Rapport 2020

Le Grand Conseil neuchâtelois a traité le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2020 (extrait du PV de la séance du 29 juin 2021 à 13h30).

Le Parlement jurassien a approuvé le rapport par 45 voix, 0 non et 1 abstention, lors de sa séance du 1er septembre 2021 (PV n° 12). Débat et votes publiés dans le Journal des débats (en cours).

Dans le rapport 2019, il était relevé l’augmentation du nombre de dossiers relatifs aux traitements de données personnelles sous-traitées. Le nombre de dossiers pour cette année-là était de 29, alors que la moyenne 2015-2018 culminait à 9. Cette constatation n’est pas anodine puisque ce nombre est passé à 50 en 2020.

La crise de la COVID-19 a sans doute contribué à l’évolution de ce chiffre. Bon nombre de traitements ont bénéficié d’une pesée d’intérêts en faveur de la préservation de la santé des administrés et du bon fonctionnement de l’administration au regard des circonstances.

Comme l’a souligné Micheline Calmy-Rey lors d’une intervention à la RTS (30 mai 2020), « la gestion d’une crise pandémique est difficilement compatible avec le maintien des libertés individuelles ». C’est pourquoi, il s’agira d’être particulièrement vigilant, lorsque nous verrons enfin le bout du tunnel de cette crise, à ce que des traitements exceptionnels ne deviennent pas la règle.

Le refus du projet de loi d’identité électronique le 7 mars 2021 semble montrer que la sensibilité des administrés à propos du sort de leurs données est grandissante. Cet extrait d’article de presse paru le 20 mai 2020 illustre bien les prémices d’une prise de conscience de la problématique par les responsables de traitement de données sensibles : « La société IT espagnole Scytl, qui a développé le système de vote électronique de la Poste suisse, est menacée de faillite. L'entreprise est endettée à hauteur de 75 millions d’euros, […]. Le géant jaune a été pris au dépourvu et a été forcé de communiquer plus tôt que prévu sur sa décision de récupérer la propriété intellectuelle du code source de la plateforme, […]. La Poste veut désormais poursuivre le projet en faisant cavalier seul et en se passant de tout partenaire, qu’ils soient suisses ou étrangers. À cette fin, le géant jaune veut accroître ses compétences dans le domaine de la cryptographie […] » (ICT Journal du mercredi 20 mai 2020). Ce nouveau choix est à souligner, d’autant plus qu’il n’est pas inutile de rappeler que la Poste suisse est l’un des principaux prestataires de la solution informatique du dossier électronique du patient. Par ailleurs, est-il nécessaire de rappeler que le logiciel de dépouillement des bulletins de vote, fourni par un sous-traitant et utilisé pour les élections communales dans le Canton de Neuchâtel, a planté parce qu’il y a eu plus de 16'324 images traitées en même temps ?

Pour clore ce sujet, il n’est pas inutile de relever qu’un postulat a été déposé au parlement vaudois le 9 juin 2020 intitulé : « Pour sortir de notre dépendance numérique américaine et reconstruire une informatique de confiance, locale et résiliente. »

Quant à la huitième année d’activité, elle a retrouvé une augmentation du nombre d’ouvertures de nouveaux dossiers, certes limitée à 1.9 %. Il y a eu autant de dossiers ouverts que clôturés. Les dossiers en cours ne s’élèvent qu’à 58, mais ce chiffre est presque exclusivement dépendant des parties concernées et non pas du PPDT. La relative stabilisation du nombre de dossiers annuellement ouverts s’explique en partie par l’accent mis sur le site internet dans le but de diminuer les sollicitations. Plusieurs guides, tels que notamment l’accessibilité ou non à un document officiel, les communications autorisées ou non et l’explication des procédures, ont été fondamentalement remaniés pour être aussi simples et efficaces que possible. Le registre des fichiers de données sensibles s’est faiblement étoffé. Les responsables de fichiers n’ont pas été relancés en 2020, compte tenu de la crise sanitaire qui a provoqué d’autres priorités pour ceux-ci. Lorsque la situation ira mieux, de gros efforts resteront à faire pour obtenir une meilleure cartographie des données sensibles traitées par les entités soumises à la CPDT-JUNE.

