Rapport 2019
A télécharger
Table des matières
Publié en mars 2020 (dossier 2019.2806)
- AVANT-PROPOS
- AUTORITÉS
- Bases légales
- Tâches du titulaire
- Organisation
- ACTIVITÉS PRINCIPALES
- Promotions de la protection des données et de la transparence
- Avis, prises de positions, conseils et assistance
- Procédures législatives
- Vidéosurveillance
- Procédures de conciliation
- Surveillances
- Formations continues suivies
- Formations et conférences données
- Recommandations
- Registre des fichiers
- COLLABORATIONS
- COMPTES
- STATISTIQUES
- BILAN
Le Grand Conseil neuchâtelois a traité le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2019 (extrait du PV de la séance du 23 juin 2020 à 13h30).
Le Parlement jurassien a approuvé le rapport par la majorité des députés, lors de sa session du 24 juin 2020 (PV n° 93). Débat et votes publiés dans le Journal des débats (en cours).
Avant-propos
Si un chiffre devait être retenu pour l’activité 2019 du PPDT, c’est celui du nombre de dossiers relatifs aux traitements de données personnelles sous-traités. Si sa moyenne était de 9 entre 2015 et 2018, il s’est élevé à 29 l’an passé, comprenant même le domaine de la santé, soit trois fois plus. Ce constat soulève l’incontournable question de la maîtrise des données personnelles gérées et indirectement de l’utilisation des clouds, puisque la plupart du temps cet outil est privilégié pour sous-traiter.
Ce n’est pas un hasard si la Conférence suisse des préposés à la protection des données (privatim) a publié en décembre la mise à jour de son aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing. Très souvent (trop ?) les coûts sont mis en avant pour l’évaluation de tels projets.
Si un ton un brin provocateur pouvait être utilisé, il serait posé la question de savoir si les entités ont conscience que nos autoroutes de l’information sont susceptibles d’être aussi solides que certains ponts italiens, s’il n’est pas mis de sévères garde-fous en matière de sous-traitance. Mais comme beaucoup ne manqueront pas de soutenir que « comparaison n’est pas raison », il est seulement relevé objectivement que la présence de volumineuses conditions contractuelles relatives à la sécurité et à l’entretien d’infrastructures routières n’a pas empêché l’impensable. La tragédie génoise met en lumière la perte de contrôle et de maîtrise de l’État sur la sécurité.
Quelques chiffres publiés en janvier 2020 par l’entreprise McAffee, célèbre éditeur de logiciels, sont assez parlants et soutiennent cette remarque. 52 % d’entreprises utilisent un cloud dont des données ont déjà été volées ; une entreprise sur quatre a déjà vu ses données sensibles téléchargées depuis son nuage vers un appareil personnel non géré, sur lequel elle n’a aucune emprise.
Ces réflexions ont déjà fait un bout de chemin à la Confédération, puisqu’elle a lancé en avril 2020, avec une échéance en juin 2021, une étude de faisabilité d’un cloud national, principalement pour savoir si une telle mesure permettrait d’améliorer la souveraineté de la Suisse en matière de données. Cette prise de conscience se retrouve aussi au niveau de certaines entreprises, dont un sondage effectué en décembre 2019, révèle que 73 % des sociétés interrogées ont quitté un cloud public pour des infrastructures locales.
Comme l’a relevé un gouvernement cantonal en mars 2020, la protection des données et la sécurité devraient devenir une évidence pour tous les services administratifs. La confiance de la population dans la protection des données et la sécurité de l’information est indispensable à la mise en œuvre d’une administration numérique.
Plusieurs avis doctrinaux, partagés par les milieux de la protection des données, appuient ce point de vue. Ils relèvent au surplus que l’hébergement ou l’envoi à l’étranger de données soumises au secret de fonction, telles que la plupart des données personnelles, est susceptible de constituer une violation de celui-ci.
Enfin, en cette période de crise sanitaire à l’heure de la rédaction de ce rapport, il est difficile de ne pas rappeler que la protection des données et la lutte contre le COVID-19 ont en commun de combattre un risque invisible et difficilement perceptible, nécessitant des ressources pouvant paraître exagérées aux yeux de certains. Dans les deux cas, la réalisation du risque peut être désastreuse.
