Préposé à la protection des données et transparence Jura-Neuchâtel

Rapport 2022

Protection des données et transparence

  

Avant-propos

La CPDT-JUNE a connu une année marquante en 2022, puisque les deux législatifs ont adopté à l’unanimité sa révision, entrée en vigueur le 1er octobre, afin de l'adapter aux nouvelles exigences de la Directive UE 2016/680 et à la Convention 108+. Neuchâtel et Jura font partie des dix premiers cantons à avoir des dispositions déjà en vigueur (AG, AI, BL, LU, SG, SH, SZ, ZG et ZH) et donc les premiers cantons latins. Quant à la Confédération, la LPD n'entrera en vigueur que le 1er septembre 2023.

Les modifications touchent quasi exclusivement les règles de la protection des données. Les nouveautés sont énumérées sur la page « obligations à respecter » du site internet du préposé. Il s’agit essentiellement d’un renforcement de la transparence des traitements de données personnelles par l’introduction d’un devoir d’information des administrés plus conséquent. Arrivent aussi les obligations d’annoncer au PPDT les analyses d’impact et les projets de nouveaux traitements (souvent informatiques), lorsqu’il existe vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, ainsi que les cas de violation de la sécurité des données.

Ces nouveautés n’impliquent pas forcément l’utilisation de davantage de ressources dans l’administration que celles introduites par l’entrée en vigueur de la convention le 1er janvier 2013. Toutefois, la réalité du terrain, en particulier le hacking et la généralisation de l’utilisation des clouds, a mis la nécessité de la gouvernance des données personnelles à un niveau nettement plus élevé qu'il y a dix ans.

À propos de la migration vers les produits Microsoft 365, tous les yeux sont rivés sur ce qui se passe au niveau de la Confédération et des autres cantons. L'an passé, le canton de Zürich a décidé de migrer et la Confédération vient de l'annoncer. Cependant, il ne faut pas tomber dans le piège du suivisme. Ce n'est pas parce que le peloton du Tour de France descend les cols à plus de 80 km/h que tous les cyclistes peuvent le faire.

Tant les décisions fédérale et zurichoise que les analyses de l'autorité regroupant les préposés européens à la protection des données (CEPD), relèvent que toutes les données personnelles ne peuvent pas transiter par l'intermédiaire des produits Microsoft 365. Cela demande soit des aménagements techniques (par exemple, la messagerie fédérale reste hébergée à l'interne, on premise), soit l’instauration d’une gouvernance rigoureuse des données. Autrement dit, il s’agit d’établir une classification claire de celles pouvant être traitées dans Microsoft 365 et celles qui ne le peuvent pas. Comme le souligne le préposé fédéral à la protection des données, se pose la question de la faisabilité de la mise en œuvre d’un tel processus.

Concrètement, cela signifie, par exemple, que chaque personne de l'administration qui voudrait envoyer un document, échanger avec d'autres, devrait déterminer quelle est la classification des données qui seront échangées et ensuite choisir l'outil ou la démarche la plus appropriée. Qui est prêt à soutenir que cela est réellement possible à l'échelle d'une administration cantonale ou communale ?

Devant cette réalité, il faut savoir qu’un projet fédéral ambitionnait, il y a quelques années, de classifier tous les documents dès leur création, afin de déterminer leur accessibilité/inaccessibilité sur internet, dans l'idée de répondre plus facilement aux exigences des règles sur la transparence. Exprimé de manière un peu caricaturale, son abandon est essentiellement dû au fait que la classification des documents prenait plus de temps que l'élaboration du document lui-même.

Au niveau de la transparence, sur les cinq requêtes déposées, quatre ont été traitées et aucune conciliation n’a échoué. Par conséquent la Commission de protection des données et de la transparence n’a pas été saisie. En revanche, le nombre de conseils en la matière est revenu à son niveau le plus haut (cinquante-deux dossiers) qui avait déjà été atteint en 2018. À relever qu’il n’y a pas de mesure des demandes d’accès traitées par les entités soumises à la CPDT-JUNE. Il est donc impossible de savoir si l’intérêt du public augmente ou non pour accéder à des documents officiels.

