Thèmes de A à Z
Rechercher dans le site Règles applicables
Convention CPDT-JUNE, ... Modèles Documents
Pour entités et particuliers Qui est concerné ?
Entité et personnes concernées Guides pratiques
Procédures, vidéosurveillance, ...

Accueil › Activités › Rapports annuels/spéciaux › Années

Rapport 2021

Protection des données et transparence

À télécharger

Rapport d'activité (PDF, 2.0 Mo)

Table des matières

Publié en mars 2022 (dossier 2021.3712)

Le Grand Conseil neuchâtelois a traité le rapport dans le cadre de l'approbation globale des comptes et de la gestion pour l'exercice 2021 (extrait du PV de la séance du 28 juin 2022 à 13h30).

Le Parlement jurassien a approuvé le rapport par xx voix, x non et x abstention, lors de sa séance du x septembre 2021 (PV n° xx). Débat et votes publiés dans le Journal des débats (en cours).

Avant-propos

Le hacking avait déjà frappé des Communes romandes, mais l’année 2021 a été marquée par la médiatisation des vols et du chiffrement des données des autorités de Rolle et Montreux. Le risque d’être victime de pirates s’est ainsi rapproché et les responsables de traitement des collectivités publiques romandes ont réalisé qu’il pouvait se réaliser. Le premier trimestre 2022 l’a démontré avec le cas de l’Université de Neuchâtel.

C’est à l’occasion de ces malheureux événements que les règles de la protection des données, souvent vues comme chronophages, voire excessivement formalistes, prennent tout leur sens. Notamment, le respect rigoureux du principe de la proportionnalité, qui ne permet pas d’éviter le piratage, mais d’affronter un vol de données personnelles plus sereinement car « LES DONNÉES QUE NOUS N’AVONS PAS, NE PEUVENT PAS NOUS ÊTRE VOLÉES ». Autrement dit, ne pas conserver « en production » ou ne pas récolter inutilement des données personnelles qui ne sont plus ou pas indispensables à l’accomplissement des tâches en cours, réduit considérablement les risques d’atteintes à la personnalité des administrés. Le rapport n° 74 de la Cour des comptes vaudoise « La protection des données personnelles dans l’Administration cantonale vaudoise » relève d’ailleurs la même problématique : « […] La majorité des entités n’ont pas non plus entamé de réflexion sur les règles de conservation et d’archivage à appliquer pour leurs données sous l’angle des dispositions en matière de protection des données. […] ». Nul doute que le constat serait sans doute similaire dans les cantons de Neuchâtel et du Jura.

Certaines entités sont friandes des différents moyens de publication sur internet (réseaux sociaux, Youtube, Tiktok, Twitter…) afin d’optimiser leur communication. Toutefois, celles-ci devraient être plus attentives lorsque des données personnelles sont en jeu. Par exemple, les débats publics sont certes ouverts à tous, mais il n’empêche que leur contenu ne peut pas être diffusé sur internet inconditionnellement lorsque des données personnelles sont traitées. Les activités de l’État répondent à des conditions plus exigeantes que celles des acteurs privés. C’est pourquoi la justification « que tout le monde fait ça » n’est pas audible. Sinon, pourquoi ne pas financer le matériel scolaire en permettant l’inscription de publicités ?

Au-delà des points négatifs relevés, soulignons que durant la crise du COVID-19, les médias ont épinglé plusieurs cantons qui utilisaient une plateforme pour le formulaire d’inscription à la vaccination, non conforme aux règles de la protection des données. La sensibilisation à ces dernières dans les cantons du Jura et de Neuchâtel n’a pas été vaine puisqu’ils ne figuraient pas dans la liste.

L’année en cause marque également l’adoption du projet de révision de la CPDT-JUNE par les deux exécutifs cantonaux. Le droit cantonal améliorera la protection des administrés et sera compatible avec les nouvelles exigences du Conseil de l’Europe (Convention 108+) et des accords Schengen/Dublin.

Au niveau de la transparence, la décision du 15 avril 2021 de la Commission de la protection des données et de la transparence (CPDT) confirme que l’intérêt public à connaître les conclusions d’un rapport d’audit sur d'éventuels problèmes rencontrés dans la gestion d’un service, l’emporte sur les intérêts de ses anciens dirigeants, et ce quand bien même ceux-ci remettent en question la véracité, la présentation des faits et les jugements de valeur du rapport d’audit. De manière générale, les problèmes d’accès sont régulièrement causés par la forme des rapports peu ou pas suffisamment compatible avec le droit d’accès aux documents officiels. Un effort sur celle-ci économiserait sensiblement les ressources utilisées pour traiter une demande d’accès.