À travers cette crise, un paradoxe en matière de protection des données personnelles est mis en lumière. Tandis qu’une grande partie de la population utilise assidûment et sans sourciller des produits de Google, Amazon, Facebook, Apple et Microsoft (GAFAM), la restriction d’un droit fondamental qui a fait couler le plus d’encre en période de confinement est celle du droit au respect à la vie privée (art. 13 Constitution fédérale (Cst)) afin de récolter des données à travers les téléphones mobiles, alors que les mesures prises par la Confédération pour lutter contre le virus ont restreint nos libertés de réunion (art. 22 Cst), associative (art. 23 Cst), de culte (art. 15 Cst), économique (art. 27 Cst) et notre droit à un enseignement de base (art. 19 Cst), comme jamais dans l’histoire récente de notre pays. Ces restrictions étaient a priori beaucoup plus conséquentes que des mesures, en principe anonymisées, des déplacements de la population. Comment expliquer que cette dernière, utilisatrice de WhatsApp, Instagram, Facebook, etc., s’offusque plus d’une récolte de données ordonnée par des autorités étatiques chargées de lutter contre une pandémie, que de celle des GAFAM pour les profiler, notamment à des fins commerciales ? Cette vigilance affûtée ravit évidemment au plus haut point un préposé à la protection des données, mais sans vouloir être trop exigeant, il serait bien qu’elle s’étende à l’ensemble des traitements de données personnelles, qu’elle soit durable et s’imprègne d’un minimum de cohérence.
Quant à la septième année d’activité, elle a connu une légère baisse de 5 % du nombre d’ouvertures de nouveaux dossiers et de celui des affaires classées. Les dossiers en cours ne s’élèvent plus qu’à 57, mais ce chiffre est presque exclusivement dépendant des parties concernées et non pas du PPDT. Cette diminution s’explique en partie par le développement d’informations sur le site internet dans le but de diminuer les sollicitations (en particulier divers guides) et le temps consacré à des dossiers plus conséquents que la moyenne. Parmi eux figurent notamment les nombreux dossiers de sous-traitance évoqués plus-haut, ainsi que la continuation de l’élaboration du projet de révision de la Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), afin qu’elle reste conforme aux nouvelles règles de l’Union européenne et du Conseil de l’Europe. Le registre des fichiers de données sensibles s’est étoffé en augmentant son nombre d’enregistrements de 32 % par rapport à 2018. Malgré cette notable augmentation, de gros efforts restent à faire pour obtenir une meilleure cartographie des données sensibles traitées par les entités soumises à la CPDT-JUNE.
La Commission de la protection des données et de la transparence (CPDT) n’a rendu qu’une décision en 2019. Sept nouvelles requêtes de conciliation ont été réceptionnées durant cette même année ; deux étaient en cours de traitement au 31 décembre ; les cinq autres se sont clôturées sans qu’un échec de la conciliation ne soit constaté. Une seule requête, déposée en 2018, fait encore l’objet d’une procédure devant la 1ère Cour de droit public neuchâteloise.
En ce qui concerne le « quotidien » du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Onze nouvelles surveillances de la gestion des données personnelles ont également été entreprises. Aucune n’a dû faire pour l’instant l’objet d’une recommandation contraignante. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. Dans ce cadre-là, la régularisation des vidéosurveillances de la commune de Neuchâtel a enfin abouti, suite à une demande de 2011. L’utilisation du Système d’Information Schengen (SIS) et le Système central d’information sur les visas (VIS) ont fait l’objet d’un contrôle chacun durant l’année. Tous deux ont occasionné la rédaction d’un rapport publié sur le site internet (rapport SIS, rapport VIS). Il en est notamment ressorti que les plateformes d’accès aux données des fichiers fédéraux manquent de transparence pour les utilisateurs. Ces derniers n’ont pas forcément conscience que leurs requêtes dans leurs fichiers métier consultent automatiquement le SIS ou VIS. Étonnamment, il s’avère aussi que la police neuchâteloise juge ne pas avoir besoin de l’accès au VIS pour ses missions, alors que la plupart des membres de la police jurassienne y accède.