Quant à la dixième année d’activité, la croissance du nombre des dossiers ouverts est restée stable (476), tout comme le nombre de dossiers clôturés (482). Les dossiers en cours ne s’élèvent qu’à cinquante (contre cinquante-six fin 2021), mais ce chiffre est presque exclusivement dépendant des parties concernées et non pas du PPDT. Le registre des fichiers de données sensibles s’est modérément étoffé (+ cinquante-cinq). Seuls les responsables de fichiers de certaines communes ont été contactés en 2022.

En ce qui concerne le « quotidien » du PPDT l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Dix nouvelles surveillances de la gestion des données personnelles ont également été entreprises. Aucune n’a dû faire, pour l’instant, l’objet d’une recommandation contraignante. Aucune vidéosurveillance n’a fait l’objet de demande de régularisation par le PPDT. L’utilisation du Système d’Information Schengen (SIS II) et le Système central d’information sur les visas (VIS) n’ont pas fait l’objet de contrôle, faute de disponibilités suffisantes.

Enfin, la conclusion sera quasi la même qu’en 2020 et 2021. L’augmentation de dossiers intercantonaux problématiques doit être clairement signalée. Beaucoup de préposés cantonaux constatent, pour ne pas dire déplorent, que des fournisseurs plus ou moins publics, voire privés, proposent des projets intercantonaux de traitements de données sans avoir les ressources nécessaires pour traiter les questions de protection des données. Or, dès qu’un examen est effectué par une autorité de protection des données, il est (trop !) régulièrement constaté que des points élémentaires, tels qu’un contrat en bonne et due forme ou les bases légales nécessaires, ne sont pas respectés. Les projets étant souvent bien avancés et ayant déjà mobilisé de volumineuses ressources, les autorités concernées se retrouvent dans un certain embarras.

Autorités

Base légale

La convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a  institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une Commission de la protection des données et de la transparence (CPDT).

Tâches du titulaire

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales1, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

  • Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.

  • Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.

  • Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

  • Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.

  • Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.

  • Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).

  • Saisir la CPDT lorsque la CPDT-JUNE le lui permet.

  • Tenir le registre public des fichiers.

  • Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Organisation

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100 % et il bénéficie d'une collaboratrice administrative travaillant à 60 %.

Activités principales

Promotion de la protection des données et de la transparence

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoire est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné onze formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de trois passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Avis, prises de position, conseils et assistance

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

La moitié de l'activité (50 %) du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir Statistiques).

En 2022, le PPDT a publié 41 avis et prises de position en matière de protection des données et 7 en matière de transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

  • Les autorités chargées de lutter contre le COVID-19 sont en droit d’accéder à des systèmes d’information, sous réserve que les principes ci-après soient respectés et qu’elles obtiennent l’accord du gouvernement [lire la suite…].

  • La version des bulletins de l’école obligatoire neuchâteloise destinée à être présentée à des personnes, telles que des employeurs potentiels ou afin de suivre des formations supérieures hors canton (voire hors de Suisse), ne peut pas mentionner les absences injustifiées, faute de dispositions figurant dans une loi adoptée par le Grand Conseil. Pour les bulletins du secondaire II, la mention ou non des absences injustifiées dépend des sanctions éventuelles qu’elles amèneraient. Tant dans le secondaire I que II, les bulletins peuvent contenir les absences justifiées si un règlement ou un arrêté du Conseil d’État le prévoit, puisque les dispositions énumérées ci-dessous ne sont pas suffisamment précises, et si le principe de la proportionnalité est respecté (communication nécessaire pour atteindre le but visé) [lire la suite …].

  • Sous l’angle des règles de protection des données, les commissaires sont en droit de récolter toutes les données personnelles nécessaires à l’accomplissement de leurs tâches, mais en respectant le principe de la proportionnalité [lire la suite …].  

