Rapport 2023

La CPDT-JUNE prévoit que le PPDT s'efforce d'amener les parties à un accord lorsqu'il est saisi d'une requête reprochant à une autorité de ne pas avoir respecté celle-ci ; lorsque la conciliation échoue, la cause peut être transmise à la Commission de la protection des données et de la transparence (CPDT) pour qu'elle rende une décision susceptible de recours auprès des tribunaux cantonaux. Ci-après sont énumérées les dix requêtes terminées en 2023. À ce jour une requête ouverte en 2022 est encore en cours de traitement ainsi que six autres, ouvertes fin 2023. Pour l’heure, aucune conciliation ne fait l’objet d’une transmission à la Commission de la protection des données et de la transparence.

CONCILIATIONS

En matière de protection des données

• Demande d'accès à tous les documents dans lesquels figurent les données personnelles du demandeur, y compris les examens, à une entreprise de formation continue. Requête retirée [Détails…].

En matière de transparence

• Contestation de levée d'opposition pour l'accès à un rapport d'audit d'une entité privée. Requête devenue sans objet [Détails…].

• Demande d'accès à des documents relatifs au respect des normes OPB dans l'exploitation des stands de tir. Requête devenue sans objet [Détails…].

• Demande d'accès à un rapport relatif à une fusion de communes. Requête devenue sans objet [Détails…].

• Demande d'accès à un rapport d'audit du CFI et autres documents concernant la Fédération interjurassienne de coopération et de développement (FICD) ainsi que : Demande d’accès au courrier du Gouvernement jurassien au DFJP dans le cadre de la médiation entre les cantons de Berne et du Jura. Requêtes devenues sans objet [Détails…].

• Demande d'accès à une convention de départ d'un ancien chef de service. Requête devenue sans objet [Détails…].

• Demande d'accès à un audit relatif à deux foyers accompagnant les enfants (petite-enfance et enfance-adolescence). Requête retirée [Détails…].

• Demande d'accès aux rapports réalisés dans le cadre de la gestion des dangers naturels et documentation relative aux niveaux de protection. Requête retirée [Détails…].

• Demande d'accès aux documents relatifs au débit d'une rivière jurassienne. Conciliation aboutie [Détails…].

• Demande d'accès au montant des rentes d'anciens élus. Requête retirée [Détails…].

Le PPDT doit surveiller l’application de la CPDT-JUNE et peut émettre des recommandations au besoin. Pour ce faire, il a pris l'initiative de vérifier le respect des règles de la protection des données dans divers cas de figure. Le nombre d’ouvertures de surveillances reste stable (-1). En 2023, 14 surveillances ont été ouvertes et 14 se sont terminées (énumérées ci-dessous). Deux sont toujours en cours.

SURVEILLANCES

• Vérification de la soumission du catalogue des géodonnées conformément au règlement d'exécution de la loi cantonale sur la géoinformation (RLCGéo ; RSN 751.01).

• Suite à une dénonciation d'un contribuable, le CTR a confirmé ne pas avoir de liste noire des contribuables à surveiller particulièrement ou de balises de signalement.

• Examen des standards de sécurité pour le ramassage et la destruction de documents par les Ateliers Phénix.

• Examen de la conformité de l'application JuraTax en matière de sécurité, qui n'a décelé aucune irrégularité.

• Suite à un constat dans un autre canton, il a été vérifié si des entités neuchâteloises et jurassiennes utilisaient le produit Télépage afin de s'assurer que les options indispensables de sécurité aient été mises en place. Il s'est avéré que quasi aucune entité n'utilisait un tel produit.

• Vérification du respect du principe de proportionnalité lors d'une notification par voie édictale dans la Feuille officielle (FO). La publication intégrale des décisions est licite.

• Après vérification, il a été constaté qu'une commune avait corrigé un processus lié à l'utilisation d'e-bill, afin d'éviter la communication de la liste des propriétés d'administrés.

• Il est vérifié les logs d'accès à Symic à propos de résidents neuchâtelois.

• Un contrat de sous-traitance en matière d'archivage a été vérifié. La commune et son prestataire ont accepté d'effectuer les corrections demandées.

• Un cercle scolaire a accepté de supprimer les demandes de justification obligatoires et automatiques des absences médicales pour éviter la récolte de données médicales.

• Il a été demandé à RHNE de revoir son processus d'identification du patient demandant le transfert de ses données au DEP, ce qui a conduit à l'ouverture d'une démarche en vue d'un changement.

