Préposé à la protection des données et transparence Jura-Neuchâtel

Rapport 2020

Protection des données et transparence

  

Le Grand Conseil neuchâtelois traitera le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2020 (séance du 29-30 juin 2021).

Le Parlement jurassien traitera le rapport par la majorité des députés, lors de sa session du 24 juin 2021 (pas de détail à ce jour). Débat et votes publiés dans le Journal des débats (en cours).

Avant-propos

Dans le rapport 2019, il était relevé l’augmentation du nombre de dossiers relatifs aux traitements de données personnelles sous-traitées. Le nombre de dossiers pour cette année-là était de 29, alors que la moyenne 2015-2018 culminait à 9. Cette constatation n’est pas anodine puisque ce nombre est passé à 50 en 2020.

La crise de la COVID-19 a sans doute contribué à l’évolution de ce chiffre. Bon nombre de traitements ont bénéficié d’une pesée d’intérêts en faveur de la préservation de la santé des administrés et du bon fonctionnement de l’administration au regard des circonstances.

Comme l’a souligné Micheline Calmy-Rey lors d’une intervention à la RTS (30 mai 2020), « la gestion d’une crise pandémique est difficilement compatible avec le maintien des libertés individuelles ». C’est pourquoi, il s’agira d’être particulièrement vigilant, lorsque nous verrons enfin le bout du tunnel de cette crise, à ce que des traitements exceptionnels ne deviennent pas la règle.

Le refus du projet de loi d’identité électronique le 7 mars 2021 semble montrer que la sensibilité des administrés à propos du sort de leurs données est grandissante. Cet extrait d’article de presse paru le 20 mai 2020 illustre bien les prémices d’une prise de conscience de la problématique par les responsables de traitement de données sensibles  : « La société IT espagnole Scytl, qui a développé le système de vote électronique de la Poste suisse, est menacée de faillite. L'entreprise est endettée à hauteur de 75 millions d’euros, […]. Le géant jaune a été pris au dépourvu et a été forcé de communiquer plus tôt que prévu sur sa décision de récupérer la propriété intellectuelle du code source de la plateforme, […]. La Poste veut désormais poursuivre le projet en faisant cavalier seul et en se passant de tout partenaire, qu’ils soient suisses ou étrangers. À cette fin, le géant jaune veut accroître ses compétences dans le domaine de la cryptographie […] » (ICT Journal du mercredi 20 mai 2020). Ce nouveau choix est à souligner, d’autant plus qu’il n’est pas inutile de rappeler que la Poste suisse est l’un des principaux prestataires de la solution informatique du dossier électronique du patient. Par ailleurs, est-il nécessaire de rappeler que le logiciel de dépouillement des bulletins de vote, fourni par un sous-traitant et utilisé pour les élections communales dans le Canton de Neuchâtel, a planté parce qu’il y a eu plus de 16'324 images traitées en même temps ?

Pour clore ce sujet, il n’est pas inutile de relever qu’un postulat a été déposé au parlement vaudois le 9 juin 2020 intitulé : « Pour sortir de notre dépendance numérique américaine et reconstruire une informatique de confiance, locale et résiliente. »

Quant à la huitième année d’activité, elle a retrouvé une augmentation du nombre d’ouvertures de nouveaux dossiers, certes limitée à 1.9 %. Il y a eu autant de dossiers ouverts que clôturés. Les dossiers en cours ne s’élèvent qu’à 58, mais ce chiffre est presque exclusivement dépendant des parties concernées et non pas du PPDT. La relative stabilisation du nombre de dossiers annuellement ouverts s’explique en partie par l’accent mis sur le site internet dans le but de diminuer les sollicitations. Plusieurs guides, tels que notamment l’accessibilité ou non à un document officiel, les communications autorisées ou non et l’explication des procédures, ont été fondamentalement remaniés pour être aussi simples et efficaces que possible. Le registre des fichiers de données sensibles s’est faiblement étoffé. Les responsables de fichiers n’ont pas été relancés en 2020, compte tenu de la crise sanitaire qui a provoqué d’autres priorités pour ceux-ci. Lorsque la situation ira mieux, de gros efforts resteront à faire pour obtenir une meilleure cartographie des données sensibles traitées par les entités soumises à la CPDT-JUNE.