Il est également constaté que le taux de connaissance de l’existence du PPDT est similaire à celui de la précédente enquête de 2016, soit un peu plus de 40 %. Des projets des services des ressources humaines devraient permettre d’augmenter sensiblement ce chiffre. Le PPDT devrait être présent à des réunions accueillant les nouveaux collaborateurs entrant en fonction. En revanche, l’évolution du taux de consultation du site www.ppdt-june.ch est réjouissante, puisqu’il a doublé en moyenne. La stratégie d’informer à travers ce site afin de décharger les sollicitations du PPDT semble porter ses fruits. Paradoxalement, le taux de réception d’instructions est d’environ une personne sur deux (excepté la police qui est à 81 %) et celui du sentiment d’avoir besoin de davantage d’information est globalement d’une personne sur quatre. Ces chiffres pourraient laisser penser que les personnes ont le sentiment de faire juste sans avoir besoin d’instructions supplémentaires. Pour plus de détails, il est renvoyé aux rapports en question.
En conclusion, trois arrêts du Tribunal fédéral ont marqué la protection des données en 2019. Ces arrêts ont clairement mis en lumière les conséquences d’un traitement de données ne respectant pas les règles. Dans deux cas (utilisation d’une dashcam et de la recherche automatisée de véhicule) l’auteur d’une infraction a été acquitté uniquement en raison de l’utilisation d’une preuve illicite (violation des règles de protection des données). Dans le troisième, une personne a été condamnée pour avoir utilisé un identifiant/mot de passe trouvé par hasard. Ces cas d’espèce devraient motiver les responsables de traitement à s’assurer que les règles sont respectées, faute de quoi, des efforts, des ressources, pourraient partir en fumée. Par ailleurs, la Cour européenne des droits de l’Homme a développé les conditions à remplir pour des vidéosurveillances secrètes, autres que celles demandées par les ministères publics.
Autorités
Base légale
La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une commission de la protection des données et de la transparence (CPDT).
Tâches du titulaire
Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales1, mais aussi de la transparence de ces dernières.
Il est principalement chargé dans ces deux domaines de :
-
Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.
-
Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.
-
Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.
-
Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.
-
Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.
-
Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).
-
Saisir la CPDT lorsque la CPDT-JUNE le lui permet.
-
Tenir le registre public des fichiers.
-
Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.
Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.
Organisation
Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.
Son taux d'activité est de 100% et il bénéficie d'une collaboratrice administrative travaillant à 60%.
Activités principales
Promotion de la protection des données et de la transparence
Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).
La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.
Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.
Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).
La rubrique des guides et aide-mémoire est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.
Le PPDT a donné vingt-deux formations dont la liste est détaillée sous ce lien : Conférences et mandats.
Ses activités ont également fait l'objet de quatre passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.
Avis, prises de position, conseils et assistance
Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).
Plus de la moitié de l'activité (56 %) du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir Statistiques).
En 2019, le PPDT a publié trente-sept avis et prises de position en matière de protection des données et sept en matière de transparence.
AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES
-
La mise en place d’un guichet unique ne peut se faire que si les employés devant s’en occuper sont officiellement des membres de l’agence AVS, l’Office du travail, le registre des impôts, la caisse communale et le contrôle des habitants. Les données récoltées dans l’accomplissement d’une de ces tâches ne pourront pas être utilisées pour l’accomplissement des autres tâches [lire la suite…].
-
Les logopédistes sont en droit de communiquer au service de l’enseignement les données en cause, sous réserve de l’accord des parents, sans violer de lois. Parallèlement, le service de l’enseignement est en droit de récolter les informations pour accomplir ses tâches légales [lire la suite…].
-
L’obtention d’une liste des élèves de l’ancienne classe de son enfant est possible si aucun intérêt public/privé prépondérant ne s’y oppose. Les anciens camarades ont un intérêt prépondérant à ne pas être directement contactés par une partie d’un litige faisant l’objet d’une procédure [lire la suite…].
-
La police n’est pas en droit de récolter systématiquement les noms, prénoms, photos de requérants d’asile d’un centre fédéral, faute de bases légales suffisantes [lire la suite…].