  • Étant donné qu’il s’agit d’une procédure administrative non contentieuse, les règles de la CPDT-JUNE sont applicables, en particulier l’art. 26 CPDT-JUNE. Il est douteux que l’application de l’art. 29 al. 2 Cst puisse s’appliquer en pareil cas, puisque selon le TAF, en raison des adoptions respectivement des différentes lois de procédure, de la loi sur la protection des données et de la loi sur la transparence, l’intérêt d’une application directe de l’art. 29 al. 2 Cst. se trouve limitée (A-4770/2019, c. 5.4.1) [lire la suite …].

  • Les décisions automatisées des entités doivent impérativement reposer sur une base légale qui devrait mentionner expressément le caractère automatique de celles-ci [lire la suite …].

  • Les caisses d’assurance-chômage sont confrontées à de multiples demandes de données personnelles d’assurés provenant de différentes administrations. Si le destinataire de la communication ne figure pas dans la liste ci-après, elle n’est en principe pas autorisée (sous réserve d’une base légale non inventoriée) et est susceptible de constituer une infraction pénale [lire la suite …].

Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2022.

AVIS PUBLIÉ EN MATIÈRE DE TRANSPARENCE

  • Pas d’avis concernant la transparence en 2022.

Sous ce lien, se trouve l'ensemble des Prises de position du PPDT pour 2022.

Procédures législatives

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté 18 fois en 2022 :

Jura

  

PROJETS SOUMIS AU PPDT

  • Avant-projet de loi concernant la prévention et la lutte contre les violences domestiques (LVD).

  • Examen du projet de révision de la loi sur la police cantonale (LPol ; RSJU 551.1).

  • Révision de la loi sur le Guichet Virtuel sécurisé (RSJU 170.42).

  • Avant-projet de loi concernant la prévention et la lutte contre les violences domestiques (LVD ; RSJU 312.1).

  • Avant-projet de révision de la loi concernant l'exercice de la prostitution et le commerce de la pornographie (LProst ; RSJU 943.1).

  • Projet de la nouvelle ordonnance Vostra imposant aux préposés cantonaux le contrôle des accès au casier judiciaire.

  • Projet de règlement communal pour la gestion des déchets et la récolte de preuve.

  • Examen du projet de concordat d'une base de données pour les polices romandes.

  • Avant-projet de convention intercantonale en matière de santé numérique (CARA).

NE


  

PROJETS SOUMIS AU PPDT

  • Projet de loi portant sur la création d'un établissement autonome de droit public pour l'AROSS.

  • Projet de décret pour les subventions LAMAl extraordinaires.

  • Projet de règlement concernant l’enquête statistique auprès des entreprises, indépendants et commerçants.

  • Projet du règlement communal sur la vidéosurveillance de la commune de Cressier.

  • Projet de révision du règlement général de la formation professionnelle.

  • Mise en place d'une politique de confidentialité.

  • Projet de directives d'utilisation des supports de stockage amovibles.

  • Examen du projet de concordat d'une base de données pour les polices romandes.

  • Modification du règlement général de police et projet d'arrêté du CC concernant les zones de vidéosurveillance, Val-de-Travers.

CH


  

PROJET SOUMIS AU PPDT

  • Pas de projet de base légale au niveau fédéral en 2022.

Vidéosurveillance

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.

JU

BASES LÉGALES ACCEPTÉES EN 2022

  • Aucune base légale relative à la vidéosurveillance.

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2022

  • Piscine en plein air : parc à vélos et entrées, commune de Porrentruy.

  • Entrée sud, sous-voies (gare Sud), commune de Delémont.

  • Ecopoint route de Bâle, commune de Delémont.

  • Centre le Ticle, commune de Delémont.

  • Déchetterie communale, commune de Boncourt.

PROJETS SOUMIS EN 2022 ET EN COURS

  • Vidéosurveillance en ligne d’un bâtiment public.

  • Vidéosurveillance d’un écopoint, d’écoles primaire et enfantine d’une commune.

  • Vidéosurveillance sur le site de la déchetterie d’une commune.

  • Projet d'étendre les zones de vidéosurveillance à des bâtiments communaux.

NE

BASES LÉGALES ACCEPTÉES EN 2022

  • Collège primaire, commune de Cressier.

  • EspaceVal et Piscine des Combes, commune de Val-de-Travers.