La Commission de la protection des données et de la transparence (CPDT) n’a pas rendu de décision en 2020. En revanche, neuf nouvelles requêtes de conciliation ont été réceptionnées durant cette même année ; une était en cours de traitement au 31 décembre ; neuf autres se sont clôturées sans qu’un échec de la conciliation ne soit constaté. Une seule requête, ouverte en 2019, a fait l’objet d’un constat d’échec de la conciliation et cela a conduit à la saisie de la CPDT pour qu’elle rende une décision.

À relever que le Tribunal fédéral a mis récemment (12 janvier 2021) un terme à une procédure de demande d’accès à un document officiel, ouverte en 2018. Cette décision renforce considérablement la transparence. Par exemple, un rapport d’audit définitif et commandé par l’administration est désormais clairement soumis aux règles de la transparence, quand bien même une procédure pénale, civile, de licenciement ou autre est en cours. Autrement dit, la population pourrait accéder au contenu d’un audit avant même que les juges se soient prononcés sur ses conséquences, si aucune exception n’est opposable. Il serait souhaitable que la « contre-mesure » à cette décision soit une rédaction des rapports adaptée aux règles de la transparence et non pas une volonté de ne plus entreprendre d’audits.

En ce qui concerne le « quotidien » du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Quatorze nouvelles surveillances de la gestion des données personnelles ont également été entreprises. Aucune n’a dû faire pour l’instant l’objet d’une recommandation contraignante. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. L’utilisation du Système d’Information Schengen (SIS II) et le Système central d’information sur les visas (VIS) n’ont pas fait l’objet d’un contrôle durant cette année pour les raisons que l’on connaît.

Par ailleurs, après avoir contrôlé les années 2013-2016 en 2017, le contrôle des finances jurassien a contrôlé les comptes des années 2017-2019. Le rapport, rendu le 25 novembre 2020, a constaté que la comptabilité était régulièrement tenue, sans formuler de remarques (voir rapport annuel du CFI 2020).

En conclusion, l’augmentation de dossiers intercantonaux problématiques doit être clairement signalée. Beaucoup de préposés cantonaux constatent, pour ne pas dire déplorent, que des fournisseurs plus ou moins publics, voire privés, proposent des projets informatiques à des cantons en se reposant sur l’argument que d’autres l’utilisent déjà. Ainsi, ils anesthésient les éventuels réflexes de vérification que pourrait avoir l’administration sur le respect des conditions imposées par les règles de protection des données. Or, dès qu’un examen est effectué par une autorité de protection des données, il est régulièrement (trop !) constaté que des points élémentaires, tels qu’un contrat en bonne et due forme, les bases légales nécessaires, ne sont pas respectés. Les projets étant souvent bien avancés et ayant déjà mobilisés de volumineuses ressources, les autorités concernées se retrouvent dans un certain embarras.

 

Autorités

Base légale

La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a  institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une commission de la protection des données et de la transparence (CPDT).

Tâches du titulaire

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales1, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

  • Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.

  • Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.

  • Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

  • Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.

  • Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.

  • Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).

  • Saisir la CPDT lorsque la CPDT-JUNE le lui permet.

  • Tenir le registre public des fichiers.

  • Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Organisation

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100% et il bénéficie d'une collaboratrice administrative travaillant à 60%.

Activités principales

Promotion de la protection des données et de la transparence

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoire est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné sept (six ayant été annulées ou reportées) formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de trois passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Avis, prises de position, conseils et assistance

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

Plus de la moitié de l'activité (56 %) du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir  Statistiques).

En 2020, le PPDT a publié vingt-deux avis et prises de position en matière de protection des données et neuf en matière de transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

  • En principe, le non-respect des règles de protection des données pour une vidéosurveillance privée ne constitue pas une infraction pénale. Seules les personnes filmées peuvent agir auprès du propriétaire de la caméra, et accessoirement des tribunaux civils, pour faire cesser l’atteinte [lire la suite…].

  • Sans consentement préalable ou loi spéciale, les établissements de formation ne sont pas en droit de communiquer des données aux parents d’un étudiant majeur [lire la suite…].

  • Les évaluations sociales effectuées par l’APEA ne peuvent pas être transmises aux services sociaux. Les expertises médicales ne peuvent pas être transmises telles quelles aux curateurs. On peut tout au plus admettre une communication succincte d’informations indispensables pour l’accomplissement des tâches du curateur. Celle-ci doit rigoureusement respecter le principe de la proportionnalité, c’est-à-dire réduite par l’APEA à son contenu minimum pour être utile au curateur. Il sera systématiquement préféré la communication de mesures à prendre plutôt que des données assimilables à un diagnostic [lire la suite…].

