Préposé à la protection des données et transparence Jura-Neuchâtel

Rapport 2018

Protection des données et transparence

Le Grand Conseil neuchâtelois a traité le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2018 (extrait du PV de la séance du 25 juin 2019 à 13h30).

Le Parlement jurassien a approuvé le rapport par 53 voix, 0 non et 0 abstention, lors de sa session du 2 octobre 2019 (voir détails). Débat et votes publiés dans le Journal des débats n° 15, du 2 octobre 2019, pages 17 et 18, point 6.

Avant-propos

Rappelez-vous, le 2 septembre 2018, le Musée National du Brésil à Rio de Janeiro était ravagé par les flammes. 200 ans d'histoire, 20 millions de pièces de collection partaient en fumée. Quel rapport avec la protection des données personnelles, demanderez-vous ? Un parallèle avec cet événement peut être fait au niveau de la sensibilité et de la réactivité aux risques encourus en matière de traitement de données personnelles. Le musée nécessitait une réfection majeure, n'avait pas de système anti-incendie à la hauteur de son contenu et les bouches à incendie les plus proches n'étaient pas alimentées. Au vu des difficultés à faire réviser la loi fédérale sur la protection des données et des réactions générales (bien au-delà de celles des entités soumises à la CPDT-JUNE) lorsqu'il s'agit de se plier aux exigences de la protection des données personnelles, ces dernières paraissent risquer autant que les collections du musée brésilien. On pourrait bien un jour se retrouver, non pas devant un Datacenter en cendre (le cas échant, la gravité serait moindre, étant en principe dupliqué), mais devant le constat d'une perte de maîtrise de la gouvernance de nos données personnelles. Comme au Brésil, on constatera qu'on savait, qu'on y pensait, mais faute de ressources/motivation suffisantes, qu'on avait repoussé au lendemain la prise de conscience et les investissements nécessaires. Les autorités publiques, comme beaucoup d'entreprises privées, délocalisent leurs compétences pour des raisons d'efficiences et surtout de coûts. À notre petite échelle, pouvons-nous encore faire quelque chose face aux géants de l'informatique ? Nos "pères fondateurs", Uri, Schwyz et Unterwald, ne se sont-ils pas aussi posé cette question face aux plus puissants ? S'ils avaient été pessimistes, nous n'aurions pas 728 ans d'histoire commune !

Les données personnelles de l'ensemble des citoyens devraient être aux yeux des responsables de traitements, à tout le moins, aussi précieuses que 200 ans d'histoire. Il est désormais temps de s'attarder autant sur les potentielles gestions inadéquates des fichiers de données personnelles que sur celles des comptes bancaires des collectivités publiques. Ne dit-on pas que ces données sont le nouvel or noir de notre société ?

Cependant, ce constat alarmiste ne doit pas cacher le nombre grandissant de responsables de traitement de données personnelles qui s'inquiètent et s'investissent pour garantir la meilleure gestion possible de celles-ci. Il doit aussi être contrebalancé par le "raz de marée" de questions provoquées par la forte médiatisation de l'arrivée du Règlement européen de protection des données (RGPD). Il aura fallu que ces nouvelles règles imposent de nouvelles obligations, surtout aux pays de l'Union européenne, pour qu'une sensibilisation large et relativement efficace se fasse, même dans nos régions bien éloignées de Bruxelles. Un grand nombre d'entités se souciant de leur compatibilité avec le RGPD se sont manifestées, alors que beaucoup d'entre elles n'avaient pas conscience des obligations imposées par la CPDT-JUNE.

Au niveau de la transparence, il y aura un avant et un après 29 mai 2018 à propos de l'accès des rapports d'audit détenus par les collectivités publiques neuchâteloises et jurassiennes. Dans le cadre de la demande d'accès au rapport d'audit sur le fonctionnement de l'ancien centre neuchâtelois de requérants à Perreux, le Tribunal fédéral a déclaré :

« Avec raison, la cour cantonale retient que les désagréments liés à la révélation des faits concernant l'intimée [la directrice] ne suffiraient pas à eux seuls pour justifier un refus. Une éventuelle atteinte à la considération sociale liée à de telles révélations apparaît elle aussi insuffisante au sens de l'art. 72 al. 3 CPDT-JUNE; l'intérêt public à connaître les conclusions d'un rapport sur le fonctionnement d'une institution publique doit l'emporter sur les intérêts privés des personnes qui peuvent se trouver mises en cause : le principe de la transparence (consacré à l'art. 1 al. 1 CPDT-JUNE) tend particulièrement à mettre à jour des dysfonctionnements de l'administration ainsi que les mesures prises par l'Etat pour y remédier ».