-
Conformément aux règles cantonales et fédérales, les communes sont en droit de communiquer au BPA les noms et prénoms, adresse, NPA et localité de celui/celle qui a la garde de(s) l’enfant(s) jusqu’à 8 ans ainsi que les prénoms et date de naissance des enfants inscrits dans la commune. Bien que le BPA soit soumis à la LPD (RS 235.1), il serait préférable d’obtenir la garantie que les adresses seront détruites, effacées, après le dernier envoi, ainsi que l’utilisation des adresses ne se fera que dans le but indiqué [lire la suite…].
-
L’ECAP peut communiquer à la Commission foncière agricole la valeur d’assurance des biens-fonds concernés. Un accès direct en ligne aux données de l’ECAP exige l’accord du Conseil d’Etat [lire la suite…].
-
L’enregistrement des enseignants à leur insu constitue une infraction au sens de la loi fédérale sur la protection des données (LPD), mais pas du Code pénal suisse (CPS). La poursuite ne s’ouvre que sur plainte par les enseignants concernés [lire la suite…].
-
Des communications des membres des entités appliquant la LASoc peuvent se faire à d’autres entités, pour autant que le principe de la finalité soit respecté [lire la suite…].
-
Une communication des avis de saisie au chef de service, sans modification des bases légales, est illicite [lire la suite…].
-
Le casier comprenant toutes les peines non éliminées peut figurer dans le dossier de naturalisation et être consulté par les autorités devant se prononcer. La personne concernée y a également accès [lire la suite…].
-
Un employeur ne peut obtenir des données personnelles du candidat qu'aux conditions présentées ci-après [lire la suite…].
-
773 millions d'adresses mail et 21 millions de mots de passe issus de hacks multiples ont déjà été publiés, et la liste s'allonge presque quotidiennement. C'est pourquoi il faut désormais être très attentif à la gestion de ses mots de passe [lire la suite…].
-
Il est régulièrement demandé si les maires des communes ont légitimement accès à certaines données personnelles. Quand bien même ils sont en charge de la surveillance générale de toute l'administration, l'accès aux données personnelles doit respecter le principe de la proportionnalité [lire la suite…].
-
Lorsqu’une personne demande expressément l’accès aux données personnelles d’une autre, il faut examiner la demande sous l'angle de l'article 25 al. 1 let. c CPDT-JUNE et sous celui de la transparence (pour ce dernier, voir ce guide). L'étendue de l'accès est dès lors définie par le cumul de ces deux voies [lire la suite…].
Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2019.
AVIS PUBLIÉ EN MATIÈRE DE TRANSPARENCE
- Pas d'avis publié en 2019.
Sous ce lien, se trouvent l'ensemble des Prises de position du PPDT pour 2019.
Procédures législatives
-
Projet de loi pour la digitalisation du JO.
-
Révision de la loi concernant l'exercice de la prostitution et le commerce de la pornographie (LProst; RSJU 943.1).
-
Projet d’ordonnance sur la géoinformation (OGéo).
-
Projet législatif destiné à améliorer les conditions du remboursement de l'assistance judiciaire.
-
Projet de modification des dispositions légales régissant le service de santé scolaire.
-
Projet de révision de la loi de Santé (RSJU 810.01) pour l'enregistrement des maladies oncologiques.
-
Projet d'ordonnance relative à l'enregistrement de données par le registre cantonal des tumeurs.
-
Avant-projets de révision partielle de la loi sur l'exécution des peines et mesures (LEPM; RSJU 341.1) et de la loi sur la police (LPol; RSJU 551.1), suite à la nouvelle loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT; RS 780.1).
-
Projet de convention de fusion de communes, Les Breuleux.
-
Projet de modification partielle de la loi sur les activités économiques (LAEco).
-
Projet de loi sur les chiens (LChiens; RSN 636.20).
-
Projet de règlement d'archivage communal.
-
Projet de révision de la loi de Santé pour l'enregistrement des maladies oncologiques.
-
Projet de révision du Règlement (RFFD) d’application concernant la loi instituant un fonds d’encouragement à la formation professionnelle initiale en mode dual (LFFD).
-
Mise à jour du règlement d'exécution de la vidéosurveillance de la commune de La Chaux-de-Fonds (Règlement 50.131),
-
Projet de loi sur l'éducation numérique.
-
Projet de loi de vidéosurveillance.
-
Règlement de vidéosurveillance commune de Corcelles-Cormondrèche.