  • L’obtention d’un extrait de poursuites ou/et du casier judiciaire doit être impérativement nécessaire pour que l’employeur puisse s’assurer que la sécurité est garantie [lire la suite…].

  • La destruction/effacement des données de police peut intervenir aux conditions cumulatives suivantes :
    • Un acquittement, une ordonnance de classement, de non-lieu ou de non-entrée en matière ont été rendus.
    • Les données ne sont pas utiles pour prévenir, rechercher ou réprimer des infractions graves, au sens de ce qui suit. L’appréciation de l’utilité s’effectue par une pesée des intérêts en présence. Pour ce faire, il convient de prendre en considération la gravité de l'atteinte portée aux droits fondamentaux du requérant par le maintien des inscriptions litigieuses à son dossier de police, les intérêts des victimes et des tiers à l'élucidation des éléments de fait non encore résolus, le cercle des personnes autorisées à accéder au dossier de police et les intérêts de la police à pouvoir mener à bien les tâches qui lui sont dévolues [lire la suite…].

  • Une demande d’accès à ses données personnelles, enregistrées dans le journal de police / de poste, par la personne concernée ne peut être refusé ou restreint, que si l’une des conditions figurant aux articles 33 CPDT-JUNE, 95 Loi jurassienne sur la police ou 98 Loi neuchâteloise sur la police est remplie. Le cas échéant, la personne concernée doit recevoir rapidement une réponse motivée en lui indiquant la possibilité de saisir le PPDT [lire la suite…].

  • La question de la sous-traitance des données personnelles est déjà épineuse en soi. Il suffit de parcourir la page dévolue à ce sujet pour s’en convaincre. La sous-traitance de données personnelles soumises au secret professionnel (art. 321 CP) à un auxiliaire est autorisée, sous réserve du respect des conditions légales. En revanche, un arrêt du Tribunal fédéral (2C_1083/2017 du 4 juin 2019) semble empêcher le sous-traitant à sous-traiter ce traitement. Mais les juges fédéraux n’ont pas examiné directement la question des fournisseurs de services Cloud [lire la suite…].

  • Les traitements de données personnelles soumises au secret de fonction ne peuvent pas être sous-traités hors de Suisse. En ne respectant pas cette restriction, le responsable de traitement s’expose à des poursuites pénales pour violation du secret de fonction [lire la suite…].

  • Les procès-verbaux des organes législatifs publiés sur internet ne doivent pas comporter de noms de personnes non élues. Une version avec les noms peut néanmoins restée consultable au bureau communal [lire la suite…].

  • Il est possible d’accéder aux parties des procès-verbaux/notes internes dans lesquelles figurent ses propres données personnelles, pour autant qu’aucun autre intérêt public/privé prépondérant ne s’y oppose. Pour l'accès à l'ensemble d'un dossier, voir l'avis sur l'accès aux dossiers de procédures pendantes ou clôturées ou sur l'ensemble d'un document d'aide à la décision (note interne), voir l'avis sur cette notion [lire la suite…].

Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2020.

AVIS PUBLIÉ EN MATIÈRE DE TRANSPARENCE

  • Les obligations de refuser aux tiers la consultation des dossiers fiscaux ou des pièces officielles prévues aux articles 131 al. 2 LI et 176 al. 2 LCDir sont des dispositions spéciales au sens de l’article 69 al. 4 CPDT-JUNE. Ces dispositions ont pour objet de protéger d’une part l’intérêt public et d’autre part les informations touchant à la sphère privée du contribuable et communiquées à l’autorité dans le cadre de l’accomplissement de ses tâches légales. Par contre, elles ne protègent pas des informations portant par exemple exclusivement sur des processus internes, des planifications, des directives internes des autorités, etc. Ces documents sont donc accessibles en vertu de la CPDT-JUNE, sous réserve des exceptions prévues par cette convention [lire la suite…].

  • Les procès-verbaux des organes législatifs publiés sur internet ne doivent pas comporter de noms de personnes non élues. Une version avec les noms peut néanmoins restée consultable au bureau communal [lire la suite…].

