Rapport 2019

Le Grand Conseil neuchâtelois a traité le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2019 (extrait du PV de la séance du 23 juin 2020 à 13h30).

Le Parlement jurassien a approuvé le rapport par la majorité des députés, lors de sa session du 24 juin 2020 (PV n° 93). Débat et votes publiés dans le Journal des débats (en cours).

Si un chiffre devait être retenu pour l’activité 2019 du PPDT, c’est celui du nombre de dossiers relatifs aux traitements de données personnelles sous-traités. Si sa moyenne était de 9 entre 2015 et 2018, il s’est élevé à 29 l’an passé, comprenant même le domaine de la santé, soit trois fois plus. Ce constat soulève l’incontournable question de la maîtrise des données personnelles gérées et indirectement de l’utilisation des clouds, puisque la plupart du temps cet outil est privilégié pour sous-traiter.

Ce n’est pas un hasard si la Conférence suisse des préposés à la protection des données (privatim) a publié en décembre la mise à jour de son aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing. Très souvent (trop ?) les coûts sont mis en avant pour l’évaluation de tels projets.

Si un ton un brin provocateur pouvait être utilisé, il serait posé la question de savoir si les entités ont conscience que nos autoroutes de l’information sont susceptibles d’être aussi solides que certains ponts italiens, s’il n’est pas mis de sévères garde-fous en matière de sous-traitance. Mais comme beaucoup ne manqueront pas de soutenir que « comparaison n’est pas raison », il est seulement relevé objectivement que la présence de volumineuses conditions contractuelles relatives à la sécurité et à l’entretien d’infrastructures routières n’a pas empêché l’impensable. La tragédie génoise met en lumière la perte de contrôle et de maîtrise de l’État sur la sécurité.

Quelques chiffres publiés en janvier 2020 par l’entreprise McAffee, célèbre éditeur de logiciels, sont assez parlants et soutiennent cette remarque. 52 % d’entreprises utilisent un cloud dont des données ont déjà été volées ; une entreprise sur quatre a déjà vu ses données sensibles téléchargées depuis son nuage vers un appareil personnel non géré, sur lequel elle n’a aucune emprise.

Ces réflexions ont déjà fait un bout de chemin à la Confédération, puisqu’elle a lancé en avril 2020, avec une échéance en juin 2021, une étude de faisabilité d’un cloud national, principalement pour savoir si une telle mesure permettrait d’améliorer la souveraineté de la Suisse en matière de données. Cette prise de conscience se retrouve aussi au niveau de certaines entreprises, dont un sondage effectué en décembre 2019, révèle que 73 % des sociétés interrogées ont quitté un cloud public pour des infrastructures locales.

Comme l’a relevé un gouvernement cantonal en mars 2020, la protection des données et la sécurité devraient devenir une évidence pour tous les services administratifs. La confiance de la population dans la protection des données et la sécurité de l’information est indispensable à la mise en œuvre d’une administration numérique.

Plusieurs avis doctrinaux, partagés par les milieux de la protection des données, appuient ce point de vue. Ils relèvent au surplus que l’hébergement ou l’envoi à l’étranger de données soumises au secret de fonction, telles que la plupart des données personnelles, est susceptible de constituer une violation de celui-ci.

Enfin, en cette période de crise sanitaire à l’heure de la rédaction de ce rapport, il est difficile de ne pas rappeler que la protection des données et la lutte contre le COVID-19 ont en commun de combattre un risque invisible et difficilement perceptible, nécessitant des ressources pouvant paraître exagérées aux yeux de certains. Dans les deux cas, la réalisation du risque peut être désastreuse.