• Intervention auprès du SRHE NE pour que les motifs et l'historique des absences ne soient accessibles qu’aux personnes pour qui ces deux informations sont nécessaires à l'accomplissement de leurs tâches. Une correction majeure a eu lieu pour les motifs et des mesures ont été proposées à propos de l'historique.

• Vérification que le hacking de la société Uditis, sous-traitant de plusieurs communes n'avait pas impacté ces dernières.

• Vérification que le hacking du réseau RPN n'a pas eu de conséquences sur les données personnelles.

Les traitements de données personnelles, sensibles ou non, à risque élevé (art. 23b CPDT-JUNE), doivent faire l’objet d’une consultation auprès du PPDT et sont énumérés ci-dessous :

Le PPDT suit chaque année des cours de formation continue comme l’exigent les règles sur la protection des données :

• 20^ème Journée de formation continue avocats 2023, Université de Neuchâtel ; 1 jour ; novembre.

• Journée du CERT : Congés, vacances et temps libre, Nouveautés en droit du travail, Université de Neuchâtel ; 1 jour ; mai.

• Protection des données et recherche, UniL CEDIDAC, Lausanne ; 1 jour ; mars.

Le PPDT est chargé de promouvoir la protection des données et la transparence, en informant et sensibilisant le public et les entités au sujet des principes inscrits dans la CPDT-JUNE. C’est pourquoi il est amené à donner les formations et conférences suivantes :

• Intervention donnée dans le cadre du cours Master – Protection des données et transparence sur le thème « Le rôle et le travail de l'autorité cantonale de protection des données et de transparence », Université de Neuchâtel ; décembre.

• Cours sur la transparence donnée à une association de journalistes, Delémont ; novembre.

• Cours sur les réseaux sociaux et leur danger, Lycée Jean-Piaget, Neuchâtel ; septembre.

• Cours sur la protection des données et la transparence, SRHE, Neuchâtel ; septembre.

• Cours aux collaborateurs du SIEN, Neuchâtel ; mai et septembre.

• Cours à l'École supérieure d'informatique de gestion, Delémont ; juin.

• Intervention auprès du Conseil de l'Europe sur l'antidopage, Strasbourg ; juin.

• Intervention auprès de la Société neuchâteloise de médecine : Survol des nouveautés en matière de protection des données, Neuchâtel ; juin.

• Formation aux avocats-stagiaires jurassiens, Delémont ; juin.

• Cours sur le statut personnel du sportif, Université de Neuchâtel ; mai.

• Intervention dans la formation de conseiller à la protection des données en entreprise, Lausanne ; mai.

• 16^ème Journée suisse de droit de la protection des données, Fribourg ; mai.

• Rédaction d’examens de rattrapage, AvenirFormation, Delémont ; mars.

Les autorités cantonales et communales ayant respecté les avis rendus par le PPDT, il n'a pas été nécessaire cette année de les contraindre à respecter la CPDT-JUNE par l'intermédiaire de l'outil de la recommandation.

Une recommandation impose aux responsables de traitement de décider s'ils entendent se soumettre ou non aux injonctions du PPDT. Ce dernier peut saisir la CPDT contre les décisions de refus.

Un formulaire sur le site internet du PPDT a été mis à disposition des autorités jurassiennes et neuchâteloises. Il est rappelé progressivement l’obligation de déclarer les fichiers de données sensibles² à l’ensemble des entités soumises à la CPDT-JUNE.

Les déclarations semblent exiger des efforts de l'administration pour lesquels elle juge parfois ne pas avoir momentanément les ressources. Le PPDT accompagne au mieux les entités dans ces démarches.

Jusqu’à fin janvier 2024, 173 fichiers jurassiens ont été déclarés et 289 neuchâtelois. Les déclarations ont sensiblement augmenté (+132), principalement grâce aux déclarations reçues des EMS, même si les entités cantonales et communales n’ont pas été fermement relancées. La cartographie des fichiers de données sensibles s’étoffe gentiment, mais le registre reste encore incomplet.

Le PPDT a régulièrement des contacts informels avec le suppléant du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il est également le vice-président du groupe de coordination des autorités suisses de protection des données (ACPD) depuis 2011 (réunissant le PFPDT ainsi que tous les cantons) qui a notamment pour but d’échanger les informations nécessaires et utiles à la surveillance effective de l’utilisation du SIS, ainsi que de soutenir et coordonner les activités de surveillance de chacun de ses membres.