  • Lorsqu'une demande d’accès à un document officiel est susceptible de porter atteinte à un intérêt prépondérant privé/public selon l'article 72 CPDT-JUNE, l’entité sollicitée se doit d’offrir le droit d’être entendu à la personne/entité concernée (art. 70 CPDT-JUNE). Si cette dernière s’oppose et que son opposition est levée (art. 30 et 36 CPDT-JUNE), l’entité sollicitée ou/et l’opposant peuvent saisir le PPDT pour une séance de conciliation (art. 40 CPDT-JUNE). Celui-ci convoquera toutes les parties à une séance de conciliation (art. 41 CPDT-JUNE). Dans certains cas toutefois, l’anonymat des personnes concernées devant être respecté, il appartiendra alors au préposé d’organiser la séance en fonction de ce critère. Il jouera le rôle « d’interface » entre les parties [lire la suite…].

  • Passages de l’arrêt du Tribunal administratif fédéral du 11 décembre 2019 (A-2352/2017) adapté au droit cantonal, partiellement modifié et remis en forme, avec quelques compléments cantonaux. Hormis pour les procès-verbaux des séances non publiques, les règles de la transparence fondent une présomption en faveur du libre accès aux documents officiels qui n’entrent pas dans l’une des catégories citées dans la question. Il appartient aux entités de prouver que le document n’est pas accessible. Une atteinte mineure ou simplement désagréable aux intérêts publics/privés engendrée par l'accès ne saurait constituer un motif de refus. Lorsque la probabilité de la réalisation de la violation d'intérêts à protéger existe tout en étant faible ou lorsqu'il faut s'attendre à une conséquence négative mineure, il est indiqué d'opter en faveur de l'accès. En cas de variante possible, l'autorité doit choisir la moins incisive et qui porte le moins possible atteinte au principe de la transparence. Les documents officiels contenant des données personnelles doivent être si possible rendus anonymes avant qu'ils soient consultés. Si l'entité entend refuser la consultation de pièces faisant l'objet d'une procédure d'accès, elle est tenue en tous les cas de communiquer au demandeur un résumé du contenu essentiel de ces documents, si elle les utilise à leur détriment [lire la suite…].

Sous ce lien, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2020.

Procédures législatives

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté dix-neuf fois en 2020 :

Jura

  

PROJETS SOUMIS AU PPDT

  • Modification de la loi portant introduction à la loi fédérale sur les prestations complémentaires à l'AVS/AI (LiLPC; RSJU 831.30).

  • Projet de convention intercantonale en matière de santé numérique (dossier électronique du patient DEP).

  • Consultation du projet de révision de l'Ordonnance sur le guichet virtuel (RSJU 170.421).

  • Projet de directives d'exécution du règlement sur la vidéosurveillance, commune de Porrentruy.

  • Modification partielle de la loi sur l'école obligatoire (LEO; RSJU 410.11) et ordonnance concernant la pédagogie spécialisée.

  • Projet de loi sur la vidéosurveillance, commune de Porrentruy.

  • Projet de règlement de vidéosurveillance de la commune de Boncourt.

  • Projet de convention JU-NE pour l'envoi de dossiers de détenus aux autorités pénitentiaires neuchâteloises.

  • Projet de modification du Règlement de sécurité locale, art. 62 à 71 (Règlement de sécurité locale), des communes fusionnées de Courrendlin, Rebeuvelier et Vellerat.

  • Projet de loi sur les jeux d'argent (LiLJAr).

NE


  

PROJETS SOUMIS AU PPDT

  • Projet de modification du Règlement relatif au personnel administratif et technique de la commune de Val-de-Ruz, relatif au test d'alcoolémie.

  • Projet de modification du Règlement d'application de la loi d'introduction de la loi fédérale sur l'assurance-maladie (RALILAMal; RSN 821.101).

  • Projet de révision de la loi sur la Police (LPol; RSN 561.1).

  • Projet de vidéosurveillance d'une installation du Canton de Neuchâtel, dans le village de Montmollin, (Arrêté du Conseil d'État du 16 septembre 2020).

  • Projet de révision de la Loi concernant l'harmonisation des registres officiels de personnes et le contrôle des habitants (LHRCH; RSN 132.0) pour s'adapter au e-déménagement.

  • Projet de loi sur l'exploitation des sous-sols.