-
Consultation concernant la Loi fédérale sur le système national de consultation des adresses des personnes physiques, Loi sur le service des adresses (LSAdr).
Vidéosurveillance
BASES LÉGALES ACCEPTÉES EN 2019
-
Plusieurs zones de surveillances dans la commune de Porrentruy.
POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2019
-
Centre de tri « Devant Golat » dans la commune de Courrendlin.
-
Maison de l’Enfance, dans la commune de Delémont.
-
Centre sportif et piscine en plein air, dans la commune de Delémont.
PROJETS SOUMIS EN 2019 ET EN COURS
-
Vidéosurveillance en ligne d’un bâtiment public.
-
Vidéosurveillance d’un écopoint et d’un centre de compostage d’une commune.
-
Vidéosurveillance d’un écopoint d’une commune.
-
Vidéosurveillance sur le site de la déchetterie d’une commune.
-
Projet d'étendre les zones de vidéosurveillance à des bâtiments communaux.
BASES LÉGALES ACCEPTÉES EN 2019
-
Divers bâtiments et infrastructure de la commune de Corcelles-Cormondrèche.
-
Divers bâtiments et infrastructures de la commune de Neuchâtel.
POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2019
-
Bâtiment de l’Avenue du Technicum 21, dans la commune du Locle.
-
Déchetterie intercommunale, comité de direction du Syndicat de la Châtellenie.
-
Divers bâtiments et infrastructures de la commune de Neuchâtel.
PROJET SOUMIS EN 2019 ET EN COURS
-
Projet de loi de vidéosurveillance dans une commune.
-
Certains lieux de collecte de déchets d'une commune neuchâteloise
-
Projet d'arrêté du Conseil communal d'une localité pour désigner les zones surveillées.
-
Surveillance de sites, traitements de déchets.
-
Surveillance d'un funiculaire.
-
Pose de caméras sur un véhicule d'intervention.
Procédures de conciliation
La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci ; lorsque la conciliation échoue, la cause peut être transmise à la Commission de la protection des données et de la transparence (CPDT) pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les cinq requêtes terminées en 2019. Deux requêtes ouvertes en 2019 sont en cours de traitement ; aucune ne s’est clôturée par la constatation d’un échec de la conciliation. En revanche, une requête en matière de transparence, déposée en 2018, fait encore l’objet d’une procédure devant le Tribunal cantonal neuchâtelois.
En matière de protection des données
-
Demande d'accès à l'adresse de destination d'une personne. Litige devenu sans objet. [Détails…]
-
Demande de données personnelles à un réseau de distribution d'électricité, afin de pouvoir sensibiliser les consommateurs concernés. Litige devenu sans objet. [Détails…]
-
Demande d'accès à ses données personnelles figurant dans des procès-verbaux. Requête retirée. [Détails…]
Surveillances
Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Malgré le manque de temps à disposition, le nombre d’ouvertures de surveillances a légèrement augmenté. Onze surveillances ont été ouvertes et douze se sont terminées en 2019 (énumérées ci-dessous). Quatre sont toujours en cours, toutes années confondues.
-
Demande d'accès aux données médicales des employés par un déliement du secret professionnel.
-
Intervention auprès du Service de l’emploi neuchâtelois pour demander que le contenu du formulaire internet à remplir par les nouveaux chômeurs respecte le principe de la proportionnalité. Il a été demandé la suppression de certaines données récoltées et un complément d’explication pour d’autres.
-
Suite à une dénonciation, il a été demandé à H-JU de s’assurer que son sous-traitant en matière de recouvrement des factures respecte les règles de la CPDT-JUNE. Celui-ci n’est pas en droit de menacer les débiteurs, non respectueux d’une injonction, ni de les inscrire dans un registre de solvabilité, puisque la loi ne permet pas à H-JU de le faire. Par conséquent, il ne peut pas menacer les débiteurs de le faire.
-
Intervention pour faire modifier la dernière mise à jour du Règlement d'exécution de la loi cantonale sur la géoinformation (RLCGéo), qui n’avait pas été préalablement soumis au PPDT. Le service a pris en compte les démarches et a procédé à une nouvelle modification dudit règlement.
-
Contrôle des accès à VIS par les services de migration et polices cantonales.
