Préposé à la protection des données et transparence Jura-Neuchâtel

Surveillances effectuées par le PPDT

Protection des données

Surveillances en cours

  1. Vérification des droits d'accès dans le cadre des contrôles du SIS II (dossier 2017.1866).

  2. Vérification de la publication d'une liste d'élèves sur internet (dossier 2017.1887).

  3. Demande à une commune de respecter le principe d'exactitude pour les données d'un dossier (dossier 2017.1852).

  4. Vérification de la conformité d'une vidéosurveillance d'une entité paraétatique (dossier 2017.1762).

  5. Vérification de la conformité du Registre des armes cantonal échangé avec les autres cantons (dossier 2016.1674).

  6. Demande au maître du fichier d'un case management de s'assurer du respect de quelques modalités (dossier 2017.1724).

  7. Intervention pour demander la régularisation du dossier médical des élèves et des visites préscolaires obligatoires (dossier 2016.1476).

  8. Demande de respect des exigences de protection des données avant d'utiliser des produits Apple pour enseigner (dossier 2016.1404).

  9. Demande de régularisation d'une vidéosurveillance dans une déchetterie communale (dossier 2017.1761).

  10. Intervention pour s'assurer que le projet GestionNE prend en compte les exigences de protection des données et de transparence (dossier 2016.1631).

  11. Vérification du bien-fondé de la présence de la date de naissance des propriétaires dans le guichet cartographique jurassien (dossier 2016.1499).

  12. Demande d'explication à propos d'application d'un fournisseur externe (dossier 2015.1083).

  13. Évaluation des conséquences de la suppression de la protection de la vie privée aux USA pour les non américains (dossier 2017.1729).

  14. Problème de la sous-traitance sous l'angle du secret de fonction (dossier 2016.1367).

  15. Vérification de la conformité de l'application du Registre du contrôle des habitants (dossier 2016.1318).

  16. Vérification de la conformité du nouveau système d'information et de gestion (SIGE) dans le canton de Neuchâtel (dossier 2015.0997).

Surveillances planifiées en 2017

  1. Contrôle des logs files de la centrale de la police jurassienne sur 3 jours (septembre).

  2. Contrôle de l'utilisation des données récoltées dans le SIS II par le service des migrations jurassien (octobre).

  3. Contrôle de l'utilisation des données récoltées par la police neuchâteloise dans le SIS II (novembre).

  4. Contrôle de l'utilisation des données récoltées par la police jurassienne dans le SIS II (décembre).

Surveillances terminées en 2017

  1. Rappel des bonnes pratiques en cas de publication de photos d'enfants/jeunes sur internet par une entité soumise à la CPDT-JUNE (dossier 2017.1884).

  2. Le SRH NE n'est pas en droit de conserver les données concernant des activités accessoires autorisées au-delà du temps nécessaire au contrôle; ce service a pris les mesures pour respecter cette obligation (dossier 2017.1814).

  3. Vérification que la fraude du SCCO n'a pas induit des traitements de données illicites (dossier 2017.1759).

  4. Échanges de données avec la plateforme CII (dossier 2016.1336).

  5. Des communications de données aux cantons par un centre de recrutement de l'armée suisse ont été dénoncées au Préposé fédéral de la protection des données et à la transparence. Les principes de la sécurité et de la proportionnalité n'étaient pas respectés. Le Département fédéral de la défense, de la protection de la population et des sports (DDPS) a pris les mesures nécessaires (dossier 2016.1358).

  6. Suite aux démarches effectuées par le Préposé fédéral à la protection des données (communiqué de presse du 11 janvier 2017), il s'avère que l'installation de Windows 10 peut s'effectuer en respectant la CPDT-JUNE, pour autant qu'une attention particulière soit portée sur un paramétrage adéquat, notamment en suivant les recommandations de ce rapport (dossier 2015.1169).

  7. Compte tenu que le projet eGris ne concerne actuellement pas les cantons du Jura et de Neuchâtel, le PPDT renonce à surveiller ce projet puisque Privatim s'en charge (dossier 2015.1079).

  8. Le PPDT a effectué un inventaire des vidéosurveillances installées ou en projet dans les communes jurassiennes et neuchâteloises. Ce contrôle a provoqué l'ouverture de dossiers de régularisation dont certains sont toujours en cours (dossier 2015.1163).

  9. Bien que la Confédération aie adopté mi-janvier 2017 un nouvel accord avec les USA (Swiss-US Privacy Shield framwork) et que ce pays est dès lors considéré comme possédant une législation équivalente à la Suisse, les décisions de Donald Trump à la fin janvier 2017 imposent une grande circonspection. Quoi qu'il en soit, il n'est pas possible d'y envoyer des données sans notamment respecter rigoureusement les articles 27 CPDT-JUNE et 6 LPD . De surcroît, les traitements de données en lien avec les USA remplissent très difficilement les conditions posées par l'article 54 CPDT-JUNE (dossier 2015.1210).