  • Projet de de système d'information LIANE.

  • Projet de modification de règlement sur le personnel de la commune de Val-de-Ruz.

CH


  

PROJET SOUMIS AU PPDT

  • Projet de modification de la loi fédérale sur l'asile (LAsi; RS 142.31).

Vidéosurveillance

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.

BASES LÉGALES ACCEPTÉES EN 2020

  • Plusieurs zones de surveillances dans la commune de Porrentruy.

  • Plusieurs zones de surveillances dans la commune de Boncourt.

  • Plusieurs zones de surveillances, communes fusionnées de Courrendlin, Rebeuvelier, Vellerat.

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2020

  • Piscine municipale en plein air, vélostations, écopoint et bâtiment administratif, commune de Porrentruy.

  • Place des containers, rue Sous-Maichereux et école primaire du Gros-Seuc, Delémont

PROJETS SOUMIS EN 2020 ET EN COURS

  • Vidéosurveillance d'un Skater park.

  • Vidéosurveillance en ligne d’un bâtiment public.

  • Vidéosurveillance d’un écopoint d’une commune.

  • Vidéosurveillance sur le site de la déchetterie d’une commune.

  • Projet d'étendre les zones de vidéosurveillance à des bâtiments communaux.

BASES LÉGALES ACCEPTÉES EN 2020

  • Aucune base légale relative à la vidéosurveillance.

POSE DE VIDÉOSURVEILLANCE ACCEPTÉE EN 2020

  • Centre de collecte de sous-produits animaux, Montmollin.

PROJET SOUMIS EN 2020 ET EN COURS

  • Pas de projet en cours.

Procédures de conciliation

La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci ; lorsque la conciliation échoue, la cause peut être transmise à la Commission de la protection des données et de la transparence (CPDT) pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les neuf requêtes terminées en 2020. Aucune requête ouverte en 2019 n’est encore en cours de traitement ; une conciliation, ouverte en 2019, s’est clôturée par la constatation d’un échec de la conciliation et la Commission de la protection des données et de la transparence (CPDT) a été saisie.

CONCILIATIONS

En matière de protection des données

  • Demande d'effacement de données d'un fichier de police. Requête devenue sans objet [Détails…].

  • Opposition à la communication d'une adresse. Requête devenue sans objet [Détails…].

  • Refus d'une demande d'accès à ses données personnelles. Requête devenue sans objet [Détails…].

  • Demande d'accès à son dossier médical : Requête devenue sans objet [Détails…].

En matière de transparence

  • Demande d'accès à un rapport d'audit d'un service social d'une commune. Echec de la conciliation [Détails…]

  • Demande d'accès à des données sur le bruit. Requête devenue sans objet [Détails…].

  • Demande d'accès à un document d'aide sociale. Requête devenue sans objet [Détails…].

  • Demande d'accès à une convention passée entre une Commune et un voisin. Conciliation aboutie [Détails…].

  • Demande d'accès à des échanges de courriers entre un service et une commune. Requête devenue sans objet [Détails…].

Surveillances

Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Le nombre d’ouvertures de surveillances a augmenté de 36 %, notamment en raison de la mise sur pied rapide d’outils liés à la crise sanitaire. Quatorze surveillances ont été ouvertes et quinze se sont terminées en 2020 (énumérées ci-dessous). Quatre sont toujours en cours, toutes années confondues.

SURVEILLANCES

  • Il a été demandé de respecter certaines modalités pour la communication des données de sapeurs-pompiers aux autorités cantonales.

  • Il a été rappelé que RHNE ne peut pas obtenir un compte générique pour accéder aux données des centres de radiologies. Il ne peut récolter que ce qui est nécessaire pour l’accomplissement de ses tâches. Une solution plus respectueuse de la protection de la personnalité a pu être mise en place, sans restreindre l’efficacité et la qualité des soins.

  • Il a été rappelé à une commune qu'il n'est pas possible de communiquer à l'ensemble de la commune qu'un employé est absent pour maladie pour une durée indéterminée.

  • Il a été demandé de supprimer l'affichage du NAVS 13 dans NovaSmart lorsque sa lecture n'est pas nécessaire.

  • Il a été demandé à un cercle scolaire de revoir sa manière de récolter les données sensibles auprès des élèves. Il est prévu que tout soit corrigé pour la rentrée 2021-2022.