-
Contrôle de logfiles au SIS auprès du service de la population jurassienne (SPOP) et de la police neuchâteloise (PONE).
-
Il a été demandé à la Commission d'examen du barreau jurassien d'anonymiser une décision disciplinaire. Le caractère reconnaissable de la personne suffit à atteindre le but de la publication. La mention en toutes lettres de la personne est disproportionnée.
-
Les entités souhaitant sous-traiter des traitements de données, personnelles ou non, sont rendues attentives au fait que si la prestation s'effectue à l'étranger (y compris l'UE) constitue une violation du secret de fonction.
-
Les entités souhaitant sous-traiter des traitements de données personnelles non soumises au secret de fonction sont rendues attentives au fait que le Cloud Act américain permet aux autorités américaines d'accéder aux données hébergées aux USA, ainsi qu'à celles des entreprises américaines hébergeant à l'étranger.
-
Il a été vérifié les systèmes d'informations utilisés par les guichets sociaux régionaux. Il a été constaté que certains manquent de base légale formelle. Une demande de régularisation a été faite à l'ODAS.
-
Il a été demandé aux communes de ne pas mentionner de noms dans les procès-verbaux publiés sur internet.
-
Le Grand Conseil neuchâtelois a été rendu attentif aux nouveaux dangers causés par de nouvelles applications de traitements d'images.
Formations continues suivies
Le PPDT suit chaque année des cours de formation continue comme l’exigent les règles sur la protection des données :
-
16ème Journée formation continue avocats 2019, Neuchâtel, UniNE, 1 jour ; novembre.
-
Les rendez-vous de la protection des données, Genève, PPDT GE ; 1 jour ; juin.
-
Les aspects internationaux du droit du travail et les nouveautés en droit du travail, Neuchâtel, UniNE ; 1 jour ; juin.
-
12ème journée suisse Protection des données, Fribourg, UniFR ; 1 jour ; mai.
Formations et conférences données
Le PPDT est chargé de promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités au sujet des principes inscrits dans la CPDT-JUNE. C’est pourquoi il est amené à donner les formations et conférences suivantes :
-
Brève présentation des intérêts des cantons au projet de révision de la LPD, à la Commission des institutions politique (CIP) du Conseil des États, Berne ; novembre.
-
Intervention lors de la formation « Loi sur la transparence », Centre de Formation aux Journalisme et aux Médias CFJM, Lausanne ; novembre.
-
Intervention lors de la journée cantonale « La promotion de la santé à l'école : le numérique à l'école », Neuchâtel ; novembre.
-
Cours donné auprès des Crèches à domicile CAD, Delémont ; novembre.
-
Intervention sur le thème de la digitalisation de la médecine (Dossier Electronique du Patient et Cybersanté), Hôpital neuchâtelois, Neuchâtel ; octobre.
-
Formation donnée aux nouveaux cadres neuchâtelois, Neuchâtel ; octobre.
-
Intervention dans le cadre des séminaires Europe, Droit européen et LPD ; octobre.
-
Formation au SRH jurassien : Protection des données ; octobre.
-
Intervention donnée aux nouveaux collaborateurs de l'État neuchâtelois.
-
Cours au Lycée Jean-Piaget ; septembre.
-
Cours à l'Ecole supérieure d'informatique de gestion, Delémont ; août.
-
Cours donné à UniNE relatif au Certificate of Advanced Studies (CAS) en droit de la santé : Transparence et santé publique ; juin.
-
Formation aux avocats-stagiaires jurassiens ; mai.
-
Formation donnée aux nouveaux cadres neuchâtelois, Neuchâtel ; avril.
-
Cours à UniNE sur le Dopage et le statut personnel du sportif ; avril.
-
Intervention dans la formation de conseiller à la protection des données en entreprise, Lausanne ; mars.
-
Cours à la HES Vaud ; mars.
-
Cours à l'Association des maires du Jura ; mars.
-
Cours à l'UNiL sur la protection des données et la lutte contre le dopage ; mars.
-
Cours donné au CIGES ; février.
-
Formation continue d'AvenirFormation pour : Certificat spécialiste en office de la population ; janvier.
-
Intervention auprès de la Conférence des Directeurs des écoles secondaires du Jura ; janvier.
