Préposé à la protection des données et transparence Jura-Neuchâtel
Thèmes de A à Z
Rechercher dans le site Qui est concerné ?
Entité et personnes concernées Règles applicables
Convention CPDT-JUNE, ... Modèles Documents
Pour entités et particuliers Guides pratiques
Procédures, vidéosurveillance, ...
AccueilDocumentationThèmes A-ZSystème d'information Schengen (SIS)Rapport d'évaluation

Rapport d'évaluation (condensé)

Protection des données

Sommaire

Rapport sur l’évaluation de la protection des données en Suisse

Le comité d’évaluation s’est rendu dans les services suivants :

  • Préposé fédéral à la protection des données et à la transparence (PFPDT)

  • Office fédéral des migrations

  • Office fédéral de la police

  • Bureau SIRENE auprès de fedpol

  • Autorité cantonale de protection des données des cantons de Neuchâtel et du Jura

  • Autorité cantonale de protection des données du canton de Berne

  • Centre de services informatiques du DFJP

Les informations ci-dessous ne reprennent que les passages relatifs aux cantons du Jura et de Neuchâtel.

Autorités de protection des données : indépendance, structure, compétences, budget, surveillance

Budget

a. Observations du comité d’évaluation

Un budget commun est arrêté pour l’ACSu1 NE/JU. Une discussion a tout d’abord lieu avec l’administration des finances du canton du Jura. Le PPDT soumet ensuite le budget aux directeurs cantonaux des finances des cantons NE et JU afin qu’il soit intégré dans le budget cantonal annuel. Une fois adopté par les deux gouvernements, le budget est discuté dans les commissions parlementaires cantonales compétentes avant d’être avalisé par les parlements. La loi n’empêche pas les instances susmentionnées de modifier le budget; il a cependant été précisé aux experts qu’il existe une longue tradition de respect de l’indépendance des organes administratifs. Il a été ajouté qu’il s’agit de la procédure budgétaire courante à l’échelon cantonal.

b. Remarques et recommandations du comité d’évaluation

Le comité d’évaluation estime qu’il est inhabituel qu’un service de protection des données soit commun à deux cantons. Étant donné qu’il n’a été introduit qu’au début 2013, il n’est pas encore possible de dire si cette structure est adéquate, notamment pour les tâches Schengen. Le PPDT considère que le service fonctionne bien.

Le comité d’évaluation estime que le processus budgétaire est complexe. De plus, la nécessaire approbation du budget par deux exécutifs autorisés à apporter des modifications ne satisfait pas l’exigence d’indépendance.

Compétence et pouvoirs

a. Observations du comité d’évaluation

Dans les cantons qui ont un PPDT et une commission sur la protection des données, l’examen a porté sur les compétences et les pouvoirs d’intervention des deux organes.

Compétences :

  • Tenue des registres publics des fichiers
  • Étendue de la surveillance : porte-t-elle aussi sur l’exécutif, les tribunaux, les communes (est-elle directe ou s’agit-il seulement d’une supervision ?), etc.
  • Tâches d’information
  • Conseil de l’administration (y compris propositions d’amélioration)
  • Conseil des personnes privées (information sur leurs droits)
  • Traitement de réclamations de personnes privées / tâches de médiation du PPDT entre les personnes privées et les services compétents
  • Défense des intérêts des personnes privées qui n’ont pas droit à l’information ou qui ne disposent que d’un droit limité à l’information.
  • Prise de position sur des projets de loi / sur les futures banques de données ; le PPDT est-il associé en temps utile ?
  • Rapport annuel / destinataires du rapport annuel (Conseil d’État, Parlement, les deux)
  • Collaboration avec les autres organismes de protection des données (Confédération, autres cantons, communes, autres pays).

Pouvoirs d’intervention :

  • Pouvoirs d’investigation : doivent être exercés de manière proportionnée ; aucune autre limitation.
  • Avis (opinions) lors de consultations
  • Propositions (proposals) dans des cas peu complexes liés à ses tâches de surveillance
  • Recommandations dans les cas de violation de la protection des données ; à chaque fois, description de la procédure et de ce qui se passe lorsqu’une recommandation n’est pas suivie d’effet. À savoir : qui adopte la décision, qui peut la faire suivre à l’instance supérieure ?
  • Le PPDT peut-il prononcer des amendes ? Existe-t-il d’autres possibilités de sanctions (par ex. possibilité pour le PPDT de faire supporter par l’entité responsable les frais résultant du refus de collaborer avec le PPDT) ?