  • Il a été demandé à un sous-traitant de l'Etat en matière de surveillance de sécurité, de compléter le contenu du contrat à propos des engagements en matière de protection des données.

  • Il a été demandé à un cercle scolaire de respecter les directives relatives à l'utilisation de WhatsApp. Une lettre avait été envoyée pour savoir quels parents accepteraient de former un groupe Whats App.

  • Demande à RHNE de modifier l'étiquette du dossier patient, car il était mentionné que la personne bénéficiait de l'aide sociale.

  • Vérification de l'accès au registre des professions médicales.

  • Il a été vérifié si l'application Jabber ne comportait pas un bug dans l'affichage des appelants. Il s'avère qu'il appartient aux utilisateurs de mettre à jour leurs données.

  • La collecte de l'identité des participants à une manifestation est conforme à l'article 6e COVID-19 (RS 818.101.24).

  • Intervention auprès d'une direction du secondaire 2 pour qu'elle rappelle aux enseignants que Zoom est proscrit. Ils doivent utiliser Microsoft Office 365 Team ou une autre solution répondant aux mêmes exigences.

  • Vérification auprès du SEP2L (syndicat des eaux de l'Entre-deux-lacs) que l'utilisation de Google drive pour la gestion technique du réseau d'eau est conforme aux règles de protection des données. Aucune donnée personnelle n'est traitée en l'occurrence.

  • Il a été vérifié que la sous-traitance d'un audit à une entreprise française respectait les règles de protection des données.

  • Suite à la mise en place de la nouvelle plateforme du SCAN, le PPDT est intervenu pour que les conditions de la sous-traitance soient respectées. Désormais les données sont chiffrées et illisibles par le sous-traitant.

Formations continues suivies

Le PPDT suit chaque année des cours de formation continue comme l’exigent les règles sur la protection des données :

  • Gouvernance des données, Forum Educa.ch, séminaire en ligne; 1 jour, novembre.

  • Dix ans de CPP, nouveautés pour le praticien, Neuchâtel UniNE; 1 jour; novembre.

  • 13ème journée suisse de droit de la Protection des données, l'intelligence artificielle et protection des données, Fribourg UniFR, 1 jour; octobre.

  • Demi-journée de droit de la protection des données - le droit d'accès, Lausanne Unil; 1/2 jour; septembre.

  • Journée du droit du travail et les nouveautés en droit du travail, Neuchâtel, UniNE, 1 jour; août.

  • Le droit à l'intégrité numérique, Neuchâtel, UniNE, 1 jour; février.

  • Journée de la protection des données, Lausanne, Unil; 1 jour; janvier.

  • Le principe de transparence au sein de l'administration publique : quel degré de transparence est-il possible et nécessaire; Fribourg UniFR; 1 jour; janvier.

Formations et conférences données

Le PPDT est chargé de promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités au sujet des principes inscrits dans la CPDT-JUNE. C’est pourquoi il est amené à donner les formations et conférences suivantes :

  • Intervention au Swiss Digital Days, novembre.

  • Intervention donnée aux nouveaux collaborateurs du canton du Jura, Delémont, octobre.

  • Cours au Lycée Jean-Piaget; octobre.

  • Intervention dans le cadre des séminaires Europe, Droit européen et LPD, Berne; octobre.

  • Cours à l'Ecole supérieure d'informatique de gestion, Delémont; juin.

  • Formation continue d'AvenirFormation pour : Certificat spécialiste en office de la population; mai.

  • Intervention dans la formation de conseiller à la protection des données en entreprise, Lausanne; mars.

Recommandations

Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.

Une recommandation impose aux maîtres de fichiers de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.

Registre des fichiers

Un formulaire sur le site internet du PPDT a été mis à disposition des autorités jurassiennes et neuchâteloises. Il est rappelé progressivement l’obligation de déclarer les fichiers de données sensibles2 à l’ensemble des entités soumises à la CPDT-JUNE.

Les déclarations semblent exiger des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches.

Jusqu’à fin mars 2021, cent-trente-sept fichiers jurassiens ont été déclarés et cent-huit neuchâtelois. Les déclarations n’ont pas beaucoup augmenté, mais les entités n’ont pas été relancées en raison de la crise sanitaire. La cartographie des fichiers de données sensibles s’est légèrement étoffée, mais le registre reste encore incomplet.