À travers cette crise, un paradoxe en matière de protection des données personnelles est mis en lumière. Tandis qu’une grande partie de la population utilise assidûment et sans sourciller des produits de Google, Amazon, Facebook, Apple et Microsoft (GAFAM), la restriction d’un droit fondamental qui a fait couler le plus d’encre en période de confinement est celle du droit au respect à la vie privée (art. 13 Constitution fédérale (Cst)) afin de récolter des données à travers les téléphones mobiles,  alors que les mesures prises par la Confédération pour lutter contre le virus ont restreint nos libertés de réunion (art. 22 Cst), associative (art. 23 Cst), de culte (art. 15 Cst), économique (art. 27 Cst) et notre droit à un enseignement de base (art. 19 Cst), comme jamais dans l’histoire récente de notre pays. Ces restrictions étaient a priori beaucoup plus conséquentes que des mesures, en principe anonymisées, des déplacements de la population. Comment expliquer que cette dernière, utilisatrice de WhatsApp, Instagram, Facebook, etc., s’offusque plus d’une récolte de données ordonnée par des autorités étatiques chargées de lutter contre une pandémie, que de celle des GAFAM pour les profiler, notamment à des fins commerciales ? Cette vigilance affûtée ravit évidemment au plus haut point un préposé à la protection des données, mais sans vouloir être trop exigeant, il serait bien qu’elle s’étende à l’ensemble des traitements de données personnelles, qu’elle soit durable et s’imprègne d’un minimum de cohérence.

Quant à la septième année d’activité, elle a connu une légère baisse de 5 % du nombre d’ouvertures de nouveaux dossiers et de celui des affaires classées. Les dossiers en cours ne s’élèvent plus qu’à 57, mais ce chiffre est presque exclusivement dépendant des parties concernées et non pas du PPDT. Cette diminution s’explique en partie par le développement d’informations sur le site internet dans le but de diminuer les sollicitations (en particulier divers guides) et le temps consacré à des dossiers plus conséquents que la moyenne. Parmi eux figurent notamment les nombreux dossiers de sous-traitance évoqués plus-haut, ainsi que la continuation de l’élaboration du projet de révision de la Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), afin qu’elle reste conforme aux nouvelles règles de l’Union européenne et du Conseil de l’Europe. Le registre des fichiers de données sensibles s’est étoffé en augmentant son nombre d’enregistrements de 32 % par rapport à 2018. Malgré cette notable augmentation, de gros efforts restent à faire pour obtenir une meilleure cartographie des données sensibles traitées par les entités soumises à la CPDT-JUNE.

La Commission de la protection des données et de la transparence (CPDT) n’a rendu qu’une décision en 2019. Sept nouvelles requêtes de conciliation ont été réceptionnées durant cette même année ; deux étaient en cours de traitement au 31 décembre ; les cinq autres se sont clôturées sans qu’un échec de la conciliation ne soit constaté. Une seule requête, déposée en 2018, fait encore l’objet d’une procédure devant la 1^ère Cour de droit public neuchâteloise.

En ce qui concerne le « quotidien » du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Onze nouvelles surveillances de la gestion des données personnelles ont également été entreprises. Aucune n’a dû faire pour l’instant l’objet d’une recommandation contraignante. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. Dans ce cadre-là, la régularisation des vidéosurveillances de la commune de Neuchâtel a enfin abouti, suite à une demande de 2011. L’utilisation du Système d’Information Schengen (SIS II) et le Système central d’information sur les visas (VIS) ont fait l’objet d’un contrôle chacun durant l’année. Tous deux ont occasionné la rédaction d’un rapport publié sur le site internet (rapport SIS II, rapport VIS). Il en est notamment ressorti que les plateformes d’accès aux données des fichiers fédéraux manquent de transparence pour les utilisateurs. Ces derniers n’ont pas forcément conscience que leurs requêtes dans leurs fichiers métier consultent automatiquement le SIS II ou VIS. Étonnamment, il s’avère aussi que la police neuchâteloise juge ne pas avoir besoin de l’accès au VIS pour ses missions, alors que la plupart des membres de la police jurassienne y accède.