Quant à la neuvième année d’activité, la croissance du nombre des dossiers a une fois de plus sensiblement augmenté. Elle n’était que de 1.9 % en 2020 et est passée à 9.6 % en 2021. Il y a eu presque autant de dossiers ouverts que clôturés. Les dossiers en cours ne s’élèvent qu’à cinquante-six (cinquante-huit fin 2020), mais ce chiffre est presque exclusivement dépendant des parties concernées et non pas du PPDT. L’augmentation du nombre de dossiers s’explique peut-être par la mise en lumière régulière de la problématique de la protection des données dans le cadre de la crise du COVID-19. Afin d’optimiser la gestion du volume d’affaires, le cockpit de gestion des dossiers du PPDT a sensiblement été amélioré. Le registre des fichiers de données sensibles s’est faiblement étoffé (+ trente). Les responsables de fichiers n’ont été que timidement relancés en 2021, compte tenu de la crise sanitaire qui a provoqué d’autres priorités pour ceux-ci. Lorsque la situation ira mieux, de gros efforts resteront à faire pour obtenir une meilleure cartographie des données sensibles traitées par les entités soumises à la CPDT-JUNE.

La Commission de la protection des données et de la transparence n’a rendu que la décision précitée en 2021. En revanche, cinq nouvelles requêtes de conciliation ont été réceptionnées durant cette même année ; parmi lesquelles : aucune n’était en cours de traitement au 31 décembre ; quatre se sont clôturées sans qu’un échec de la conciliation ne soit constaté. Une seule requête a fait l’objet d’un constat d’échec de la conciliation, sans que cela ait conduit, à ce jour, à la saisie de la CPDT pour qu’elle rende une décision.

En ce qui concerne le « quotidien » du PPDT, l’essentiel de ses activités a consisté à répondre aux questions de l'administration et du public, concernant principalement la protection des données et accessoirement la transparence, ainsi que de sensibiliser au mieux les personnes concernées, notamment à travers le site internet www.ppdt-june.ch. Quinze nouvelles surveillances de la gestion des données personnelles ont également été entreprises. Aucune n’a dû faire pour l’instant l’objet d’une recommandation contraignante. Plusieurs vidéosurveillances ont fait l’objet de demandes de régularisation par le PPDT, qui sont en cours de traitement par les entités concernées. L’utilisation du Système d’Information Schengen (SIS II) et le Système central d’information sur les visas (VIS) n’ont pas fait l’objet d’un contrôle durant cette année pour les raisons que l’on connaît. Malgré l’augmentation des dossiers, il a tout de même été possible de prendre le temps d’améliorer le cockpit de suivi des dossiers afin de gagner en productivité.

Enfin, la conclusion sera quasi la même qu’en 2020. L’augmentation de dossiers intercantonaux problématiques doit être clairement signalée. Beaucoup de préposés cantonaux constatent, pour ne pas dire déplorent, que des fournisseurs plus ou moins publics, voire privés, proposent des projets de traitements de données intercantonaux sans avoir les ressources nécessaires pour traiter les questions de protection des données. Or, dès qu’un examen est effectué par une autorité de protection des données, il est (trop !) régulièrement constaté que des points élémentaires, tels qu’un contrat en bonne et due forme ou les bases légales nécessaires, ne sont pas respectés. Les projets étant souvent bien avancés et ayant déjà mobilisé de volumineuses ressources, les autorités concernées se retrouvent dans un certain embarras.

Autorités

Base légale

La convention intercantonale relative à la protection des données et à la transparence dans les cantons du Jura et de Neuchâtel (CPDT-JUNE), entrée en vigueur le 1er janvier 2013, a institué un préposé à la protection des données et à la transparence (PPDT) commun pour les cantons du Jura et de Neuchâtel, ainsi qu'une Commission de la protection des données et de la transparence (CPDT).

Tâches du titulaire

Le PPDT s'occupe non seulement de la protection des données personnelles traitées par les autorités cantonales et communales¹, mais aussi de la transparence de ces dernières.