Recommandations
Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.
Une recommandation impose aux maîtres de fichiers de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.
Registre des fichiers
Un formulaire sur le site internet du PPDT a été mis à disposition des autorités jurassiennes et neuchâteloises. Il est rappelé progressivement l’obligation de déclarer les fichiers de données sensibles2 à l’ensemble des entités soumises à la CPDT-JUNE.
Les déclarations semblent exiger des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches.
Jusqu’à fin mars 2020, cent-dix-huit fichiers jurassiens ont été déclarés et cent-sept neuchâtelois. En 2019, une demande de déclaration a été adressée à plusieurs communes jurassiennes, à l’ensemble des départements neuchâtelois et aux principales institutions médicales des deux cantons. Ces sollicitations ont amené respectivement trente-huit et dix-sept nouvelles déclarations. La cartographie des fichiers de données sensibles commence à s’étoffer de manière significative, mais le registre reste encore incomplet.
Collaborations
Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.
Depuis avril 2014, le PPDT a intégré le comité de privatim, conférence suisse des préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a pu, cette année encore, profiter d’interventions sur le dossier électronique du patient, la plateforme e-déménagement, l’élaboration d’un aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing.
Le PPDT est également membre, depuis 2015, de l’Organisation d’accompagnement intercantonal à Schengen/Dublin de la Conférence des gouvernements cantonaux chargée d’aider les cantons dans les changements imposés par l’Union européenne dans ce cadre-là.
Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles. Deux séances ont eu lieu.
Comptes
Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.
Le budget 2019 a été bien respecté puisqu’il en ressort une économie de SFr. 22’279.-. La plus grande partie des économies s’explique par la non-utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité, du temps à disposition et de l’ampleur des dossiers rencontrés. Le solde restant est inhérent à l’établissement d’un budget. Excepté un dépassement de SFr. 171.35 dans le compte matériel informatique (3113), aucune rubrique n’a dépassé le budget.
|
||||
---|---|---|---|---|
Numéro de compte |
Intitulé du compte |
Budget 2019 |
Comptes 2019 |
Différence |
115.3010.00 |
Traitements du personnel |
181'100.00 |
176'094.35 |
-5'005.65 |
115.3050.00 |
Assurances sociales |
11'400.00 |
11'105.95 |
-294.05 |
115.3051.00 |
Caisse de pensions |
19'200.00 |
19'189.65 |
-10.35 |
115.3053.00 |
Assurances-accidents |
400.00 |
343.65 |
-56.35 |
115.3054.00 |
Cotisations allocations familiales |
5'200.00 |
5'018.60 |
-181.40 |
115.3055.00 |
Cotisations patronales aux assurances ind. journalières |
2'00.00 |
1'785.70 |
-214.30 |
115.3090.00 |
Formation et perfectionnement du personnel |
1'900.00 |
720.00 |
-1'180.00 |
115.3100.00 |
Fournitures de bureau * |
300.00 |
38.45 |
-261.55 |
115.3103.00 |
Littérature spécialisée, Swisslex |
3'500.00 |
1'755.05 |
-1'744.95 |
115.3113.00 |
Matériel informatique (dépend de *) |
0.00 |
171.35 |
171.35 |
115.3130.00 |
Prestations de services de tiers |
20'000.00 |
7'733.45 |
-12'266.55 |
115.3160.00 |
Loyers |
12'000.00 |
12'000.00 |
0.00 |
115.3170.00 |
Dédommagements, frais déplacem. |
6'000.00 |
4'764.70 |
-1'235.30 |
115.3199.00 |
Autres charges d'exploitation |
0.00 |
0.00 |
0.00 |
115.3910.00 |
Imp. int. pour prestations de services |
26'000.00 |
26'000.00 |
0.00 |
|
Total des charges |
289'000.00 |
266'720.90 |
-22'279.10 |
115.4210.00 |
Emoluments administratifs |
-500.00 |
-1'046.00 |
546.00 |
115.4611.00 |
Part neuchâteloise (71%) |
-204'800.00 |
-188'386.90 |
-16'413.10 |
Total des revenus |
205'300.00 |
189'432.90 |
-15'867.10 |
|
Solde |
Part jurassienne (29%) |
83'700.00 |
77'288.00 |
-6'412.00 |
Statistiques
Les graphiques ci-après permettent de détailler les 469 dossiers ouverts en 2019.