La Commission de la protection des données et de la transparence (CPDT) n’a pas rendu de décision en 2020. En revanche, neuf nouvelles requêtes de conciliation ont été réceptionnées durant cette même année ; une était en cours de traitement au 31 décembre ; neuf autres se sont clôturées sans qu’un échec de la conciliation ne soit constaté. Une seule requête, ouverte en 2019, a fait l’objet d’un constat d’échec de la conciliation et cela a conduit à la saisie de la CPDT pour qu’elle rende une décision.

À relever que le Tribunal fédéral a mis récemment (12 janvier 2021) un terme à une procédure de demande d’accès à un document officiel, ouverte en 2018. Cette décision renforce considérablement la transparence. Par exemple, un rapport d’audit définitif et commandé par l’administration est désormais clairement soumis aux règles de la transparence, quand bien même une procédure pénale, civile, de licenciement ou autre est en cours. Autrement dit, la population pourrait accéder au contenu d’un audit avant même que les juges se soient prononcés sur ses conséquences, si aucune exception n’est opposable. Il serait souhaitable que la « contre-mesure » à cette décision soit une rédaction des rapports adaptée aux règles de la transparence et non pas une volonté de ne plus entreprendre d’audits.

En ce qui concerne le « quotidien » du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Quatorze nouvelles surveillances de la gestion des données personnelles ont également été entreprises. Aucune n’a dû faire pour l’instant l’objet d’une recommandation contraignante. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. L’utilisation du Système d’Information Schengen (SIS) et le Système central d’information sur les visas (VIS) n’ont pas fait l’objet d’un contrôle durant cette année pour les raisons que l’on connaît.

Par ailleurs, après avoir contrôlé les années 2013-2016 en 2017, le contrôle des finances jurassien a contrôlé les comptes des années 2017-2019. Le rapport, rendu le 25 novembre 2020, a constaté que la comptabilité était régulièrement tenue, sans formuler de remarques (voir rapport annuel du CFI 2020).

En conclusion, l’augmentation de dossiers intercantonaux problématiques doit être clairement signalée. Beaucoup de préposés cantonaux constatent, pour ne pas dire déplorent, que des fournisseurs plus ou moins publics, voire privés, proposent des projets informatiques à des cantons en se reposant sur l’argument que d’autres l’utilisent déjà. Ainsi, ils anesthésient les éventuels réflexes de vérification que pourrait avoir l’administration sur le respect des conditions imposées par les règles de protection des données. Or, dès qu’un examen est effectué par une autorité de protection des données, il est régulièrement (trop !) constaté que des points élémentaires, tels qu’un contrat en bonne et due forme, les bases légales nécessaires, ne sont pas respectés. Les projets étant souvent bien avancés et ayant déjà mobilisés de volumineuses ressources, les autorités concernées se retrouvent dans un certain embarras.

La Convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a  institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une commission de la protection des données et de la transparence (CPDT).

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales¹, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

• Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.

• Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.

• Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

• Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.

• Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.

• Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).

• Saisir la CPDT lorsque la CPDT-JUNE le lui permet.

• Tenir le registre public des fichiers.

• Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100% et il bénéficie d'une collaboratrice administrative travaillant à 60%.

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoire est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné sept (six ayant été annulées ou reportées) formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de trois passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

Plus de la moitié de l'activité (56 %) du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir  Statistiques).

En 2020, le PPDT a publié vingt-deux avis et prises de position en matière de protection des données et neuf en matière de transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

• En principe, le non-respect des règles de protection des données pour une vidéosurveillance privée ne constitue pas une infraction pénale. Seules les personnes filmées peuvent agir auprès du propriétaire de la caméra, et accessoirement des tribunaux civils, pour faire cesser l’atteinte [lire la suite…].

• Sans consentement préalable ou loi spéciale, les établissements de formation ne sont pas en droit de communiquer des données aux parents d’un étudiant majeur [lire la suite…].

• Les évaluations sociales effectuées par l’APEA ne peuvent pas être transmises aux services sociaux. Les expertises médicales ne peuvent pas être transmises telles quelles aux curateurs. On peut tout au plus admettre une communication succincte d’informations indispensables pour l’accomplissement des tâches du curateur. Celle-ci doit rigoureusement respecter le principe de la proportionnalité, c’est-à-dire réduite par l’APEA à son contenu minimum pour être utile au curateur. Il sera systématiquement préféré la communication de mesures à prendre plutôt que des données assimilables à un diagnostic [lire la suite…].