Il est principalement chargé dans ces deux domaines de :

Promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière.
Assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière.
Se prononcer sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.
Se prononcer sur les projets de vidéosurveillance des entités soumises à la CPDT-JUNE.
Concilier les parties lorsqu'il est saisi d'une requête parce qu'une entité soumise à la CPDT-JUNE n'a pas pleinement accepté une demande fondée sur cette dernière.
Surveiller activement les entités soumises à la CPDT-JUNE pour vérifier qu'elles appliquent correctement la convention, et émettre des recommandations lorsqu'un manquement est constaté (exclusivement en matière de protection des données).
Saisir la CPDT lorsque la CPDT-JUNE le lui permet.
Tenir le registre public des fichiers.
Rendre un rapport annuel d'activité aux gouvernements et parlements des deux cantons.

Monsieur Christian Flueckiger, avocat, docteur en droit, a été désigné pour occuper le poste de préposé à la protection des données et à la transparence (PPDT) pour un mandat de cinq ans, renouvelable tacitement.

Organisation

Le PPDT est nommé conjointement par le Gouvernement jurassien et le Conseil d'État neuchâtelois, mais il s'acquitte de ses tâches de manière totalement autonome et indépendante. Il ne peut recevoir aucune instruction pour les activités qu'il doit accomplir. Il dispose de son propre budget.

Son taux d'activité est de 100 % et il bénéficie d'une collaboratrice administrative travaillant à 60 %.

Activités principales

Promotion de la protection des données et de la transparence

Le PPDT doit promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités soumises à la CPDT-JUNE au sujet des principes inscrits dans cette dernière (art. 8 al. 1 CPDT-JUNE).

La promotion de la protection des données et de la transparence passe principalement par quatre vecteurs, soit le site internet www.ppdt-june.ch, les newsletters/flux RSS, les formations et les médias.

Le premier s’étoffe quotidiennement dans le but de répondre au mieux aux questions que se posent le public et les entités soumises à la CPDT-JUNE.

Un flux RSS/newsletters permet d’être informé périodiquement des nouveautés. Il suffit de s’y inscrire en cliquant sur l’icône adéquate de la page d’accueil (www.ppdt-june.ch).

La rubrique des guides et aide-mémoire est régulièrement complétée afin de sensibiliser au mieux les entités soumises à la CPDT-JUNE et le public. Tous sont accessibles sous ce lien : Guides pratiques.

Le PPDT a donné onze formations dont la liste est détaillée sous ce lien : Conférences et mandats.

Ses activités ont également fait l'objet de trois passages dans différents médias, dont les références figurent sous ce lien : Revue de presse.

Avis, prises de position, conseils et assistance

Le PPDT doit assister et conseiller le public et les entités soumises à la CPDT-JUNE à propos des sujets régis par cette dernière (art. 8 al. 3 CPDT-JUNE).

Un peu moins de la moitié de l'activité (45 %) du PPDT consiste à répondre aux questions de l'administration et du public. Le sujet de la protection des données provoque davantage de questions que celui de la transparence des activités étatiques, comme les statistiques présentées ci-après le démontrent (voir Statistiques).

En 2021, le PPDT a publié 33 avis et prises de position en matière de protection des données et 13 en matière de transparence.

