Même s’ils ont déjà été signalés auparavant, les dossiers traités montrent qu'il faut rester particulièrement vigilant sur les sujets suivants, d'autant plus que certaines de ces problématiques deviennent "chroniques" :

  • L'absence de base légale, qui permettrait la pose de vidéosurveillance dans les entités paraétatiques. Ces dernières peinent à comprendre pourquoi les particuliers, les entreprises privées, les communes et les administrations réussissent à y recourir, mais pas elles. Le Canton de Neuchâtel a un projet non prioritaire de base légale pour régler cette problématique.

  • La sous-traitance de traitement de données devient un sujet toujours plus présent et délicat. Bon nombre d’entités souhaiteraient bénéficier d’outils « offerts » par les géants américains, malgré tous les risques en matière de respect de la personnalité des personnes concernées.

  • La communication par e-mail est devenue le standard, mais le respect de la confidentialité n'a malheureusement pas suivi l'évolution. Si les envois de courriels au sein du même réseau (RCJU ou ACN par exemple) sont sécurisés, il n'en va pas de même pour ceux envoyés entre deux réseaux (par exemple, administration cantonale jurassienne et certaines communes, administration cantonale et Confédération, …). En raison des coûts, voire de convivialité d’utilisation, la mise en place d'échanges d'e-mails chiffrés peine à voir le jour. L’examen de solutions dans les deux cantons est en cours, mais le principal frein est actuellement l’aspect des coûts.

Pour 2017 un seul objectif sera mis en priorité parce qu’il nécessitera beaucoup de temps : l’adaptation de la CPDT-JUNE au droit européen. Cette révision mobilisera certainement beaucoup de ressources cette année et la moitié de la prochaine.

Note :  

[1]    Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.

[Retour au texte]

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.