Contrôle / supervision

Énumération des pouvoirs prévus par chaque législation cantonale et leur utilisation par le PPDT ; développements sur la manière dont le PPDT réalise un contrôle SIS.

  • Demande des log-files ; procédure suivie lorsqu’il est constaté (après un contrôle) que des améliorations sont nécessaires.
  • Y-a-t-il des cas dans lesquels la police n’a pas suivi les recommandations ? Si oui, quelle est alors la procédure suivie ?
  • Qui effectue un contrôle SIS : le PPDT, un externe mandaté à cette fin ou la police elle-même ? À chaque fois, développements sur la manière dont le contrôle est organisé / réalisé.
  • Existe-t-il une planification des activités de contrôle (intégrée dans la planification annuelle par exemple) et (comment) le PPDT fixe-t-il des points auxquels il prêtera une attention particulière (utilisation de critères comme des volumes de données traitées, la création d’une banque de données, le nombre de personnes privées concernées, etc.) ?
  • Exercice des pouvoirs de surveillance : qui est à l’origine de leur exercice ? Sont-ils exercés à la propre initiative du PPDT, à la demande d’une personne concernée, d’un responsable des données ou d’une autorité ?
  • Moyens à disposition pour exercer ces pouvoirs : s’agit-il des mêmes moyens pour les domaines Schengen et pour les autres domaines (avec mention de la base légale) ?
  • Étendue de ces pouvoirs : ces pouvoirs sont-ils étendus (tout en respectant bien sûr le principe de proportionnalité) ? Le PPDT peut-il décider de ce qu’il veut vérifier, où le vérifier et comment le vérifier ?

Énumération des compétences liées au traitement de données (relatives à Schengen). Le PPDT peut-il :

  • exiger la rectification ou l’effacement de données qui sont traitées par la POCA (police cantonale) du canton en tant que responsable du traitement des données (controller) ?
  • exiger que des données obtenues ne soient pas copiées dans une autre banque de données ?
  • exiger la mise à jour de données ?
  • réaliser des inspections sur place ?
  • demander des informations écrites ou orales, consulter tous les dossiers relatifs à certains processus de traitement de données et exiger que ces dossiers lui soient présentés ?
  • vérifier si la police donne un accès aux données conforme aux dispositions légales en vigueur ?
  • vérifier si le traitement des données repose sur une base légale (pas de vérifications SIS concernant des célébrités) ?
  • vérifier si la sécurité technique est garantie ?

Énumération des contrôles effectués (et quel type d’inspections).

b. Remarques et recommandations du comité d’évaluation

Très peu d’inspections ont été réalisées. La nouvelle autorité de protection des données n’étant en place que depuis un an seulement, on peut s’attendre à ce que le nombre d’inspections augmente au cours des prochaines années.

Le comité d’évaluation recommande que l’autorité de protection des données élabore une planification des enquêtes annuelles liées à Schengen. Cela permettra d’avoir une vue d’ensemble du traitement des données par les instances surveillées et d’arrêter ainsi une procédure efficace en cas de manquement.

La Suisse est invitée à rendre compte de cette planification lors de la procédure de suivi (followup).

  

Réglementation concernant le logging / la sécurité informatique

a. Observations du comité d’évaluation

Le comité constate que les cantons n’ont pas besoin de réglementation propre concernant le logging SIS ; il présente les dispositions relatives à l’architecture SIS et à l’accès aux données SIS. Il est indiqué que les logs SIS doivent être demandés à des fins de contrôle auprès de fedpol, qui est le maître des données enregistrées dans le RIPOL et le N-SIS.

Explications complémentaires au cas d’évaluation de la POCA2 :

  • Description des processus au sein de la POCA pour les signalements SIS: saisie dans RIPOL; apposition d’un indicateur de validité (flagging); saisie dans la banque de données de la police cantonale, transmission à fedpol (+ autres étapes éventuellement). Dans le cas des personnes mineures ou lorsque le dossier est urgent, il est directement envoyé au bureau SIRENE.

  • La sécurité physique des locaux dans lesquels se trouvent les ordinateurs avec accès RIPOL est assurée par un contrôle à l’entrée (badges) et par une vidéosurveillance. Qui est compétent (au sein de la POCA2) pour autoriser un accès RIPOL / SIS ?