AVIS PUBLIÉS EN MATIÈRE DE PROTECTION DES DONNÉES

Le service de la consommation et des affaires vétérinaires ne bénéficie actuellement pas de la base légale suffisante pour offrir l’accès à ses homologues aux autorisations de commerce d’animaux qu’il a délivrées [lire la suite…].
Tout un chacun est en droit d’obtenir la liste nominative des experts désignés par l’OAI, mais une publication sur internet ne serait pas respectueuse de la protection de la personnalité des médecins concernés [lire la suite…].
Une publication papier, audio ou vidéo des débats d’un organe législatif ne peut pas être publiée sur internet sans supprimer les données personnelles qui y figureraient [lire la suite…].
Après son examen, l’arrêté en cause paraît conforme aux règles sur la protection des données et à la transparence [lire la suite…].
La diffusion des débats publics exclusivement sur YouTube, Facebook, et autre produit similaire est contraire à la CPDT-JUNE. S’ils devaient être diffusés parallèlement sur le site de la commune (en utilisant un outil dont les autorités ont les garanties contractuelles qu’il assure le respect de la CPDT-JUNE), ils doivent impérativement être ANONYMISÉS. Par ailleurs, le droit à l’image des élus (art. 28 ss CC) paraît devoir imposer un minimum d’informations actives préalables pour une diffusion sur les réseaux sociaux, voire un consentement en l’absence d’une base légale formelle. La protection de la personnalité des élus communaux est plus étendue que celle des élus fédéraux, voire cantonaux [lire la suite…].
Les entités soumises à la CPDT-JUNE sont en droit de stocker/transférer des données en utilisant un Cloud, pour autant que les conditions soient remplies. Il faut tout d'abord procéder à une analyse d'impact selon l'aide-mémoire de Privatim. Les critères principaux sont la nature des données traitées, le droit applicable, le for, le lieu du traitement des données (situation des serveurs, la protection des secrets, le contenu du contrat, la récolte éventuelle de métadonnées par le fournisseur, ainsi que le chiffrement et la gestion des clés. Par exemple, des données personnelles soumises au secret de fonction et non chiffrées ne peuvent pas être hébergées à l'étranger. Sans l'obtention de conditions particulières expressément accordées à l'entité par contrat, pCloud, Mega, Box, OneDrive, Google Drive, Dropbox, iCloud, etc., ne remplissent à priori pas les conditions susmentionnées. Le maître de fichier qui passerait outre cet avis engage sa responsabilité envers les personnes dont les données seraient envoyées sur les services précités et pourrait encourir des sanctions pénales [lire la suite…].
L’article 100 LPol prévoit que la police neuchâteloise peut enregistrer, à des fins probatoires, de compréhension, de formation, ou de contrôle qualité, les appels entrants et sortants gérés par la centrale d'engagement ainsi que les communications POLYCOM. Les enregistrements sont conservés pendant un an, puis détruits à la fin de cette période [lire la suite…].

Sous ces liens, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2021.

AVIS PUBLIÉ EN MATIÈRE DE TRANSPARENCE

Dans les cantons de Neuchâtel et Jura, les oppositions au PAC sont émises avant toute prise de décision. Elles interviennent donc dans une phase non contentieuse de la procédure d’adoption du PAC. Par conséquent les règles sur la transparence s’appliquent [lire la suite…].
Tout un chacun est en droit d’obtenir la liste nominative des experts désignés par l’OAI, mais une publication sur internet ne serait pas respectueuse de la protection de la personnalité des médecins concernés [lire la suite…].
Une publication papier, audio ou vidéo des débats d’un organe législatif ne peut pas être publiée sur internet sans supprimer les données personnelles qui y figureraient [lire la suite…].
L’arrivée des règles de la transparence a ouvert une grande brèche dans le secret de fonction, que le Tribunal fédéral ne cesse d’agrandir d’arrêt en arrêt sur ce thème. Les autorités cantonales ne peuvent pas se reposer sur le devoir de diligence et de fidélité pour garder la maîtrise sur la gouvernance de l’information « transparente » [lire la suite…].

Sous ce lien, se trouvent l'ensemble des Avis et Prises de position du PPDT pour 2021.

Procédures législatives

La CPDT-JUNE prévoit que le PPDT se prononce sur les projets d’actes législatifs ayant un impact sur la protection des données et la transparence.

Le PPDT a été consulté vingt fois en 2021 :

Jura

PROJETS SOUMIS AU PPDT

Projet de modification de l’ordonnance concernant la surveillance électronique (RSJU 341.11).
Projet d'ordonnance Covid-19 pour établir des listes de vaccinés dans les établissements médicaux.
Projet de révision de l'ordonnance concernant le guichet virtuel sécurisé (RSJU 170.421).
Convention intercantonale PICSEL.
Projet de modification de la loi d'introduction du code civil suisse (LiCC; RSJU 211.1) en vue de la mise en œuvre de la surveillance électronique (LiLPC; RSJU 831.30).