Toutefois cette affaire met en lumière le talon d'Achille des droits d'accès aux documents officiels de l'administration. Elle a mis 5 ans avant de connaître son dénouement. Ce délai est nettement insatisfaisant, comme le nombre de solutions à disposition.

Quant aux activées 2018, la sixième année du préposé à la protection des données et à la transparence a été à nouveau marquée par une croissance à deux chiffres du nombre de sollicitations, soit 19%. Un effort particulier a été fait pour éviter de cumuler les retards; c'est pourquoi le nombre de dossiers classés a augmenté pour sa part de 24%. Cette augmentation s'explique sans doute partiellement par l'impact médiatique de l'entrée en vigueur du RGPD et de la mise en route du registre des fichiers.

Ce dernier peine à démarrer. Les entités sollicitées éprouvent de la difficulté à trouver le temps suffisant, voire les ressources, pour accomplir la démarche. Seuls 80 fichiers ont été déclarés du côté jurassien et 90 du côté neuchâtelois; nombre qui est très loin de la réalité. Les entités seront relancées en 2019.

La Commission de la protection des données et de la transparence (CPDT) n'a dû rendre qu'une décision, alors que le PPDT a traité huit demandes de conciliation en 2018; aucune procédure traitée préalablement par les autorités de protection des données n'est pendante devant la Cour de droit public neuchâteloise, la Cour administrative jurassienne ou le Tribunal fédéral.

En ce qui concerne le quotidien du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Huit surveillances de la gestion des données personnelles ont également été entreprises. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. Aucune surveillance n’a dû faire pour l’instant l’objet d’une recommandation contraignante. Malheureusement, l’utilisation du Système d’Information Schengen (SIS II) n’a pas pu faire l’objet de contrôles durant l’année, faute de temps. Il devrait y en avoir en 2019, mais, au premier trimestre, l’augmentation des sollicitations progresse au même rythme qu’en 2018.

Le rapport 2017 mentionnait une citation du Chef du groupe de sécurité de Swisscom : « Que dois-je faire pour mettre mon organisation à l’abri des cyberattaques ? Aujourd’hui, on a déchanté et on se demande plutôt : Quand serai-je victime d’une cyberattaque ? ». Les statistiques 2018 sur la criminalité en Suisse lui donnent raison, puisque les infractions comme la cybercriminalité et les escroqueries (16'319 dénonciations) ont augmenté de plus de 20% en un an et doublé en dix ans, selon le rapport de l'OFS.

Autorités

Base légale

La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a  institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une commission de la protection des données et de la transparence (CPDT).

Tâches du titulaire

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales1, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

  • Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.

  • Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.

  • Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

  • Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.

  • Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.

  • Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).

  • Saisir la CPDT lorsque la CPDT-JUNE le lui permet.

  • Tenir le registre public des fichiers.

  • Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Organisation

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100% et il bénéficie d'une collaboratrice administrative travaillant à 60%.

Activités principales

Promotion de la protection des données et de la transparence

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoires est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné vingt-deux formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de huit passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Avis, prises de position, conseils et assistance

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

Plus de la moitié de l'activité du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir  Statistiques).

En 2018, le PPDT a publié trente-huit avis et prises de position en matière de protection des données et dix en matière de transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

  • L'utilisation de la vidéosurveillance dans les établissements de détention ne peut intervenir qu'exceptionnellement pour prouver le comportement des employés. [lire la suite…]

  • Les données médicales relatives à des agressions sexuelles ne peuvent être communiquées à la police qu'aux conditions exposées ci-après. [lire la suite…]

  • Les entités sont vivement encouragées à se séparer de Google Analytics, ou à tout le moins mettre en œuvre quelques mesures exposées ci-après. [lire la suite…]

  • Bien que la récolte par SERAFE puisse paraître très intrusive dans la vie privée pour facturer une redevance, il s’avère qu’il s’agit du droit fédéral que les cantons sont contraints de respecter. [lire la suite…]

  • Droit de rectification et archivage : Les données rectifiées sur demande de la personne concernée ne peuvent pas être archivées. [lire la suite…]

  • Communication de la liste des élèves d'une confession : La réponse n'est pas identique pour les écoles jurassiennes et neuchâteloises. Les premières ne sont pas en droit de communiquer de telles listes, alors que les secondes peuvent le faire si elles sont communales. [lire la suite…]