• L’obtention d’un extrait de poursuites ou/et du casier judiciaire doit être impérativement nécessaire pour que l’employeur puisse s’assurer que la sécurité est garantie [lire la suite…].

• La destruction/effacement des données de police peut intervenir aux conditions cumulatives suivantes :
  • Un acquittement, une ordonnance de classement, de non-lieu ou de non-entrée en matière ont été rendus.

  • Les données ne sont pas utiles pour prévenir, rechercher ou réprimer des infractions graves, au sens de ce qui suit. L’appréciation de l’utilité s’effectue par une pesée des intérêts en présence. Pour ce faire, il convient de prendre en considération la gravité de l'atteinte portée aux droits fondamentaux du requérant par le maintien des inscriptions litigieuses à son dossier de police, les intérêts des victimes et des tiers à l'élucidation des éléments de fait non encore résolus, le cercle des personnes autorisées à accéder au dossier de police et les intérêts de la police à pouvoir mener à bien les tâches qui lui sont dévolues [lire la suite…].

• Une demande d’accès à ses données personnelles, enregistrées dans le journal de police / de poste, par la personne concernée ne peut être refusé ou restreint, que si l’une des conditions figurant aux articles 33 CPDT-JUNE, 95 Loi jurassienne sur la police ou 98 Loi neuchâteloise sur la police est remplie. Le cas échéant, la personne concernée doit recevoir rapidement une réponse motivée en lui indiquant la possibilité de saisir le PPDT [lire la suite…].

• La question de la sous-traitance des données personnelles est déjà épineuse en soi. Il suffit de parcourir la page dévolue à ce sujet pour s’en convaincre. La sous-traitance de données personnelles soumises au secret professionnel (^{art. 321 CP}) à un auxiliaire est autorisée, sous réserve du respect des conditions légales. En revanche, un arrêt du Tribunal fédéral (^{2C_1083/2017 du 4 juin 2019}) semble empêcher le sous-traitant à sous-traiter ce traitement. Mais les juges fédéraux n’ont pas examiné directement la question des fournisseurs de services Cloud [lire la suite…].

• Les traitements de données personnelles soumises au secret de fonction ne peuvent pas être sous-traités hors de Suisse. En ne respectant pas cette restriction, le responsable de traitement s’expose à des poursuites pénales pour violation du secret de fonction [lire la suite…].

• Les procès-verbaux des organes législatifs publiés sur internet ne doivent pas comporter de noms de personnes non élues. Une version avec les noms peut néanmoins restée consultable au bureau communal [lire la suite…].

• Il est possible d’accéder aux parties des procès-verbaux/notes internes dans lesquelles figurent ses propres données personnelles, pour autant qu’aucun autre intérêt public/privé prépondérant ne s’y oppose. Pour l'accès à l'ensemble d'un dossier, voir l'avis sur l'accès aux dossiers de procédures pendantes ou clôturées ou sur l'ensemble d'un document d'aide à la décision (note interne), voir l'avis sur cette notion [lire la suite…].

Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2020.

AVIS PUBLIÉ EN MATIÈRE DE TRANSPARENCE

• Les obligations de refuser aux tiers la consultation des dossiers fiscaux ou des pièces officielles prévues aux articles 131 al. 2 LI et 176 al. 2 LCDir sont des dispositions spéciales au sens de l’article 69 al. 4 CPDT-JUNE. Ces dispositions ont pour objet de protéger d’une part l’intérêt public et d’autre part les informations touchant à la sphère privée du contribuable et communiquées à l’autorité dans le cadre de l’accomplissement de ses tâches légales. Par contre, elles ne protègent pas des informations portant par exemple exclusivement sur des processus internes, des planifications, des directives internes des autorités, etc. Ces documents sont donc accessibles en vertu de la CPDT-JUNE, sous réserve des exceptions prévues par cette convention [lire la suite…].

• Les procès-verbaux des organes législatifs publiés sur internet ne doivent pas comporter de noms de personnes non élues. Une version avec les noms peut néanmoins restée consultable au bureau communal [lire la suite…].