PROJETS SOUMIS AU PPDT

Examen des nouveaux règlements internes de traitement de l'association pour le dépistage du cancer (ADC BEJUNE).
Projet de loi sur la lutte et la prévention contre le surendettement (LLPS; RSN 831.3).
Projet de loi portant sur la création d’un établissement autonome de droit public (AROSS).
Projet de décret portant adhésion à l’accord intercantonal sur les marchés publics du 15 novembre 2019 (AIMP 2019) et d’un projet de loi sur les marchés publics (LCMP).
Examen des conditions générales d'utilisation des ressources informatiques du Secondaire 2.
Questions sur l'OLPD pour la consultation fédérale.
Mise en place d'une vidéosurveillance par le SCAN.
Projet de révision de l’arrêté relatif aux cours de langue et de culture d’origine (LCO) dans la scolarité obligatoire (RSN 410.107).
Projet de loi portant modification de la Loi concernant l'introduction du code civil suisse (LI-CC) (LI-CC; RSN 211.1).
Projet de règlement de police dans la commune de St-Blaise.
Mise en consultation du projet de règlement d’application de la loi sur l’insertion des jeunes en formation professionnelle (R-LIFP; RSN 411.112.).
Projet de modification du règlement d'application de la loi sur l'accueil des enfants (REGAE; RSN 400.10.
Consultation d'un projet de règlement sur le registre cantonal des tumeurs.

PROJET SOUMIS AU PPDT

Projet de révision de la loi fédérale du 18 décembre 2020 sur la sécurité de l'information au sein de la Confédération (loi sur la sécurité de l'information, LSI) prévoyant l’obligation d’annonce des cyberattaques.
Projet de révision totale de l'ordonnance relative à la loi fédérale sur la protection des données (OLPD; RS 235.11).

Vidéosurveillance

La CPDT-JUNE prévoit que les entités qui y sont soumises et qui envisagent d'installer un système de vidéosurveillance doivent au préalable consulter le PPDT, tant pour l’élaboration du règlement que pour la mise en place effective.

BASES LÉGALES ACCEPTÉES EN 2021

Aucune base légale relative à la vidéosurveillance.

POSES DE VIDÉOSURVEILLANCE ACCEPTÉES EN 2021

Couvert à vélos, écopoint, commune de Courgenay.
Ecole primaire, commune de Bassecourt.
Déchetterie communale, commune de Boncourt.
Parking Place de l’Etang, Delémont.

PROJETS SOUMIS EN 2021 ET EN COURS

Vidéosurveillance en ligne d’un bâtiment public.
Vidéosurveillance d’un écopoint, et d’écoles primaire et enfantine d’une commune.
Vidéosurveillance sur le site de la déchetterie d’une commune.
Projet d'étendre les zones de vidéosurveillance à des bâtiments communaux.

BASES LÉGALES ACCEPTÉES EN 2021

Différentes zones accessibles au public, SCAN.

POSE DE VIDÉOSURVEILLANCE ACCEPTÉE EN 2021

Parking des Jeunes-Rives, Neuchâtel.

PROJET SOUMIS EN 2021 ET EN COURS

Pas de projet en cours.

Procédures de conciliation

La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci ; lorsque la conciliation échoue, la cause peut être transmise à la Commission de la protection des données et de la transparence (CPDT) pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les huit requêtes terminées en 2021. Aucune requête ouverte, toutes années confondues, n’est encore en cours de traitement. À ce jour, aucun des deux échecs de conciliation n’a fait l’objet de transmission à la Commission de la protection des données et de la transparence (CPDT).

CONCILIATIONS

En matière de protection des données

Demande d'effacement de données personnelles d'un fichier de la police. Echec de la conciliation [Détails…].
Demande d'accès aux données relatives à son propre dossier de construction. Requête retirée [Détails…].
Demande d'accès à un dossier pénal clôturé. Requête devenue sans objet [Détails…].
Demande d'accès à son ancienne liste de classe. Requête devenue sans objet [Détails…].
Demande d'accès à ses données personnelles figurant dans une enquête interne. Requête devenue sans objet [Détails…].

En matière de transparence

Demande d'accès à des documents d'urbanisme. Requête retirée [Détails…].
Demande d'accès à un rapport de l'ODAS. Requête retirée[Détails…].
Demande d'accès à un rapport d'audit d'un service de l'urbanisme d'une commune. Echec de la conciliation [Détails…].

Surveillances

Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Le nombre d’ouvertures de surveillances a légèrement augmenté (+1), faute de temps disponible. En 2021, 15 surveillances ont été ouvertes et 13 se sont terminées (énumérées ci-dessous). Quatre sont toujours en cours, toutes années confondues.