Surveillances terminées en 2016

  1. Il a été vérifié qu’un stagiaire d’un service cantonal jurassien était légitimé à traiter certaines données (dossier 2016.1396).

  2. Examen a posteriori d’un règlement non soumis au PPDT avant son adoption (dossier 2016.1514).

  3. Vérification, a posteriori, du règlement d'une commune, prétendument préavisé positivement, pour la pose d'une vidéosurveillance (dossier 2016.1429).

  4. Il a été demandé que les webcams de Tourisme neuchâtelois évitent au maximum la récolte et le stockage de données personnelles (dossier 2016.1356).

  5. Il a été demandé au Ministère public de s'assurer que le contenu des ordonnances pénales actuelles était bel et bien conforme au "nouveau" Code de procédure pénal fédéral (dossier 2015.0957).

  6. Il a été vérifié que le projet de coopération avec le Canton de Fribourg pour le guichet unique ne comprenait pas de traitements de données personnelles (dossier 2016.1660).

  7. Il a été vérifié que les données des messageries neuchâteloises étaient toujours stockées dans le canton, malgré l'arrivée d'Outlook 2016 server (dossier 2016.1646).

  8. Microsoft a affirmé dans des offres que certains de leurs produits destinés aux administrations publiques étaient parfaitement conformes aux règles sur la protection des données et validés par le Préposé fédéral à la protection des données. Cette affirmation a fait l'objet d'un contrôle et il s'est avéré que le PFPDT ne s'est prononcé que pour les produits destinés aux personnes privées (dossier 2016.1600).

  9. Suite à la communication d'un fichier d'adresses à une stagiaire étudiant à la HES, il a été demandé de rigoureusement effacer le fichier et les données personnelles sur tous les supports, excepté celles des personnes ayant donné leur consentement au traitement (dossier 2016.1670).

  10. Le PPDT a dû rappeler à la Police neuchâteloise que les projets de loi concernant la protection des données devaient préalablement lui être soumis (dossier 2016.1589).

  11. Le PPDT a dû demander au SRH NE de prendre des mesures pour améliorer la protection de la personnalité des candidats soumis à un assessment, parce que ce service a choisi pour ce faire d’utiliser une web application (PerformanSE) hébergée en France, sans s’assurer au préalable que la CPDT-JUNE était respectée. Alors que le prénom et une initiale du nom figuraient précédemment dans l’application, aucun élément de l'identité des candidats n'y figure désormais. Le SRH a également été rendu attentif qu’une modalité administrative imposée par le droit français n’était pas respectée et des conséquences qui pourraient s’en suivre. Le PPDT regrette les difficultés rencontrées dans ce dossier, imputables essentiellement au fournisseur de l’application, pour obtenir les renseignements nécessaires pour effectuer sa surveillance (dossier 2015.1271).

  12. En collaboration avec le service informatique du Jura (SDI), il a été mis en place un outil permettant au PPDT de connaître les projets informatiques impliquant le traitement de données personnelles (dossier 2015.1220).

  13. Une commune peu coopérative a adopté un règlement de vidéosurveillance sans le soumettre préalablement au PPDT. Compte tenu que les exigences des règles de protection des données n'étaient pas pleinement respectées, il a été demandé des corrections. Le projet a finalement été abandonné (dossier 2015.1002).

  14. Un sondage a été effectué afin de se faire une idée du degré d'information et de sensibilisation nécessaire pour les utilisateurs du Système d'information Schengen II (SIS II). Les résultats ont fait l'objet d'un rapport spécifique (dossier 2015.1068).

  15. Suite à un article de presse relevant qu'une école valaisanne publiait des données d'élèves sur des réseaux sociaux, il a été vérifié auprès de l'ensemble des directions d'école du secondaire I et II, jurassiennes et neuchâteloises, si de telles pratiques existaient. Il ressort de la vérification qu'en principe les enseignants ont été sensibilisés à la problématique et que les publications en cause ne devraient pas avoir eu lieu. Les personnes intéressées peuvent se rappeler les principes à respecter en consultant ce lien.

    En revanche, il a néanmoins été constaté que l'utilisation de WhatsApp n'était pas rare. Or, ce service pose autant de problèmes que les réseaux sociaux du point de vue de la protection des données. C'est pourquoi il a été rédigé un avis sur cette application dont le lien a été envoyé à l'ensemble des directions sollicitées (dossier 2016.1473).

  16. Suite au constat de l'absence de bases légales pour la vidéosurveillance à l'Université de Neuchâtel, la loi sur l'Université a été modifiée en conséquence (dossier 2015.1258).