Depuis avril 2014, le PPDT a intégré le comité de privatim, conférence suisse des préposés cantonaux. Cette dernière soutient ses membres sur les questions générales d'importance internationale, nationale ou intercantonale. Cette institution est très utile, voire indispensable, pour se former des opinions et prendre des positions si possible coordonnées au niveau national. La complexité croissante des questions soumises aux autorités cantonales, qui sont souvent en grande partie identiques ou du moins similaires dans les cantons, nécessite une étroite collaboration. Le PPDT a pu, cette année encore, profiter de plusieurs interventions, notamment à propos des nouveautés introduites dans les règles de protection des données, telles que les analyses d’impact et les annonces de violations de sécurité, ainsi que des projets d’échanges entre les polices cantonales et du projet E-Déménagements toujours en cours.

Le PPDT est également membre, depuis 2015, de l’Organisation d’accompagnement intercantonal à Schengen/Dublin de la Conférence des gouvernements cantonaux chargée d’aider les cantons dans les changements imposés par l’Union européenne dans ce cadre-là.

Une collaboration informelle entre les préposés des cantons latins a également été mise sur pied. Il est prévu des réunions semestrielles en présentiel et des visioconférences régulières toutes les six semaines.

Bien que la Commission de la protection des données et de la transparence et le PPDT aient été mis dans le même centre financier, alors qu’il s’agit de deux autorités autonomes et indépendantes, les comptes ci-dessous ne prennent pas en considération les chiffres de la Commission.

Le budget 2023 a été bien respecté puisqu’il en ressort une économie de SFr. 19'782.-. La plus grande partie des économies s’explique par la non-utilisation de prestations de services. L’attribution ou non de mandats dépend de la complexité et de l’ampleur des dossiers rencontrés ainsi que du temps à disposition. Le solde restant est inhérent à l’établissement d’un budget. Excepté un dépassement de SFr. 281.60 dans le compte Matériel informatique (3113), aucune charge hors salaire n’a dépassé le budget.

Par ailleurs, les comptes 2013 à 2016 (rapport 2017, annexe 2/1), ainsi que les comptes 2017-2019 (rapport 2020, annexe 1/ 1) ont été vérifiés par le Contrôle des finances jurassien. Le dernier rapport a constaté que la comptabilité était régulièrement tenue, sans formuler de remarque.

Les graphiques ci-après permettent de détailler les 510 dossiers ouverts en 2023.

Le nombre d’ouvertures de dossiers est passé de 476 à 510 (+34) entre 2022 et 2023, soit une augmentation de près de 7 %. Le nombre de dossiers classés est quasiment équivalent à celui des dossiers ouverts (507). Fin 2023, seuls 53 dossiers étaient dans l’attente de nouvelles ou de réponses ; nombre stabilisé depuis 2020. Bien que la stabilisation du nombre de dossiers en cours contribue à conserver un bon suivi des dossiers, le rythme de clôture des dossiers dépend davantage de leur vitesse de traitement par les administrations que par le PPDT. Pour l’heure, aucune entité n’attend avec impatience une détermination du PPDT.

Presque la moitié de l'activité (47 %) consiste à conseiller le public et les entités soumises à la CPDT-JUNE. Le nombre de dossiers en matière de transparence a atteint son niveau le plus élevé, soit 59, dépassant le pic de 2022 et 2018, alors qu’en matière de protection des données, l’augmentation est de 20 dossiers. Quant aux dossiers « mixtes », c’est-à-dire des activités pouvant traiter des deux matières, le nombre est resté relativement stable (222).

Les renvois au Préposé fédéral à la protection des données restent identiques. Plus les administrés s’intéresseront au sujet de la protection des données, plus ces erreurs « d’aiguillage » surgiront. Il n’est pas facile pour les non-initiés de savoir quelle autorité est compétente dans un cas d’espèce.

Les dossiers relatifs aux communes représentent cette année 17 % du total, contre 14 % en 2022, 18.5 % en 2021, chiffre néanmoins relativement stable au cours de ces dernières années.

La précision des statistiques est à relativiser. L’outil a surtout été prévu pour obtenir des chiffres à titre indicatif. Il n’est pas impossible qu’elles comportent quelques petites erreurs ou incohérences.