Il est également constaté que le taux de connaissance de l’existence du PPDT est similaire à celui de la précédente enquête de 2016, soit un peu plus de 40 %. Des projets des services des ressources humaines devraient permettre d’augmenter sensiblement ce chiffre. Le PPDT devrait être présent à des réunions accueillant les nouveaux collaborateurs entrant en fonction. En revanche, l’évolution du taux de consultation du site www.ppdt-june.ch est réjouissante, puisqu’il a doublé en moyenne. La stratégie d’informer à travers ce site afin de décharger les sollicitations du PPDT semble porter ses fruits. Paradoxalement, le taux de réception d’instructions est d’environ une personne sur deux (excepté la police qui est à 81 %) et celui du sentiment d’avoir besoin de davantage d’information est globalement d’une personne sur quatre. Ces chiffres pourraient laisser penser que les personnes ont le sentiment de faire juste sans avoir besoin d’instructions supplémentaires. Pour plus de détails, il est renvoyé aux rapports en question.

En conclusion, trois arrêts du Tribunal fédéral ont marqué la protection des données en 2019. Ces arrêts ont clairement mis en lumière les conséquences d’un traitement de données ne respectant pas les règles. Dans deux cas (utilisation d’une dashcam et de la recherche automatisée de véhicule) l’auteur d’une infraction a été acquitté uniquement en raison de l’utilisation d’une preuve illicite (violation des règles de protection des données). Dans le troisième, une personne a été condamnée pour avoir utilisé un identifiant/mot de passe trouvé par hasard. Ces cas d’espèce devraient motiver les responsables de traitement à s’assurer que les règles sont respectées, faute de quoi, des efforts, des ressources, pourraient partir en fumée. Par ailleurs, la Cour européenne des droits de l’Homme a développé les conditions à remplir pour des vidéosurveillances secrètes, autres que celles demandées par les ministères publics.

La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a  institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une commission de la protection des données et de la transparence (CPDT).

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales¹, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

• Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.

• Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.

• Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

• Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.

• Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.

• Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).

• Saisir la CPDT lorsque la CPDT-JUNE le lui permet.

• Tenir le registre public des fichiers.

• Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100% et il bénéficie d'une collaboratrice administrative travaillant à 60%.

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoire est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné vingt-deux formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de quatre passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

Plus de la moitié de l'activité (56 %) du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir  Statistiques).

En 2019, le PPDT a publié trente-sept avis et prises de position en matière de protection des données et sept en matière de transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

• La mise en place d’un guichet unique ne peut se faire que si les employés devant s’en occuper sont officiellement des membres de l’agence AVS, l’Office du travail, le registre des impôts, la caisse communale et le contrôle des habitants. Les données récoltées dans l’accomplissement d’une de ces tâches ne pourront pas être utilisées pour l’accomplissement des autres tâches [lire la suite…].

• Les logopédistes sont en droit de communiquer au service de l’enseignement les données en cause, sous réserve de l’accord des parents, sans violer de lois. Parallèlement, le service de l’enseignement est en droit de récolter les informations pour accomplir ses tâches légales [lire la suite…].

• L’obtention d’une liste des élèves de l’ancienne classe de son enfant est possible si aucun intérêt public/privé prépondérant ne s’y oppose. Les anciens camarades ont un intérêt prépondérant à ne pas être directement contactés par une partie d’un litige faisant l’objet d’une procédure [lire la suite…].

• La police n’est pas en droit de récolter systématiquement les  noms, prénoms, photos de requérants d’asile d’un centre fédéral, faute de bases légales suffisantes [lire la suite…].

• Conformément aux règles cantonales et fédérales, les communes sont en droit de communiquer au BPA les noms et prénoms, adresse, NPA et localité de celui/celle qui a la garde de(s) l’enfant(s) jusqu’à 8 ans ainsi que les prénoms et date de naissance des enfants inscrits dans la commune. Bien que le BPA soit soumis à la LPD (RS 235.1), il serait préférable d’obtenir la garantie que les adresses seront détruites, effacées, après le dernier envoi, ainsi que l’utilisation des adresses ne se fera que dans le but indiqué [lire la suite…].

• L’ECAP peut communiquer à la Commission foncière agricole la valeur d’assurance des biens-fonds concernés. Un accès direct en ligne aux données de l’ECAP exige l’accord du Conseil d’Etat [lire la suite…].