  • Lorsqu'un citoyen demande le revenu et la fortune imposables d'un contribuable neuchâtelois, le Service des contributions n'a pas besoin d'informer préalablement ce dernier avant de communiquer l'information, contrairement à la pratique actuelle et conformément aux règles de la transparence. [lire la suite…]

  • L'entrée en vigueur du RGPD a suscité quelques craintes parmi les entités soumises à la CPDT-JUNE. Ces dernières ne sont en principe pas soumises à ces nouvelles dispositions de l'Union européenne, excepté celles qui utiliseraient des outils de pistage et de profilage sur le web, ainsi que les entités chargées de la promotion économique, la promotion touristique, recherches/travaux transfrontaliers, ainsi que l'Université et les HES. [lire la suite…]

  • L'utilisation d'un modèle de consentement général pour la récolte de données personnelles liées à la santé non génétiques à des fins de recherche sur l'être humain nécessite au moins la prise en considération des précautions exposées en fin de page. Faute de quoi les règles sur la protection des données et du secret médical sont susceptibles d'être violées. [lire la suite…]

  • Toutes les questions relatives à une grossesse potentielle ou en cours sont proscrites dans le cadre d'un entretien d'embauche. Toutefois, pour une grossesse en cours ou "imminente" des questions sont tolérées si le travail à accomplir est dangereux ou incompatible avec la santé de la candidate, est prévu pour une durée déterminée afin de faire face à une situation particulière et est d'emblée incompatible avec une grossesse. [lire la suite…]

Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2018.

AVIS PUBLIE EN MATIERE DE TRANSPARENCE

Sous ces liens, se trouve l'ensemble des  Avis et Prises de position du PPDT pour 2018.

Procédures législatives

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté vingt-neuf fois en 2018 :

  

PROJETS SOUMIS AU PPDT

  • Projet de règlement de sécurité locale, relatif à la vidéosurveillance de la Commune de Courrendlin.

  • Projet de règlement général de police, articles relatifs à la vidéosurveillance de la Commune de Porrentruy.

  • Projet de directives du service des ressources humaines relatives au travail à domicile ou dans un espace de travail partagé.

  • Projet de révision partielle de la loi sur les établissements hospitaliers (LEH; RSJU 810.11) concernant le concept cantonal de médecine d'urgence et de sauvetage (CCMUS).

  • Avant-projet de circulaire relative à la coordination cantonale en matière de lutte contre le travail au noir (LTN).

  • Projet de loi pour l'accès aux documents de la conférence des gouvernements cantonaux (CdC).

  • Avant-projet d'arrêté relatif à l'adhésion de la RCJU à l'association intercantonale "cara" pour le déploiement du dossier électronique du patient.

  • Projet de révision de la loi sur le personnel de l'État (Lper; RSJU 173.11).

  • Projet de règlement de sécurité locale, relatif à la vidéosurveillance de la Commune de Courtedoux.

  • Projet de loi pour la mise en conformité des communications entre services.


  

PROJETS SOUMIS AU PPDT

  • Projet d'arrêté portant modification du règlement d'organisation du DJSC (RO-DJSC; RSN 152.100.01).

  • Arrêté autorisant l'association pour le dépistage du cancer BEJUNE (ADC BEJUNE) à accéder à la base de données des personnes physiques du canton de Neuchâtel (BDP).

  • Projet de révision de la loi sur l'organisation scolaire (LOS; RSN 410.10).

  • Projet de règlement d'exécution de la loi sur le traitement de données à des fins de gestion administrative et financière au sein de l'État (RELSIGE).

  • Projet de base légale pour imposer l'obtention de la liste des résidents d'un camping.

  • Loi sur le traitement de données à des fins de gestion administrative et financière au sein de l'État (SIGE; RSN 150.5).

  • Projet de modification de la loi sur la formation professionnelle (LFP; RSN 414.10).

  • Projet de révision du règlement d'application de la loi sur la prévention et la défense contre les incendies et les éléments naturels, ainsi que les secours (RALPDIENS; RSN 861.100).

  • Projet de loi sur le fonds de subventionnement et de financement de la formation professionnelle initiale.

  • Projet de révision de la loi de santé (LS; RSN 800.1) pour l'archivage des dossiers médicaux.

  • Projet de règlement communal de vidéosurveillance, La Côte-aux-Fées.

  • Projet d'arrêté concernant les registres officiels du contrôle des habitants pour l'accès à certaines rubriques.