• Lorsqu'une demande d’accès à un document officiel est susceptible de porter atteinte à un intérêt prépondérant privé/public selon l'article 72 CPDT-JUNE, l’entité sollicitée se doit d’offrir le droit d’être entendu à la personne/entité concernée (art. 70 CPDT-JUNE). Si cette dernière s’oppose et que son opposition est levée (art. 30 et 36 CPDT-JUNE), l’entité sollicitée ou/et l’opposant peuvent saisir le PPDT pour une séance de conciliation (art. 40 CPDT-JUNE). Celui-ci convoquera toutes les parties à une séance de conciliation (art. 41 CPDT-JUNE). Dans certains cas toutefois, l’anonymat des personnes concernées devant être respecté, il appartiendra alors au préposé d’organiser la séance en fonction de ce critère. Il jouera le rôle « d’interface » entre les parties [lire la suite…].

• Passages de l’arrêt du Tribunal administratif fédéral du 11 décembre 2019 (A-2352/2017) adapté au droit cantonal, partiellement modifié et remis en forme, avec quelques compléments cantonaux. Hormis pour les procès-verbaux des séances non publiques, les règles de la transparence fondent une présomption en faveur du libre accès aux documents officiels qui n’entrent pas dans l’une des catégories citées dans la question. Il appartient aux entités de prouver que le document n’est pas accessible. Une atteinte mineure ou simplement désagréable aux intérêts publics/privés engendrée par l'accès ne saurait constituer un motif de refus. Lorsque la probabilité de la réalisation de la violation d'intérêts à protéger existe tout en étant faible ou lorsqu'il faut s'attendre à une conséquence négative mineure, il est indiqué d'opter en faveur de l'accès. En cas de variante possible, l'autorité doit choisir la moins incisive et qui porte le moins possible atteinte au principe de la transparence. Les documents officiels contenant des données personnelles doivent être si possible rendus anonymes avant qu'ils soient consultés. Si l'entité entend refuser la consultation de pièces faisant l'objet d'une procédure d'accès, elle est tenue en tous les cas de communiquer au demandeur un résumé du contenu essentiel de ces documents, si elle les utilise à leur détriment [lire la suite…].

Sous ce lien, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2020.

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté dix-neuf fois en 2020 :

PROJETS SOUMIS AU PPDT

• Modification de la loi portant introduction à la loi fédérale sur les prestations complémentaires à l'AVS/AI (LiLPC; RSJU 831.30).

• Projet de convention intercantonale en matière de santé numérique (dossier électronique du patient DEP).

• Consultation du projet de révision de l'Ordonnance sur le guichet virtuel (RSJU 170.421).

• Projet de directives d'exécution du règlement sur la vidéosurveillance, commune de Porrentruy.

• Modification partielle de la loi sur l'école obligatoire (LEO; RSJU 410.11) et ordonnance concernant la pédagogie spécialisée.

• Projet de loi sur la vidéosurveillance, commune de Porrentruy.

• Projet de règlement de vidéosurveillance de la commune de Boncourt.

• Projet de convention JU-NE pour l'envoi de dossiers de détenus aux autorités pénitentiaires neuchâteloises.

• Projet de modification du Règlement de sécurité locale, art. 62 à 71 (Règlement de sécurité locale), des communes fusionnées de Courrendlin, Rebeuvelier et Vellerat.

• Projet de loi sur les jeux d'argent (LiLJAr).

PROJETS SOUMIS AU PPDT

• Projet de modification du Règlement relatif au personnel administratif et technique de la commune de Val-de-Ruz, relatif au test d'alcoolémie.

• Projet de modification du Règlement d'application de la loi d'introduction de la loi fédérale sur l'assurance-maladie (RALILAMal; RSN 821.101).

• Projet de révision de la loi sur la Police (LPol; RSN 561.1).

• Projet de vidéosurveillance d'une installation du Canton de Neuchâtel, dans le village de Montmollin, (Arrêté du Conseil d'État du 16 septembre 2020).

• Projet de révision de la Loi concernant l'harmonisation des registres officiels de personnes et le contrôle des habitants (LHRCH; RSN 132.0) pour s'adapter au e-déménagement.

• Projet de loi sur l'exploitation des sous-sols.

• Projet de de système d'information LIANE.

• Projet de modification de règlement sur le personnel de la commune de Val-de-Ruz.

PROJET SOUMIS AU PPDT

• Projet de modification de la loi fédérale sur l'asile (LAsi; RS 142.31).

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.