POSE DE VIDÉOSURVEILLANCE ACCEPTÉE EN 2022

  • Piscine des Combes, commune de Val-de-Travers.

  • EspaceVal, commune de Val-de-Travers.

PROJET SOUMIS EN 2022 ET EN COURS

  • Projet de surveillance d’un bâtiment d’entretien des routes nationales.

  • Projet de vidéosurveillance commune CFF – PONE.

Procédures de conciliation

La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci ; lorsque la conciliation échoue, la cause peut être transmise à la Commission de la protection des données et de la transparence (CPDT) pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les quatre requêtes terminées en 2022. Trois requêtes 2022 sont encore en cours de traitement. À ce jour, seule une conciliation, dont l’échec a été constaté fin 2021, a fait l’objet d’une transmission à la Commission de la protection des données et de la transparence.

CONCILIATIONS

En matière de protection des données

  • Pas de requête en protection des données terminée en 2022.

En matière de transparence

  • Demande d'accès à des documents de l'Office des faillites. Requête devenue sans objet [Détails…].

  • Demande d'accès à l'audit ou rapport d'analyse du fonctionnement du service de l'enseignement de 2016. Requête devenue sans objet [Détails…].

  • Demande d'accès à un projet de plan d'aménagement d'une commune jurassienne. Requête retirée [Détails…].

  • Demande de médiation administrative entre un particulier et une commune. Requête déclarée irrecevable [Détails…].

Surveillances

Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Le nombre d’ouvertures de surveillances reste stable (-1). En 2022, 14 surveillances ont été ouvertes et 15 se sont terminées (énumérées ci-dessous). Une est toujours en cours.

SURVEILLANCES

  • Vérification que le hacking de l'hébergeur Infopro et son application Winbiz n'a pas eu d'impact pour les entités soumises à la CPDT-JUNE.

  • Il a été demandé de supprimer des fichiers librement accessibles sur internet par erreur.

  • Il a été vérifié que le processus de reconnaissance faciale de la PONE est conforme à la CPDT-JUNE. La pratique se faisant sous le CPP, aucune remarque n'a été formulée.

  • Suivi du hacking de la HEG Neuchâtel.

  • Il a été vérifié que le SIEN et le SDI n'ont pas été concernés par les dépôts GIT faillibles.

  • Établissement d'un état des lieux de la sécurité informatique des communes : le constat a conduit à s'approcher du SDI pour mettre sur pied une stratégie commune de sécurité au vu de l'ampleur du travail.

  • Suivi de l'attaque informatique de l'Université de Neuchâtel : au regard des explications et des rapports transmis, aucune procédure de surveillance formelle ou recommandation n'a été nécessaire.

  • Vérification de l'utilisation de Therefore dans l'administration : les points surveillés n'ont pas donné lieu à l'émission de recommandation.

  • L’audit de sécurité d'un fournisseur révèle qu'une de ses applications peut être une source de danger.

  • Suivi de la tentative d'attaque du réseau RPN secondaire II.

  • Obtention du rapport du degré de dépendance à certaines applications. Après examen du rapport de dépendance envers les fournisseurs d'applications, il s'avère que les données personnelles et non personnelles restent, quoi qu'il arrive aux prestataires, sous la maîtrise des autorités jurassiennes.

  • Vérification qu'un employé licencié ne parte pas avec des données personnelles traitées par l'Université de Neuchâtel.

  • Dénonciation d'un traitement relatif au casier judiciaire.

  • Examen du respect des règles de protection des données par le fournisseur eOperation de l'application eDéménagement.

  • Suite à une vérification de l'application gérant les vaccinations pour lutter contre la pandémie du COVID-19, il s'avère qu'elle nécessitera de nouvelles bases légales lorsque la situation de santé publique sera revenue à la normale.

Formations continues suivies

Le PPDT suit chaque année des cours de formation continue comme l’exigent les règles sur la protection des données :

  • L’expertise en procédure et le nouveau droit des successions ; 1 jour ; novembre, Université de Neuchâtel.

  • 15ème journée suisse du droit de la protection des données : Protection des données et protection de la santé ; 1 jour ; septembre, Fribourg.