  17. Une entité paraétatique a été rendue attentive qu'il est illicite d'utiliser Google Education pour le traitement de données personnelles (dossier 2015.1195).

  18. Vérification de la mise en place d'un règlement cantonal sur le registre des tumeurs. Il sera attendu l'arrivée du nouveau droit fédéral en la matière (dossier 2016.1412).

  19. Il a été vérifié que deux entités quittant l'hébergement mis à disposition par le SDI ne stockent pas leurs données dans un cloud non conforme aux exigences de la protection des données (dossier 2016.1322).

  20. Une commune a mis hors service son système de vidéosurveillance suite au constat de l'absence de bases légales (dossier 2015.1255).

  21. Suite au constat de l'absence de bases légales pour la vidéosurveillance dans une commune neuchâteloise, un projet de loi est en cours d'élaboration (dossier 2015.1217).

  22. Suite au constat de l'absence de bases légales pour la vidéosurveillance dans les structures extrascolaires, il a été adopté un arrêté par le Conseil d'Etat (dossier 2015.1096).

  23. Suite au constat de l'absence de bases légales pour la sous-traitance des impressions des services de l'État neuchâtelois, un projet a été soumis au Grand Conseil (dossier 2014.0927).

  24. L'utilisation d'un keylogger par une école professionnelle n'étant pas conforme, il a été supprimé (dossier 2015.1274).

  25. L'enregistrement, par Hôpital neuchâtelois, de certaines patientes étrangères mariées, sous leur nom de jeune fille, est conforme aux règles sur les registres d'Etat civil et du contrôle des habitants (dossier 2015.1161).

  26. Il a été demandé que la publication dans une école de la liste d'anniversaires des élèves ne se fasse pas sans l'accord préalable de ces derniers (dossier 2015.1268).

  27. Il a été demandé à la PONE d'éviter qu'apparaisse la mention "non-respect de la vitesse maximale autorisée"  dans l'entête visible sur l'enveloppe (dossier 2015.1209).

Surveillances terminées en 2015

  1. Mise en place de mesures de sécurité au service des contributions (dossier 2013.0613).

  2. Le cadre des déclarations faites sur Facebook par un élu a été vérifié. Il s'est avéré que les données provenaient du cercle privé d'amis et ont été reportées à titre personnel (dossier 2015.1294).

  3. Le traitement des factures pour les prestations de traitements stationnaires dans le domaine de l'assurance-maladie obligatoire a été vérifié (dossier 2013.0618).

  4. Il a été fait un "bref" tour d'horizon des webcams posées par des entités soumises à la CPDT-JUNE. Parmi toutes celles trouvées, aucune ne semble pouvoir actuellement récolter des données personnelles, puisque personne n'est a priori reconnaissable (dossier 2011.0202).

  5. Il a été vérifié si le DFS neuchâtelois était en droit de récolter des données auprès de Prévoyance.ne pour calculer les subventions accordées aux EMS (dossier 2015.0971).

  6. Il a été rappelé à une entité qu'il faut utiliser le champ CCi pour envoyer un e-mail à un nombre conséquent de destinataires (dossier 2015.1010)

  7. L'application Outlook pour IOS et Android a été interdite par les services informatiques puisqu'il s'agit en fait d'un cloud qui stocke toutes les données transitant par la messagerie professionnelle (dossier 2015.0979).

Surveillances terminées en 2014

  1. Les écoles bénéficiant d'un contrat avec Swisscom pour la liaison internet de leurs ordinateurs respectent les règles sur la protection des données. Cette société ne traite pas de données personnelles d'élèves, mais seulement celles du poste de travail (dossier 2013.0598).

  2. Le service chargé de fixer les tarifs des crèches a demandé à celles-ci d'obtenir les données financières des personnes payant le montant maximal, dans le but de vérifier le bien-fondé des montants perçus. Il a été demandé que les crèches prennent quelques précautions et qu'à l'avenir il soit évité cet intermédiaire (dossier 2014.0860).

  3. Lors des entretiens d'embauches dans l'administration neuchâteloise, il était particulièrement courant de poser des questions relatives à une éventuelle grossesse. Le SRH s'est engagé à rappeler aux personnes concernées que cette pratique devait cesser (dossier 2014.0906).

  4. Il a été demandé à un hôpital d'améliorer la confidentialité lors d'échanges dans les locaux des urgences; le maximum est fait au vu des contraintes. Une nette amélioration nécessitera un investissement relativement conséquent (dossier 2014.0873).

  5. Une entité cherchait à obtenir les relevés téléphoniques de ses employés, contenant des données privées et professionnelles; il a fallu demander au service compétent d'empêcher ce traitement de données (dossiers 2013.0582, 2014.0942).