SURVEILLANCES

Interpellation d’une commune neuchâteloise qui n’avait pas respecté le processus d’adoption des règles relatives à la vidéosurveillance.
Il a été demandé à l’OFSP de restreindre le nombre de certificats enregistrables dans l’application COVID Certificate. La demande a conduit à une mise à jour quelques semaines plus tard.
Récolte du NAVS 13 dans le cadre de listes pour J+S.
Vérification que la solution choisie de contact tracing est conforme aux exigences de la protection des données. Les services se sont dit conscients du problème et attentifs à l'évolution.
Vérification auprès des services de la santé JU et NE que l'envoi des certificats de vaccination ne se fait pas par un simple e-mail.
Suite aux informations parues dans la presse à propos de la plateforme www.mesvaccins.ch, le PPDT s'est assuré que les Cantons de Neuchâtel et Jura n'entretenaient pas de liens contractuels avec celle-ci.
Intervention auprès de la CCNAC demandant que leur formulaire mentionne qu'il est possible de caviarder, dans un extrait bancaire/CCP complet, tous les postes sans lien avec le salaire.
Vérification d'une surveillance présumée illicite de données de vidéosurveillance et de badges par RHNE.
Il a été rappelé à des communes que des caméras non connectées doivent bénéficier d'une base légale.
Intervention pour qu'une liste de coordonnées de soignants, comprenant le NAVS13 et d'autres données personnelles, ne circule plus.
Il a été rappelé à un cercle scolaire que le consentement pour être filmé/photographié appartient aux élèves, dès 10-12 ans.
Intervention pour supprimer la communication de données médicales par e-mail à un service de la santé scolaire.
Vérification de la conformité d'une vidéosurveillance d'une entité paraétatique.

Formations continues suivies

Le PPDT suit chaque année des cours de formation continue comme l’exigent les règles sur la protection des données :

Conférence 10 ans de Transparence avec l’Institut du Fédéralisme de l’Université de Fribourg, Fribourg, UniFR, 1 jour, décembre.
La santé personnalisée et la lutte contre les inégalités en santé, Neuchâtel, UniNE; 1 jour; novembre.
18ème Journée de formation continue avocats 2021, Neuchâtel, UniNE; 1 jour; novembre.
14ème journée suisse du droit de la protection des données : La révision de la Loi fédérale sur la protection des données; 1 jour; septembre, Fribourg.
Journée droit et économie numérique : la cybersécurité, Lausanne UniL CEDIDAC; 1 jour; juin.
Journée du CERT : La fin des rapports de travail, nouveautés en droit du travail, UniNE, en visioconférence; 1 jour; mars.

Formations et conférences données

Le PPDT est chargé de promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités au sujet des principes inscrits dans la CPDT-JUNE. C’est pourquoi il est amené à donner les formations et conférences suivantes :

Participation à une table ronde à Macolin; novembre.
Intervention auprès de la Société neuchâteloise de médecine à propos de l'identité numérique, La Chaux-de-Fonds; novembre.
Intervention dans le cadre des séminaires Europe, Droit européen et LPD, Berne; novembre.
Cours au Service du développement territorial (SDT) sur la transparence, Delémont; octobre.
Cours au Lycée Jean-Piaget; octobre.
Formation Protection des données et transparence, SRHE Neuchâtel, septembre.
Formation aux avocats-stagiaires jurassiens; août.
Participation à la dernière leçon d'un professeur, directeur de l'IDS, UniNE, juin.
Cours à l'Ecole supérieure d'informatique de gestion, Delémont; juin.
Conférence donnée dans le cadre du colloque de protection des données de CEDIDAC; mars 2021: le devoir d'informer.
Intervention dans la formation de conseiller à la protection des données en entreprise, Lausanne; mars.

Recommandations

Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.

Une recommandation impose aux maîtres de fichiers de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.

Registre des fichiers

Un formulaire sur le site internet du PPDT a été mis à disposition des autorités jurassiennes et neuchâteloises. Il est rappelé progressivement l’obligation de déclarer les fichiers de données sensibles ² à l’ensemble des entités soumises à la CPDT-JUNE.

Les déclarations semblent exiger des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches.