  • 26ème Symposium Privacy & Security : Technologie de l'IA, cloud et cybersécurité, les défis de la protection des données, Privatim ; 1 jour ; juin, Zürich.

  • Les rendez-vous de la Transparence : 20 ans de transparence à Genève ; demi-journée ; mai, Genève.

  • Journée du CERT : Le télétravail et les nouveautés en droit du travail ; 1 jour; avril, Université de Neuchâtel. 

  • Colloque : Droit de la protection des données, UniL CEDIDAC ; demi-journée ; mars, Lausanne.

Formations et conférences données

Le PPDT est chargé de promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités au sujet des principes inscrits dans la CPDT-JUNE. C’est pourquoi il est amené à donner les formations et conférences suivantes :

  • Intervention au Conseil scolaire, Neuchâtel ; novembre.

  • Intervention dans la formation de conseiller à la protection des données en entreprise, Lausanne ; novembre.

  • Intervention dans un cours de l’Université de Neuchâtel pour présenter l'autorité de protection des données et de transparence, Neuchâtel ; octobre.

  • Conférence pour le compte du Conseil de l'Europe dans le cadre de l'AFPD, visioconférence ; octobre.

  • Cours sur le règlement général sur la protection des données : Vue d'ensemble et importance pour la Suisse ; novembre ; Institut Europe, Université de Zurich.

  • Formation continue d'AvenirFormation pour : Certificat spécialiste en office de la population ; septembre-octobre.

  • Cours sur la protection des données et la transparence à une association d'administrateurs communaux ; septembre ; Val-de-Ruz.

  • Cours sur les réseaux sociaux et leurs dangers au Lycée Jean-Piaget, Neuchâtel ; septembre.

  • Cours sur la protection des données et la transparence, SRHE, Neuchâtel.

  • Formation aux avocats-stagiaires jurassiens ; août.

  • Intervention à un CAS de l'Institut de droit de la santé, Université de Neuchâtel, Neuchâtel ; juin.

  • Intervention dans le module sur les Données et Cloud dans la formation de Correspondant en environnement numérique, AvenirFormation ; juin.

  • Cours à l'École supérieure d'informatique de gestion, Delémont ; juin.

  • Cours sur le Dopage et le statut personnel du sportif, Université de Neuchâtel ; mai.

  • Intervention auprès des préposés de Privatim sur le conseil personnalisé versus informations générales, Soleure ; avril.

  • Conférence aux enseignants du Secondaire II sur le sujet de la protection des données ; mars.

  • Intervention à l’Assemblée générale de l’Union Syndicale des Polices Romandes ; mars.

  • Participation à une table ronde pour présenter les préoccupations des préposés, Université de Lausanne, visioconférence ; janvier.

Recommandations

Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.

Une recommandation impose aux responsables de traitement de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.

Registre des fichiers

Un formulaire sur le site internet du PPDT a été mis à disposition des autorités jurassiennes et neuchâteloises. Il est rappelé progressivement l’obligation de déclarer les fichiers de données sensibles2 à l’ensemble des entités soumises à la CPDT-JUNE.

Les déclarations semblent exiger des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches.

Jusqu’à fin mars 2023, 158 fichiers jurassiens ont été déclarés et 172 neuchâtelois. Les déclarations n’ont pas beaucoup augmenté (+55), mais les entités n’ont pas été fermement relancées, étant donné qu’il s’agissait d’une année de transition vers un retour « à la normale ». La cartographie des fichiers de données sensibles s’étoffe gentiment, mais le registre reste encore incomplet.

Collaborations

Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS II, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.

Depuis avril 2014, le PPDT a intégré le comité de privatim, conférence suisse des préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a pu, cette année encore, profiter de plusieurs interventions, notamment à propos des nouveautés introduites dans les règles de protection des données, telles que les analyses d’impact et les annonces de violations de sécurité, ainsi que des projets d’échanges entre les polices cantonales et du projet E-Déménagements toujours en cours.

Le PPDT est également membre, depuis 2015, de l’Organisation d’accompagnement intercantonal à Schengen/Dublin de la Conférence des gouvernements cantonaux chargée d’aider les cantons dans les changements imposés par l’Union européenne dans ce cadre-là.

Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles en présentiel et des visioconférences régulières toutes les six semaines.

Comptes

Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.

Le budget 2022 a été bien respecté puisqu’il en ressort une économie de SFr. 32'935.-. La plus grande partie des économies s’explique par la non-utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité et de l’ampleur des dossiers rencontrés ainsi que du temps à disposition. Le solde restant est inhérent à l’établissement d’un budget. Excepté un dépassement de SFr. 411.25 dans le compte Littérature spécialisée, Swisslex (3103), aucune charge hors salaire n’a dépassé le budget.

Par ailleurs, les comptes 2013 à 2016 (rapport 2017, annexe 2/1), ainsi que les comptes 2017-2019 (rapport 2020, annexe 1/ 1) ont été contrôlés par le Contrôle des finances jurassien. Le dernier rapport a constaté que la comptabilité était régulièrement tenue, sans formuler de remarque.

 
       

Numéro de compte

Intitulé du compte

Budget 2022 (en Frs.)

Comptes 2022 (en Frs.)

Différence (en Frs.)

115.3010.00

Traitements du personnel

  189'400.00

182'534.15

- 6'865.85

115.3010.09 Remboursement salaires pers..adm. & d'exp. 0.00 -9'697.45 -9'697.45

115.3050.00

Assurances sociales

   12'100.00

11'550.05

- 549.95

115.3051.00

Caisse de pensions

  21'000.00

21'391.80

391.80

115.3053.00

Assurances-accidents

       400.00

349.20

- 50.80

115.3054.00

Cotisations allocations familiales

    4'900.00

4'808.70

- 91.30

115.3055.00

Cotisations patronales aux assurances ind. journalières

    1'500.00

1'442.80

- 57.20

115.3090.00

Formation et perfectionnement du personnel

     4'000.00

500.00

- 3'500.00

115.3100.00

Fournitures de bureau

       300.00

59.85

- 240.15

115.3103.00

Littérature spécialisée, Swisslex

    2'600.00

3'011.25

411.25

115.3113.00

Matériel informatique

200.00

0.00

- 200.00

115.3130.00

Prestations de services de tiers

  17'500.00

7'381.87

- 10'118.13

115.3160.00

Loyers

  12'000.00

12'000.00

0.00

115.3170.00

Dédommagements, frais déplacem.

    6'000.00

3'632.10

- 2'367.90

115.3199.00

Autres charges d'exploitation

          0.00

0.00

0.00

115.3910.00

Imp. int. pour prestations de services

  26'000.00

26'000.00

0.00

 

Total des charges

297'900.00

264'964.32

- 32'935.68

115.4210.00

Emoluments administratifs

      500.00

1'297.50

797.50

115.4611.00

Part neuchâteloise (71%)

 211'200.00

190'588.45

- 20'611.55

 

Total des revenus

211'700.00

191'885.95

- 19'814.05

       Solde

Part jurassienne (29%)

   86'200.00

73'078.37

- 13'121.63

Statistiques

Les graphiques ci-après permettent de détailler les 476 dossiers ouverts en 2022.

Le nombre d’ouvertures de dossiers est passé de 524 à 476 (-48) entre 2021 et 2022, soit une baisse de près de 10 %. Le nombre de dossiers classés est légèrement supérieur à celui des dossiers ouverts. Fin 2022, 50 dossiers étaient dans l’attente de nouvelles ou de réponses, alors qu’ils étaient 56 en 2021, 58 en 2020, 57 en 2019, 81 en 2018, 105 en 2017 et 107 en 2016. Bien que la diminution des dossiers en cours contribue à conserver un bon suivi des dossiers, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.

La moitié de l'activité (50 %) consiste à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence est revenu à son niveau le plus élevé, soit 52, qui avait été atteint en 2018, alors qu’en matière de protection des données, la diminution est de 50 dossiers. Quant aux dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, le nombre est resté relativement stable (215).

Les renvois au Préposé fédéral à la protection des données n’ont que légèrement augmenté (+3). Plus les administrés s’intéresseront au sujet de la protection des données, plus ces erreurs « d’aiguillage » surgiront. Il n’est pas facile pour les non-initiés de savoir quelle autorité est compétente dans un cas d’espèce.