Il est indiqué que le PPDT a réalisé des contrôles aléatoires dans deux postes de police locaux.

b. Commentaire et recommandation du comité d’évaluation

Le comité d’évaluation approuve les contrôles log-files réalisés par le PPDT dans des postes de police et recommande que ce type de contrôle soit effectué périodiquement et donc intégré dans le programme de travail annuel du PPDT.

  

Information du public (public awareness)

a. Observations du comité d’évaluation

Le comité d’évaluation a examiné le site du PPDT en tenant compte des points suivants :

  • Quelle est la langue/ quelles sont les langues utilisée(s) ? (en prenant en compte la / les langue(s) officielle(s) du canton évalué).

  • Les informations sur Schengen sont-elles suffisantes ?

  • Y-a-t-il un lien qui renvoie au site du PFPDT et aux informations Schengen diffusées par le PFPDT ?

  • Le site contient-il des lettres-types pour des demandes d’information, de blocage, de rectification ou d’effacement de données ? S’agit-il de lettres générales ou de lettres spécifiques au SIS (traitement des données SIS de la POCA2) ?

  • Le rapport annuel est-il en ligne ?

Énumération des autres outils d’information : les newsletters électroniques ou le contact avec les médias par exemple.

Dans le cas où le comité d’évaluation s’est rendu dans une POCA2 : le comité d’évaluation s’intéresse aussi à la communication de la POCA avec le public (site internet / autres moyens de communication comme Facebook) et a cherché à savoir si des informations sur la protection des données en général ou des informations liées à la collaboration Schengen sont données lors de cette communication.

b. Remarques et recommandations du comité d’évaluation

Compte tenu du fait que la POCA2, qui est soumise à la surveillance du PPDT, n’est pas la responsable du traitement des données N-SIS, le comité d’évaluation estime qu’il n’est pas problématique que le site du PPDT ne fournisse que des informations générales sur la protection des données (cela ne peut pas être considéré comme une « mauvaise pratique »).

Le comité d’évaluation recommande que la POCA2 NE fasse figurer sur son site des informations de base sur la protection des données et un lien vers le site internet du PPDT.

  

Conclusions générales, y compris recommandations et suivi

a. Remarques

  • Le comité d’évaluation prend acte qu’il n’y a qu’une (seule) ACSu1 pour les personnes procédant au traitement des données dans les deux cantons. Cette organisation est inhabituelle ; selon le PPDT, elle fonctionne bien. Le service de protection des données ayant été créé au début 2013, on ne peut pas encore affirmer qu’il s’agit d’une structure adéquate –surtout pour les missions Schengen.

  • (Remarque concernant la loi sur la police du canton du Jura ; seul un article porte sur la protection des données ; mais au moment de la rédaction du rapport, une révision de la loi avait été soumise au Parlement).

  • Le comité d’évaluation considère que la procédure budgétaire est complexe ; le fait que le budget doive être approuvé par deux exécutifs avec la possibilité d’apporter des modifications ne garantit pas le respect de l’exigence d’indépendance.

  • Le nombre de contrôles réalisés est très limité. La nouvelle ACSu1 n’étant en place que depuis un an, on peut s’attendre à ce que le nombre de contrôles augmente au cours des prochaines années.

  • Le comité d’évaluation approuve les contrôles log-files réalisés par le PPDT dans les postes de police. Étant donné que la police cantonale, qui est surveillée par le PPDT, n’est pas la responsable du traitement des données du N-SIS, le comité d’évaluation ne remet pas en question le fait que le site internet du PPDT ne diffuse que des informations générales sur la protection des données (cela ne peut pas être considéré comme une « mauvaise pratique »).

b. Recommandations

  • Le comité d’évaluation recommande que les cantons NE et JU envisagent une révision de l’ensemble de la procédure budgétaire concernant l’ACSu1.

  • Le comité d’évaluation recommande que le PPDT élabore une planification des enquêtes annuelles liées à Schengen. Cela permettra d’avoir une vue d’ensemble du traitement des données par les instances surveillées et d’adopter ainsi une procédure efficace en cas de lacune ou d’insuffisance.

  • La Suisse est invitée à rendre compte de cette planification lors du suivi (follow up).

  • Le comité d’évaluation recommande de réaliser périodiquement des inspections de ce type et donc de les intégrer dans le programme de travail annuel de l’autorité.

  • La police du canton NE devrait diffuser sur son site Internet des informations générales sur la protection des données et introduire un lien direct vers le site du PPDT.

1 ACSu : accès des autorités cantonales de surveillance

2 POCA : police cantonale

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.