Jusqu’à fin mars 2022, 158 fichiers jurassiens ont été déclarés et 117 neuchâtelois. Les déclarations n’ont pas beaucoup augmenté (+30), mais les entités n’ont été que timidement relancées en raison de la crise sanitaire. La cartographie des fichiers de données sensibles s’est légèrement étoffée, mais le registre reste encore incomplet.

Collaborations

Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS II, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.

Depuis avril 2014, le PPDT a intégré le comité de privatim, conférence suisse des préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a pu, cette année encore, profiter d’interventions sur le contrat Microsoft, les conditions d’utilisation d’un Cloud ou le contenu d’une analyse de risques.

Le PPDT est également membre, depuis 2015, de l’Organisation d’accompagnement intercantonal à Schengen/Dublin de la Conférence des gouvernements cantonaux chargée d’aider les cantons dans les changements imposés par l’Union européenne dans ce cadre-là.

Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles. Une seule a eu lieu cette année pour les raisons que l’on connaît.

Comptes

Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.

Le budget 2021 a été bien respecté puisqu’il en ressort une économie de SFr. 15’325.-. La plus grande partie des économies s’explique par la non-utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité et de l’ampleur des dossiers rencontrés ainsi que du temps à disposition. Le solde restant est inhérent à l’établissement d’un budget. Excepté un dépassement de SFr. 91.85 dans le compte matériel informatique (3113), aucune charge hors salaire n’a dépassé le budget.

Par ailleurs, les comptes 2013 à 2016 (rapport 2017, annexe 2/1), ainsi que les comptes 2017-2019 (rapport 2020, annexe 1/ 1) ont été contrôlés par le contrôle des finances jurassien. Le dernier rapport a constaté que la comptabilité était régulièrement tenue, sans formuler de remarques.


N° de compte	Intitulé du compte	Budget 2021	Comptes 2021	Différence
115.3010.00	Traitements du personnel	185'200.00	186'308.85	-1'108.85
115.3050.00	Assurances sociales	12'000.00	12'082.10	82.10
115.3051.00	Caisse de pensions	20'700.00	20'820.60	120.60
115.3053.00	Assurances-accidents	400.00	365.25	-34.75
115.3054.00	Cotisations allocations familiales	4'900.00	5'030.35	130.35
115.3055.00	Cotisations patronales aux assurances ind. journalières	1'500.00	1'508.75	8.75
115.3090.00	Formation et perfectionnement du personnel	4'000.00	1'480.00	-2'520.00
115.3100.00	Fournitures de bureau	300.00	53.65	-246.40
115.3103.00	Littérature spécialisée, Swisslex	2'600.00	1'923.15	-676.85
115.3113.00	Matériel informatique	2'000.00	2'091.85	91.85
115.3130.00	Prestations de services de tiers	17'500.00	7'307.74	-10'192.26
115.3160.00	Loyers	12'000.00	12'000.00	0.00
115.3170.00	Dédommagements, frais déplacem.	6'000.00	2'802.00	-3'198.00
115.3199.00	Autres charges d'exploitation	0.00	0.00	0.00
115.3910.00	Imp. int. pour prestations de services	26'000.00	26'000.00	0.00
	Total des charges	295'100.00	279'774.29	-15'325.71
115.4210.00	Emoluments administratifs	-500.00	-3'400.00	2'900.00
115.4611.00	Part neuchâteloise (71 %)	-209'200.00	-195'926.00	13'274.00
	*Total des revenus*	*209'700.00*	199'326.00	*-10'374.00*
Solde	Part jurassienne (29 %)	85'000.00	80'448.29	-4'951.71

Statistiques

Les graphiques ci-après permettent de détailler les 524 dossiers ouverts en 2021.

Le nombre d’ouvertures de dossiers est passé de 478 à 524 (+46) entre 2020 et 2021, soit une augmentation de près de 10 %. Le nombre de dossiers classés est presque identique à celui des dossiers ouverts. Fin 2021, 56 dossiers étaient dans l’attente de nouvelles ou de réponses, alors qu’ils étaient 58 en 2020, 57 en 2019, 81 en 2018, 105 en 2017 et 107 en 2016. Bien que la diminution des dossiers en cours en fin d’année soit la bienvenue, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.

Plus de la moitié de l'activité (56 %) consiste à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence continue d’augmenter légèrement (+5), après avoir connu sa seule diminution en 2019, alors qu’en matière de protection des données, il varie faiblement (+4). Les dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, ont largement augmenté (+40).