• L’enregistrement des enseignants à leur insu constitue une infraction au sens de la loi fédérale sur la protection des données (LPD), mais pas du Code pénal suisse (CPS). La poursuite ne s’ouvre que sur plainte par les enseignants concernés [lire la suite…].

• Des communications des membres des entités appliquant la LASoc peuvent se faire à d’autres entités, pour autant que le principe de la finalité soit respecté [lire la suite…].

• Une communication des avis de saisie au chef de service, sans modification des bases légales, est illicite [lire la suite…].

• Le casier comprenant toutes les peines non éliminées peut figurer dans le dossier de naturalisation et être consulté par les autorités devant se prononcer. La personne concernée  y a également accès [lire la suite…].

• Un employeur ne peut obtenir des données personnelles du candidat qu'aux conditions présentées ci-après [lire la suite…].

• 773 millions d'adresses mail et 21 millions de mots de passe issus de hacks multiples ont déjà été publiés, et la liste s'allonge presque quotidiennement. C'est pourquoi il faut désormais être très attentif à la gestion de ses mots de passe [lire la suite…].

• Il est régulièrement demandé si les maires des communes ont légitimement accès à certaines données personnelles. Quand bien même ils sont en charge de la surveillance générale de toute l'administration, l'accès aux données personnelles doit respecter le principe de la proportionnalité [lire la suite…].

• Lorsqu’une personne demande expressément l’accès aux données personnelles d’une autre, il faut examiner la demande sous l'angle de l'article 25 al. 1 let. c CPDT-JUNE et sous celui de la transparence (pour ce dernier, voir ce guide). L'étendue de l'accès est dès lors définie par le cumul de ces deux voies [lire la suite…].

Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2019.

AVIS PUBLIÉ EN MATIÈRE DE TRANSPARENCE

• Pas d'avis publié en 2019.

Sous ce lien, se trouvent l'ensemble des Prises de position du PPDT pour 2019.

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté dix-neuf fois en 2019 :

PROJETS SOUMIS AU PPDT

• Projet de loi pour la digitalisation du JO.

• Révision de la loi concernant l'exercice de la prostitution et le commerce de la pornographie (LProst; RSJU 943.1).

• Projet d’ordonnance sur la géoinformation (OGéo).

• Projet législatif destiné à améliorer les conditions du remboursement de l'assistance judiciaire.

• Projet de modification des dispositions légales régissant le service de santé scolaire.

• Projet de révision de la loi de Santé (RSJU 810.01) pour l'enregistrement des maladies oncologiques.

• Projet d'ordonnance relative à l'enregistrement de données par le registre cantonal des tumeurs.

• Avant-projets de révision partielle de la loi sur l'exécution des peines et mesures (LEPM; RSJU 341.1) et de la loi sur la police (LPol; RSJU 551.1), suite à la nouvelle loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT; RS 780.1).

• Projet de convention de fusion de communes, Les Breuleux.

• Projet de modification partielle de la loi sur les activités économiques (LAEco).

PROJETS SOUMIS AU PPDT

• Projet de loi sur les chiens (LChiens; RSN 636.20).

• Projet de règlement d'archivage communal.

• Projet de révision de la loi de Santé pour l'enregistrement des maladies oncologiques.

• Projet de révision du Règlement (RFFD) d’application concernant la loi instituant un fonds d’encouragement à la formation professionnelle initiale en mode dual (LFFD).

• Mise à jour du règlement d'exécution de la vidéosurveillance de la commune de La Chaux-de-Fonds (Règlement 50.131),

• Projet de loi sur l'éducation numérique.

• Projet de loi de vidéosurveillance.

• Règlement de vidéosurveillance commune de Corcelles-Cormondrèche.

PROJETS SOUMIS AU PPDT

• Consultation concernant la Loi fédérale sur le système national de consultation des adresses des personnes physiques, Loi sur le service des adresses (LSAdr).

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.