Les dossiers relatifs aux communes représentent cette année 14 % du total, contre 18.5 % en 2021, chiffre néanmoins relativement stable au cours de ces dernières années.

La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.

A. Répartition des dossiers par matière et évolution annuelle

B. Répartition des dossiers par activité en protection des données

C. Répartition des dossiers par activité en transparence

D. Répartition des dossiers par activité commune à la transparence et la protection des données

E. Nombre de dossiers par initiateur

F. Répartition des dossiers par initiateur

G. Moyens de saisie utilisés

H. Sujets des dossiers

I. Responsables de traitements concernés

Utilisation du site internet www.ppdt-june.ch

Selon l’ outil d’analyse du site www.ppdt-june.ch, il ressort, pour l’année 2022, que :

  • Plus de 12'000 personnes différentes ont consulté le site.

  • Les pages relatives aux casier judiciaire et extrait de poursuites, aux entités concernées, aux guides pratiques et à la classification des données, ainsi qu’aux modèles de documents font partie des pages les plus consultées.

  • 2.9 pages consultées en moyenne (2.3 en 2021, 2.7 en 2020).

  • 52 consultations journalières (60 en 2021, 18 en 2020).

  • 22 % des visiteurs ont utilisé Firefox et 32 % Chrome, alors que globalement, c’est plutôt respectivement 3.3 % et 64 %.

  • 78 % des visiteurs ont utilisé un PC et 22 % leur téléphone.

  • La moitié des utilisateurs vient sur le site depuis une recherche Google.

À terme, ces statistiques permettront de mieux cibler les pages qui méritent une attention particulière et de vérifier l’efficacité de la communication par l’intermédiaire du site.

Bilan

Cette année de transition vers un retour à la normale post COVID-19 a cherché à régulariser des situations mises sur pied rapidement. Les nouveautés sont arrivées si vite, qu’il faudra un peu de temps pour s’assurer que tout est en conformité.

Après avoir connu une forte augmentation en 2021, le nombre de dossiers semble trouver une stabilisation à +- 480 dossiers par an. L’entrée en vigueur des modifications de la CPDT-JUNE au 1er octobre 2022 va sans doute provoquer l’ouverture d’un certain nombre de dossiers, de même que la médiatisation actuelle et future de l’arrivée de la nouvelle loi fédérale sur la protection des données (LPD), comme l’avait fait l’arrivée du RGPD en 2018 (établissant un premier record de dossiers ouverts à 495). Le premier trimestre 2023 ne laisse pas, pour l’instant, présager une augmentation similaire à 2021, année record avec ses 524 dossiers ouverts.

Comme chaque année, le PPDT a cherché à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a été saisie qu’une fois en 2022 (pour un dossier 2021), alors que quatre conciliations ont été traitées dans le même laps de temps, la réalisation de cet objectif se confirme année après année.

Pour 2023, il s’agira d’accompagner au mieux les entités pour qu’elles s’adaptent aux nouveautés arrivées avec la révision de la CPDT-JUNE. Cette démarche exigera un effort momentané conséquent, tant de la part du PPDT que des entités concernées. Le site internet www.ppdt-june.ch s’est largement étoffé pour répondre aux questions suscitées par les nouvelles dispositions légales.

Enfin, la vague de hacking rencontrée depuis l’été 2021 a conduit le PPDT à s’associer, en 2022, au service informatique du canton du Jura pour essayer d’améliorer le niveau de sécurité informatique des communes jurassiennes. Cette démarche mobilisera le PPDT de manière conséquente en 2023.

 

 

Notes :  

[1] Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.

[Retour au texte]


[2] Définition de données sensibles : opinions ou appartenance à une association syndicale, religieuse, politique ou philosophique; données relatives à la santé; données que la personne concernée réserve à un cercle très restreint de proches; lieu/pays d'origine, ethnie; prestations sociales; mesures de curatelles; poursuites ou sanctions pénales ou administratives; données biométriques ou génétiques; ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.

[Retour au texte]

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.