Collaborations

Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS II, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.

Depuis avril 2014, le PPDT a intégré le comité de privatim, conférence suisse des préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a pu, cette année encore, profiter d’interventions sur le contrat Microsoft, les conditions d’utilisation d’un Cloud ou le contenu d’une analyse de risques.

Le PPDT est également membre, depuis 2015, de l’Organisation d’accompagnement intercantonal à Schengen/Dublin de la Conférence des gouvernements cantonaux chargée d’aider les cantons dans les changements imposés par l’Union européenne dans ce cadre-là.

Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles. Une seule a eu lieu cette année pour les raisons que l’on connaît.

Comptes

Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.

Le budget 2020 a été bien respecté puisqu’il en ressort une économie de SFr. 19'352.-. La plus grande partie des économies s’explique par la non-utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité, du temps à disposition et de l’ampleur des dossiers rencontrés. Le solde restant est inhérent à l’établissement d’un budget. Excepté un dépassement de SFr. 149.- dans le compte matériel informatique (3113), aucune charge hors salaire n’a dépassé le budget.

 
       

N° de compte

Intitulé du compte

Budget 2020

Comptes 2020

Différence

115.3010.00

Traitements du personnel

  182'300.00

179'065.65

-3'234.35

115.3050.00

Assurances sociales

   11'800.00

11'566.20

-233.80

115.3051.00

Caisse de pensions

  20'000.00

20'278.15

278.15

115.3053.00

Assurances-accidents

       400.00

370.75

-29.25

115.3054.00

Cotisations allocations familiales

   4'900.00

4'834.35

-65.65

115.3055.00

Cotisations patronales aux assurances ind. journalières

    1'900.00

1'816.00

-84.00

115.3090.00

Formation et perfectionnement du personnel

     4'000.00

1'479.40

-2'520.60

115.3100.00

Fournitures de bureau *

       300.00

53.60

-246.40

115.3103.00

Littérature spécialisée, Swisslex

    3'000.00

1'920.95

-1'079.05

115.3113.00

Matériel informatique

0.00

149.00

149.00

115.3130.00

Prestations de services de tiers

  17'500.00

8'139.76

-9'360.24

115.3160.00

Loyers

  12'000.00

12'000.00

0.00

115.3170.00

Dédommagements, frais déplacem.

    6'000.00

3'073.60

-2'926.40

115.3199.00

Autres charges d'exploitation

          0.00

0.00

0.00

115.3910.00

Imp. int. pour prestations de services

  26'000.00

26'000.00

0.00

 

Total des charges

290'100.00

270'747.41

-19'352.59

115.4210.00

Emoluments administratifs

      -500.00

-1'000.00

500.00

115.4611.00

Part neuchâteloise (71%)

 -205'600.00

-192'114.15

-13'485.85

 

Total des revenus

206'100.00

193'114.15

-12'985.85

       Solde

Part jurassienne (29%)

   84'000.00

77'633.26

-6'366.74

Statistiques

Les graphiques ci-après permettent de détailler les 478 dossiers ouverts en 2020.

Le nombre d’ouvertures de dossiers est passé de 469 à 478 (+9) entre 2019 et 2020, soit une augmentation de 1.9 %. Le nombre de dossiers classés est identique à celui des ouverts. Fin 2020, 58 dossiers étaient dans l’attente de nouvelles ou de réponses, alors qu’ils étaient 57 en 2019, 81 en 2018, 105 en 2017 et 107 en 2016. Bien que la diminution des dossiers en cours en fin d’année soit la bienvenue, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.

Plus de la moitié de l'activité (56 %) consiste à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence est reparti à la hausse (+4 dossiers) après sa première diminution en 2019, alors qu’en matière de protection des données, il varie faiblement (+9). Les dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, ont légèrement diminué dans la même proportion (-7).

À relever que, malgré l’évolution négative de ces dossiers « mixtes », les renvois au Préposé fédéral à la protection des données ont légèrement augmenté (+2). Plus les administrés s’intéresseront au sujet de la protection des données, plus ces erreurs « d’aiguillage » surgiront. Il n’est pas facile pour les non-initiés de savoir quelle autorité est compétente dans un cas d’espèce.

Les fichiers communaux représentent 17 % des dossiers, chiffre correspondant à la moyenne des quatre années précédentes.