  • Projet de modification de la loi de santé (LS; RSN 800.1) suite aux modifications de la loi fédérale sur les épidémies (LEp; RS 818.101).

  • Projet d'arrêté concernant l'octroi d'accès de la BDP à Caritas et CSP.

  • Projet d'arrêté concernant la communication d'adresses aux Églises reconnues.

  • Projet d'arrêté concernant l'archivage des dossiers médicaux HNE et CNP (RSN 442.25).

  • Projet d'arrêté modifiant le règlement d'application de la loi sur la formation professionnelle (RSN 414.110).

  • Projet d’arrêté concernant l'échange de données en vue de lutter contre la fraude.

  • Projet de règlement communal et d'arrêté d'exécution du règlement concernant la vidéosurveillance de la commune de Neuchâtel.

Vidéosurveillance

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.

BASES LÉGALES ACCEPTÉES EN 2018

  • Plusieurs zones de surveillances dans la commune de Courrendlin et les communes fusionnées Rebeuvelier et Vellerat.

  • Plusieurs zones de surveillances dans la commune de Courtedoux.

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2018

  • Plusieurs zones de surveillances dans la commune de Delémont.

  • Déchetterie "La Grétche", commune de Courtedoux.

  • École secondaire de la commune de Haute-Sorne.            

PROJETS SOUMIS EN 2018 ET EN COURS

  • Vidéosurveillance sur le site de la déchetterie d'une commune.

BASES LÉGALES ACCEPTÉES EN 2018

  • Loi sur la vidéosurveillance des installations de l'État.

  • Plusieurs zones de surveillances dans la commune de la Côte-aux-Fées.

  • Déchetterie et bâtiment communal dans la commune de Neuchâtel.

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2018

  • Parking souterrain du CSUM, commune de La Tène.

  • Plusieurs zones de surveillances dans la commune de la Chaux-de-Fonds.

PROJETS SOUMIS EN 2018 ET EN COURS

  • Certains lieux de collecte de déchets d'une commune neuchâteloise.

  • Projet d'arrêté du Conseil communal d'une localité pour désigner les zones surveillées.

  • Surveillance de sites, traitements de déchets.

  • Surveillance d'un funiculaire.

  • Pose de caméras sur un véhicule d'intervention.

Procédures de conciliation

La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci; lorsque la conciliation échoue, la cause peut être transmise à la Commission de la protection des données et de la transparence (CPDT) pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les requêtes terminées en 2018. Aucune requête ouverte en 2018 n'est en cours de traitement; une seule a fait l'objet de transmission à la Commission de la protection des données et de la transparence.

CONCILIATIONS

En matière de protection des données

  • Demande de rectification et suppression de données personnelles récoltées abusivement par un service administratif. Litige devenu sans objet. [Détails…]

  • Demande d'effacement de données d'un dossier de police. Conciliation aboutie. [Détails…]

  • Demande de coordonnées d'éventuels héritiers au Service des contributions. Requête retirée. [Détails…]

  • Demande d'accès au revenu et à la fortune imposables d'un contribuable neuchâtelois. Requête retirée. [Détails…]

  • Demande d'effacement de données personnelles auprès d'un service administratif cantonal. Conciliation aboutie. [Détails…]

En matière de transparence

  • Demande d'accès à un rapport d'audit par une personne concernée. Requête retirée. [Détails…]

  •  Demande d'accès à l'audit de la LNM. Requête déclarée irrecevable. La Commission de la protection des données et de la transparence a été saisie. [Détails…]

  • Demande d’accès à un rapport relatif à la rénovation d'une salle de concerts. Requête retirée. [Détails…]

  • Demande de documents relatifs à un projet de construction. Requête aboutie. [Détails…]

  • Demande d'accès au contrat d'une commune pour le patrimoine administratif. Requête retirée. [Détails…]

  • Demande d'accès à tout document prévoyant le moment de diffusion du Journal Officiel sur internet. Conciliation aboutie. [Détails…]

Surveillances

Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Faute de temps à disposition, le nombre de surveillances n’est pas à la hauteur des attentes. Seules huit surveillances ont été ouvertes en 2018. Cinq sont toujours en cours, toutes années confondues :

SURVEILLANCES

  • Une vérification sommaire des restrictions d'accès à la gestion électronique des documents d'une commune n'a pas relevé d'irrégularités aux règles de la protection des données.

  • Communication par e-mail non sécurisée d'informations personnelles d'un service cantonal à d'autres acteurs du secteur concerné.

  • Il a été demandé aux responsables concernés de s’assurer qu’ils n’étaient pas concernés par une alerte MELANI à propos d’un certificat SSL.