  6. Il a été vérifié si un EMS utilisait de la vidéosurveillance en conformité avec la CPDT-JUNE; des bases légales devront être adoptées par le canton (dossier 2013.0562).

  7. Le transfert de la centrale 144 au canton de Vaud a été examiné sous l'angle de la protection de données; après des échanges de courriels, le contrat a été adapté aux exigences de la CPDT-JUNE (dossier 2013.0394).

  8. Il a été demandé aux écoles de veiller à n'utiliser Office 365 que si elles bénéficient du contrat spécial de Microsoft, assurant que les données sont hébergées exclusivement en Europe (dossier 2014.0746).

  9. Dossier d'un postulant transmis sans l'avertir à des tiers susceptibles d'être intéressés; le service du personnel a reconnu son erreur et a pris des mesures (dossier 2013.0633).

  10. L'utilisation de l'application Psimed par le Centre médico-psychologique est conforme aux règles sur la protection des données, puisque les dossiers sont hébergés sur le réseau RCJU (dossier 2014.0446).

  11. La mise aux enchères de plaques d'immatriculation par le SCAN respecte les règles sur la protection des données (dossier 2014.0896).

  12. La publication sur internet du Journal officiel jurassien des années 2002 à 2010, contenant notamment les condamnations pénales, n'est pas conforme à la CPDT-JUNE. L'accès a dû être limité à l'intranet (dossier 2013.0496)

  13. Vérification de la légalité d'une vidéosurveillance dans un home; elle devra faire l'objet d'une régularisation, comme l'ensemble de ce genre d'installation (dossier 2013.0562).

  14. Vérification de l'usage du SIS par la police; aucune irrégularité constatée (dossier 2013.0577).

  15. Vérification des modalités d'utilisation d'une grille d'observation des personnes au bénéfice d'un emploi temporaire (2011.0125).

  16. Liste des députés n'ayant pas rempli leurs obligations en matière fiscale; seule une liste anonymisée a été établie (dossier 2014.0756).

  17. Publications des listes de passage aux examens professionnels, ainsi que les résultats; seuls les résultats continueront d'être publiés (dossier 2013.0525).

  18. Utilisation de Google Analytics par les sites Internet des entités soumises à la CPDT-JUNE : le site ne.ch n'est pas soumis à Google Analytics contrairement à jura.ch. Ce dernier a intégré un avertissement aux utilisateurs et étudie la possibilité de changer (dossier 2013.0455).

  19. Il a été demandé d'être vigilant lors de la publication de noms dans les communiqués de presse (dossier 2014.0705).

Surveillances terminées en 2013

  1. Il a été demandé au Registre du Commerce de ne plus mettre en ligne les documents comportant une signature manuscrite (dossier 2013.0440).

  2. Le service des contributions neuchâtelois a modifié la convention qui le lie à son sous-traitant pour que les traitements de données soient conformes aux règles de la CPDT-JUNE (dossier 2011.0110).

  3. Il a été demandé à un hôpital de ne plus transmettre un dossier de postulation à des tiers sans l'accord de la personne concernée (dossier 2013.0621).

  4. Il a été demandé dans un cas particulier de vérifier si les données relatives à un test de dépistage du VIH avaient été traitées conformément à la loi. Il s'est avéré que c'était bien le cas (dossier 2013.0632).

  5. Factures téléphoniques Swisscom détaillées des employés ayant adhéré au CMN adressées directement aux autorités communales; il s'agissait d'une erreur qui a été immédiatement corrigée (dossier 2013.0582).

  6. Une vidéosurveillance installée dans un home filmerait le domaine public; après vérification, tel n'est pas le cas (dossier 2013.0562).

  7. Communications trop conséquentes d'un conseiller communal à propos d'un dossier en cours; il a été pris acte des remarques (dossier 2013.0530).

  8. Utilisation des fiches d'hôtel par la police; la police jurassienne a changé sa pratique qui n'était pas conforme, contrairement à celle de la police neuchâteloise (dossier 2013.0514).

  9. Communication d'un contrôle des Transports Neuchâtelois aux journalistes; il a été pris acte des remarques (dossier 2013.0484).

  10. Mise en ligne des statuts des entreprises avec les signatures manuscrites; le registre du commerce neuchâtelois a changé sa pratique (dossier 2013.0440).

  11. Formulaires de santé récoltés directement par les services administratifs d'une caisse de pension; la caisse de pension a changé sa pratique (dossier 2013.0390).

  12. Vidéosurveillance dans un centre sportif; la mise en conformité a été effectuée (dossier 2011.0237).

  13. Vidéosurveillance d'une déchetterie; le projet a été abandonné car cette dernière n'était pas conforme aux règles sur l'aménagement du territoire (dossier 2012.0348).