Le nombre d’ouvertures de dossiers est passé de 495 à 469 (-26) entre 2018 et 2019, soit une diminution de 5 %. Le nombre de dossiers classés a varié dans la même proportion puisqu’il est passé de 519 à 495 (-24, - 5 %). Fin 2019, 57 dossiers étaient dans l’attente de nouvelles ou de réponses, alors qu’ils étaient 81 en 2018, 105 en 2017 et 107 en 2016. Bien que la diminution des dossiers en cours en fin d’année soit la bienvenue, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.
Plus de la moitié de l'activité (56 %) consiste à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence a connu sa première baisse depuis 2013 (-16 dossiers), alors qu’en matière de protection des données, il est resté stable (-3). Les dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, ont légèrement diminué dans la même proportion (-7).
À relever que, malgré l’évolution négative de ces dossiers « mixtes », les renvois au Préposé fédéral à la protection des données ont augmenté (+4). Plus les administrés s’intéresseront au sujet de la protection des données, plus ces erreurs « d’aiguillage » surgiront. Il n’est pas facile pour les non-initiés de savoir quelle autorité est compétente dans un cas d’espèce.
Les fichiers communaux représentent 15 % des dossiers, chiffre légèrement en dessous de la moyenne des quatre années précédentes (17.5 %).
Sept nouvelles requêtes de conciliation ont été réceptionnées, deux étaient en cours de traitement au 31 décembre, les cinq autres se sont clôturées sans qu’un échec de la conciliation ne soit constaté.
La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.
Bilan
Après avoir atteint le record du nombre de dossiers ouverts en 2018 (495), l’année écoulée n’a pas été marquée par une nouvelle augmentation, mais par une baisse de 5 %, soit un nombre total de 469.
Cette légère baisse a permis d’augmenter tout aussi légèrement le nombre de surveillances. Celles-ci devraient être plus nombreuses, mais faute de temps, il est privilégié les interventions en amont.
Le nouveau processus mis en place pour la déclaration de fichier a permis d’améliorer la cartographie des fichiers sensibles gérés par les entités soumises à la CPDT-JUNE. Les administrés pourront ainsi faire valoir leurs droits plus facilement s’ils le jugent nécessaire.
Les contrôles du Système d’Information Schengen (SIS) et du Système central d’information sur les visas (VIS) ont permis de mettre en lumière quelques lacunes et d’améliorer les processus des traitements.
À relever que le premier trimestre 2020 laisse présager un nombre de dossiers similaire aux deux années précédentes. Au vu de la crise sanitaire, il est difficile de prédire ce qu’il en sera pour le reste de l’année. Certaines entités profitent du temps libéré par la crise pour gérer les problèmes de protection des données alors que pour d’autres, les priorités sont évidemment différentes.
Quoi qu’il en soit, le volume des dossiers traités semble montrer que la sensibilisation atteint gentiment, mais sûrement sa cible.
Comme chaque année, le PPDT cherche à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a été saisie qu’une seule fois en 2019 pour un dossier 2018, sur cinq requêtes traitées dans le même laps de temps, la réalisation de cet objectif paraît rester sur le bon chemin.
Pour 2020 l’accompagnement de l’adaptation de la CPDT-JUNE au droit européen restera, encore une fois, l’un des principaux objectifs. Cette révision mobilisera certainement à nouveau beaucoup de ressources cette année. Sitôt que les changements devant entrer en vigueur seront suffisamment déterminés, il s’agira d’anticiper leur arrivée en informant activement les entités soumises à la CPDT-JUNE.
Au surplus, comme pour beaucoup d’activités, la crise du COVID-19 empêche, à l’heure de la rédaction du rapport, de faire des prévisions plus conséquentes.
[1] Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.
[2] Définition de données sensibles : opinions ou appartenance à une association syndicale, religieuse, politique ou philosophique; données relatives à la santé; données que la personne concernée réserve à un cercle très restreint de proches; lieu/pays d'origine, ethnie; prestations sociales; mesures de curatelles; poursuites ou sanctions pénales ou administratives; données biométriques ou génétiques; ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.