  • Demande de précisions à propos de la gestion des données récoltées à propos des parents d'accueil.

  • Intervention à propos de fiches du contrôle des habitants comprenant trop de données personnelles.

  • Intervention pour exiger la mise en conformité des traitements de données effectués à travers une nouvelle application dans certains cercles scolaires. Elle a débouché sur la mise en route d'un projet de base légale et de directives.

  • Vérification d'une éventuelle vidéosurveillance filmant des WC.

  • Un contrôle a permis de s’assurer que le blog RPN ne fait pas appel à un sous-traitant et qu’aucune donnée n'est collectée par une entreprise tierce.

  • Vérification de la conformité des publications sur les démantèlements agricoles.

  • Rappel des exigences de protection des données et de transparence aux responsables du projet GestionNE.

  • Demande d'explication à propos d'application d'un fournisseur externe.

  • Vérification de la conformité du nouveau système d'information et de gestion (SIGE) dans le canton de Neuchâtel.

  • Vérification de la conformité de l'application du Registre du contrôle des habitants.

  • Demande de respect des exigences de protection des données avant d'utiliser des produits Apple pour enseigner.

  • Intervention pour demander la régularisation du dossier médical des élèves et des visites préscolaires obligatoires.

  • Demande de régularisation d'une vidéosurveillance dans une déchetterie communale.

Recommandations

Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.

Une recommandation impose aux maîtres de fichiers de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.

Registre des fichiers

Un formulaire sur le site internet du PPDT a été mis à disposition des autorités jurassiennes et neuchâteloises. Il est prévu de rappeler progressivement l’obligation de déclarer les fichiers de données sensibles [2] à l’ensemble des entités soumises à la CPDT-JUNE.

Les premiers retours semblent montrer que la déclaration exige des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches.

Jusqu’à fin mars 2019, environ 80 fichiers jurassiens et 90 neuchâtelois ont été déclarés, ce qui est loin de la réalité.

Collaborations

Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS II, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.

Depuis avril 2014, le PPDT a intégré le comité de privatim, conférence suisse des préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a notamment pu cette année encore profiter d’interventions auprès des géants américains de l’informatique.

Le PPDT est également membre de l’Organisation d’accompagnement intercantonal à Schengen/Dublin de la Conférence des gouvernements cantonaux chargée d’aider les cantons dans les changements imposés par l’Union européenne dans ce cadre-là.

Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles. Deux séances ont eu lieu. Sous l’impulsion du PPDT, une plateforme d’échanges a été mise en œuvre et est effective depuis le deuxième semestre 2014. Sur l’initiative du préposé valaisan, une base de données de sources juridiques spécifiques à la protection des données et à la transparence a été créée.

Comptes

Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.

Le budget 2018 a été bien respecté puisqu’il en ressort une économie de SFr. 18'743.-. La plus grande partie des économies s’explique par la non-utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité, du temps à disposition et de l’ampleur des dossiers rencontrés. Le solde restant est inhérent à l’établissement d’un budget. Seul le montant des frais de déplacements a dépassé le montant budgété de SFr. 725.-.

       

Numéro de compte

Intitulé du compte

Budget 2018

Comptes 2018

115.3010.00

Traitements du personnel

180'000.00

 174'938.25

115.3050.00

Assurances sociales

11'300.00

11'033.45

115.3051.00

Caisse de pensions

15'400.00

16'464.60

115.3053.00

Assurances-accidents

 300.00

 295.65

115.3054.00

Cotisations allocations familiales

 5'100.00

4'985.80

115.3055.00

Cotisations patronales aux assurances ind. journalières

 1'200.00

 1'123.15

115.3090.00

Formation et perfectionnement du personnel

1'900.00

 920.00

115.3100.00

Fournitures de bureau

300.00

106.70

115.3103.00

Littérature spécialisée, Swisslex

3'500.00

1'834.85

115.3130.00

Prestations de services de tiers

 20'000.00

7'829.15

115.3160.00

Loyers

 12'000.00

 12'000.00

115.3170.00

Dédommagements, frais déplacem.

 4'600.00

5'325.05

115.3199.00

Autres charges d'exploitation

0.00

0.00

115.3910.00

Imp. int. pour prestations de services

 26'000.-

 26'000.00

115.4210.00

Émoluments administratifs

- 500.00

0.00

115.4611.00

Dédommagements des cantons

-199'600.00

-186’203.75

 

Total des charges

281'600.00

262'856.65

 

Part neuchâteloise (71%)

199'600.00

186'203.75

 

Part jurassienne (29%)

81'500.00

76'652.90

Statistiques

Les graphiques ci-après permettent de détailler les 495 dossiers ouverts en 2018.