Neuf nouvelles requêtes de conciliation ont été réceptionnées, une seule était en cours de traitement au 31 décembre, les huit autres se sont clôturées, une conciliation ouverte en 2019 a échoué.

La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.

A. Répartition des dossiers par matière et évolution annuelle

B. Répartition des dossiers par activité en protection des données

C. Répartition des dossiers par activité en transparence

D. Répartition des dossiers par activité commune à la transparence et la protection des données

E. Nombre de dossiers par initiateur

F. Répartition des dossiers par initiateur

G. Moyens de saisie utilisés

H. Sujets des dossiers

I. Responsables de traitements concernés

Utilisation du site internet www.ppdt-june.ch

Depuis le 11 novembre 2020, le site www.ppdt-june.ch est (enfin !) doté d’un outil d’analyse utile et respectueux des règles de protection des données.

Il en ressort, depuis la date précitée, que :

  • Les pages relatives aux modèles, aux guides et aux bases légales sont les plus consultées

  • 20 personnes différentes consultent journellement le site

  • 2.7 pages consultées en moyenne

  • 18 consultations du site journellement

  • 34 % des visiteurs utilisent Firefox et 28 % Chrome

  • 83 % des visiteurs utilisent un PC et 16 % leur Mobile

À terme, ces statistiques permettront de mieux cibler les pages qui méritent une attention particulière et de vérifier l’efficacité de la communication par l’intermédiaire du site.

Bilan

La COVID-19 n’a pas mis que nos vies ou nos organismes à l’épreuve. Elle a également bien impacté la protection de nos données personnelles et a même mis en balance cette dernière avec la protection de nos vies. Elle a également permis de constater que les dispositions légales permettaient, la plupart du temps, de répondre sans trop de difficultés à l’inimaginable.

Après avoir connu un fléchissement en 2019 (469), le nombre de dossiers est reparti à la hausse (478), soit une légère augmentation de 1.9 %. Cette augmentation s’explique en partie par les particularités de l’année 2020. Le premier trimestre 2021 laisse présager une augmentation plus forte qu’en 2020. L’adoption de la loi fédérale en septembre 2020 et l’annonce de son entrée en vigueur fin 2022 est susceptible de réveiller quelques sensibilités au sujet, comme l’avait fait l’arrivée du RGPD en 2018, année record.

Malgré un nombre « record » de demandes de conciliation enregistré (neuf), la Commission de protection des données n’a été saisie qu’une seule fois. Les cas de figure ont mis en lumière que lorsqu’il est demandé un document contenant des données personnelles devant restées anonymes, il est très compliqué d’assurer l’anonymat d’une personne participant à la procédure. D’une part, elle ne doit être identifiée que par les autorités de procédure. D’autre part, les parties requérant le document et désirant contester l’étendue du caviardage, doivent ouvrir une procédure en argumentant qu’il est trop conséquent, alors qu’elles ne connaissent pas ce qui est caviardé.

Comme chaque année, le PPDT cherche à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a été saisie qu’une seule fois en 2020, alors que neuf conciliations ont été traitées dans le même laps de temps, la réalisation de cet objectif se confirme année après année.

Pour 2021 la révision de la CPDT-JUNE devrait vivre une évolution significative puisque le groupe de travail a terminé l’élaboration du projet et que le processus législatif d’adoption va pouvoir commencer. La révision a pris du retard en raison de l’adoption tardive du texte définitif de la loi fédérale à la protection des données (25.9.2021). Afin d’avoir une harmonisation de la terminologie entre les dispositions fédérales et cantonales, il aura fallu attendre le dernier vote des Chambres fédérales pour finaliser le projet. Des divergences entre le Conseil national et le Conseil des États ont été maintenues jusqu’au dernier moment.

Au surplus, comme pour beaucoup d’activités, la crise de la COVID-19 empêche, à l’heure de la rédaction du rapport, de faire des prévisions plus conséquentes.

 

 

Notes :  

[1] Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.

[Retour au texte]


[2] Définition de données sensibles : opinions ou appartenance à une association syndicale, religieuse, politique ou philosophique; données relatives à la santé; données que la personne concernée réserve à un cercle très restreint de proches; lieu/pays d'origine, ethnie; prestations sociales; mesures de curatelles; poursuites ou sanctions pénales ou administratives; données biométriques ou génétiques; ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.

[Retour au texte]

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.