À relever que, malgré l’évolution conséquente de ces dossiers « mixtes », les renvois au Préposé fédéral à la protection des données n’ont que légèrement augmenté (+3). Plus les administrés s’intéresseront au sujet de la protection des données, plus ces erreurs « d’aiguillage » surgiront. Il n’est pas facile pour les non-initiés de savoir quelle autorité est compétente dans un cas d’espèce.

Les dossiers relatifs aux communes représentent 18.5 % du total, chiffre relativement stable au cours de ces dernières années.

Cinq nouvelles requêtes de conciliation ont été réceptionnées, aucune n’était en cours de traitement au 31 décembre. Seules deux conciliations, dont l’une ouverte en 2020, ont échoué.

La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.

A. Répartition des dossiers par matière et évolution annuelle

B. Répartition des dossiers par activité en protection des données

C. Répartition des dossiers par activité en transparence

D. Répartition des dossiers par activité commune à la transparence et la protection des données

E. Nombre de dossiers par initiateur

F. Répartition des dossiers par initiateur

G. Moyens de saisie utilisés

H. Sujets des dossiers

I. Responsables de traitements concernés

Utilisation du site internet www.ppdt-june.ch

Selon l’ outil d’analyse du site www.ppdt-june.ch, il ressort, pour l’année 2021, que :

Les pages relatives aux communications autorisées ou non, extraits du casier judiciaire, droits des patients, conventions passées avec des sous-traitants et aux installations de vidéosurveillance font partie des pages les plus consultées.
53 personnes différentes consultent journellement le site (20 en 2020).
2.3 pages consultées en moyenne (2.7 en 2020).
60 consultations journalières (18 en 2020).
28 % des visiteurs ont utilisé Firefox et 29 % Chrome.
78 % des visiteurs ont utilisé un PC et 19 % leur téléphone.

À terme, ces statistiques permettront de mieux cibler les pages qui méritent une attention particulière et de vérifier l’efficacité de la communication par l’intermédiaire du site.

Bilan

Comme en 2020, le COVID-19 a continué à impacter la protection de nos données personnelles car ces dernières constituent un élément incontournable de la lutte contre cette épidémie. Mais celle-ci n’a que faire du respect de notre principe de la légalité, qui impose de relativement longues procédures législatives pour l’adoption de règles permettant de traiter les données sensibles.

Après avoir connu un fléchissement en 2019 (469), le nombre de dossiers continue d’augmenter (524), soit une augmentation de 9.6 %. La médiatisation grandissante de la protection des données peut sans doute expliquer partiellement cette augmentation. Le premier trimestre 2022 laisse présager une augmentation similaire à 2021. L’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (LPD), annoncée pour septembre 2023 est susceptible de stimuler encore plus de sensibilité au sujet, comme l’avait fait l’arrivée du RGPD en 2018 (précédent record du nombre de dossiers ouverts).

Les règles sanitaires n’ont pas facilité la mise sur pied de séances de conciliation, mais la relative souplesse de cette procédure a permis de n’avoir aucun dossier en cours au 31 décembre.

Comme chaque année, le PPDT a cherché à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a pas été saisie en 2021, alors que huit conciliations ont été traitées dans le même laps de temps, la réalisation de cet objectif se confirme année après année.

Pour 2022, la révision de la CPDT-JUNE sera (enfin !) soumise aux deux législatifs cantonaux. Si les deux parlements l’adoptent, il s’agira alors de préparer et sensibiliser les administrations aux nouveautés. Cette démarche exigera un effort momentané conséquent, tant de la part du PPDT que des entités concernées.

Enfin, la vague de hacking rencontrée depuis l’été 2021 a conduit le PPDT à essayer d’établir une mesure du niveau de sécurité informatique des Communes jurassiennes.

Notes :

[1] Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.

[Retour au texte]

[2] Définition de données sensibles : opinions ou appartenance à une association syndicale, religieuse, politique ou philosophique; données relatives à la santé; données que la personne concernée réserve à un cercle très restreint de proches; lieu/pays d'origine, ethnie; prestations sociales; mesures de curatelles; poursuites ou sanctions pénales ou administratives; données biométriques ou génétiques; ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.

[Retour au texte]