Plus de la moitié de l'activité consiste à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence exclusivement est toujours en augmentation depuis quatre ans et atteint son niveau le plus haut depuis 2013 (53 dossiers). En matière de protection des données, il a sensiblement augmenté (+41 dossiers, + 20%), après 2 ans de baisse consécutive. Les dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, ont augmenté dans la même proportion (+23%).

L’évolution de ces dossiers « mixtes » s’explique avant tout par une réorganisation de la gestion de certains dossiers, afin de s’adapter aux exigences en matière d’archives.

Les communes sont à l'origine d'environ 12% des dossiers, proportion identique à celle de 2017.

Huit nouvelles requêtes de conciliation ont été réceptionnées, toutes ont été traitées en 2018. Une seule a fait l'objet d'une transmission à la CPDT.

Le nombre d’ouvertures de dossiers est passé de 416 à 495 entre 2017 et 2018, soit une augmentation de 19%. Le nombre de dossiers classés a lui aussi légèrement progressé puisqu’il est passé de 418 à 519. Quoi qu’il en soit, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Fin 2018, environ 81 dossiers étaient ouverts, alors qu’ils étaient 105 à fin 2017. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.

La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.

Répartition des dossiers par matière et évolution annuelle

Répartition des dossiers par activité en protection des données

Répartition des dossiers par activité en transparence

Répartition des dossiers par activité commune à la transparence et la protection des données

Nombre de dossiers par initiateur et par année

Répartition des dossiers 2018 par initiateur

Moyens de saisie utilisés

Sujets des dossiers

Responsables de traitements concernés

Bilan

L’année écoulée a de nouveau été marquée par une nouvelle augmentation à deux chiffres des dossiers (+ 19%), après une évolution limitée à 3.5% l’année précédente. Le bilan 2017 s'interrogeait de l'éventualité que cette faible augmentation constitue le calme avant la tempête. La réponse ne s’est pas fait attendre.

Cette nouvelle croissance non négligeable a impacté le nombre de surveillances qui a chuté à huit, faute de temps suffisant car les sollicitations quotidiennes ont été conséquentes.

Le nombre de déclarations de fichiers n’est pas très satisfaisant. Les difficultés à remplir le formulaire relativement simple mis à disposition semblent mettre en lumière une déficience en termes de gouvernance des données. Les responsables de fichiers ne paraissent pas forcément conscients de leurs responsabilités et obligations à remplir.

À relever que le premier trimestre 2019 laisse présager une augmentation se situant à la hauteur de celle de 2018. Pour faire face à cette augmentation, il est prévu de compléter le site afin que les entités y trouvent leurs réponses autant que possible.

Quoi qu’il en soit, le volume des dossiers traités semble montrer que la sensibilisation atteint gentiment, mais sûrement sa cible.

Comme chaque année, le PPDT cherche à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a été saisie qu’une fois en 2018, sur huit requêtes traitées, la réalisation de cet objectif paraît rester sur le bon chemin.

Pour 2019 l’accompagnement de l’adaptation de la CPDT-JUNE au droit européen restera l’un des principaux objectifs. Cette révision mobilisera certainement encore beaucoup de ressources cette année. Sitôt que les changements devant entrés en vigueur seront suffisamment déterminés, il s’agira d’anticiper leur arrivée en informant activement les entités soumises à la CPDT-JUNE.

L’augmentation du nombre de déclarations de fichiers sera à nouveau également un objectif majeur, afin d’améliorer notablement la cartographie des données sensibles traitées par les entités.

 

 

Notes :  

[1] Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.

[Retour au texte]


[2] Définition de données sensibles : opinions ou appartenance à une association syndicale, religieuse, politique ou philosophique; données relatives à la santé; données que la personne concernée réserve à un cercle très restreint de proches; lieu/pays d'origine, ethnie; prestations sociales; mesures de curatelles; poursuites ou sanctions pénales ou administratives; données biométriques ou génétiques; ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.

[Retour au texte]

Ce site utilise plusieurs cookies pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques, ainsi que pour rappeler aux serveurs votre choix d'accepter les présentes conditions pour éviter de reposer la question à la prochaine visite. En poursuivant, vous acceptez l’utilisation de ces cookies aux fins énoncées ci-dessus. En savoir plus.