Selon l’ outil d’analyse du site www.ppdt-june.ch, il ressort, pour l’année 2023, que :

• Plus de 47'380 pages consultées en une année.

• Les pages relatives aux modèles de documents, guides pratiques, entités concernées et AIPD font partie des pages les plus consultées.

• 130 pages consultées par jour en moyenne (109 en 2022, 108 en 2021).

• 22 % des visiteurs ont utilisé Firefox et 31 % Chrome, alors que globalement, c’est plutôt respectivement 3.3 % et 64 %.

• 78 % des visiteurs ont utilisé un PC et 19 % leur téléphone.

• La moitié des utilisateurs vient sur le site depuis une recherche Google.

L’outil statistique permet d’améliorer le ciblage des pages qui méritent une attention particulière et de vérifier l’efficacité de la communication par l’intermédiaire du site.

C.

D.

E.

F

G

H

I

J

K

L

M

La première année d'application des nouveautés de la CPDT-JUNE semble être marquée par une augmentation de la prise de conscience des exigences visant à améliorer la protection de la personnalité des administrés. Cette découverte a néanmoins une fâcheuse tendance à être mise de côté lorsqu'il est constaté les efforts, voire les ressources, que cela va nécessiter.

Le nombre de dossiers est reparti à la hausse (+7 %). Sur la durée, il est observé une certaine stabilisation à +- 500 dossiers par an. Mais malheureusement les surveillances ne sont pas à la hauteur du nombre espéré. Quoi qu'il en soit, comme chaque année, le PPDT a cherché à donner des réponses rapides et aussi claires que possible, de manière à ce que le demandeur puisse mettre en œuvre l'avis reçu sans trop se torturer l'esprit. Vu que la CPDT n'a pas été saisie en 2023, alors que treize requêtes en conciliations ont été traitées dans le même laps de temps, la réalisation de l'objectif d'éviter les procédures formelles se confirme année après année.

Pour 2024, il s’agira d’accompagner au mieux les entités pour qu’elles continuent de s’adapter aux nouveautés arrivées avec la révision de la CPDT-JUNE. Cette démarche continuera d'exiger un effort momentané conséquent, tant de la part du PPDT que des entités concernées. Le site internet www.ppdt-june.ch a poursuivi son développement pour répondre aux questions suscitées par les nouvelles dispositions légales.

Enfin, la vague de hacking subie depuis l’été 2021 n'a pas diminué, au contraire, même si les cantons du Jura et Neuchâtel n'ont pas rencontré de difficultés majeures. Quoi qu'il en soit, le nouvel Office fédéral de la cybersécurité (OFCS) a rappelé que la première règle en sécurité est de gérer adéquatement les données personnelles : "Règle générale: classer les données par catégorie en fonction de leur sensibilité et les protéger en tenant compte de ces catégories. Dans la mesure du possible, les données devraient être chiffrées lors de leur enregistrement.

Règles de conservation: définir qui stocke quelles données, où et sous quelle forme, ainsi que les personnes avec qui les données sont partagées. Conserver uniquement les données nécessaires à l’exploitation de l’entreprise. Examiner périodiquement si les données qui sont obsolètes ou ne sont plus activement nécessaires ont été effacées. Un archivage numérique hors ligne des données peut aussi entrer en ligne de compte" (Rapport OFCS (anciennement NCSC) semestriel 2023/1).

Notes :  

[1] Par autorités cantonales et communales, il faut comprendre le Grand Conseil, son bureau et les commissions qui en dépendent; le Conseil d'État, l'administration cantonale et les commissions qui en dépendent; le pouvoir judiciaire; les Conseils généraux et communaux, leurs administrations et les commissions qui en dépendent; les établissements et corporations de droit public cantonaux et communaux, leurs administrations ainsi que les commissions qui en dépendent; les personnes morales et autres organismes de droit privé dans lesquels une autorité détient une participation majoritaire; les personnes privées, lorsqu'elles accomplissent une tâche de droit public sur délégation d'une autorité; les groupements d'autorités.

[Retour au texte]

[2] Définition de données sensibles : opinions ou appartenance à une association syndicale, religieuse, politique ou philosophique; données relatives à la santé; données que la personne concernée réserve à un cercle très restreint de proches; lieu/pays d'origine, ethnie; prestations sociales; mesures de curatelles; poursuites ou sanctions pénales ou administratives; données biométriques ou génétiques; ensemble de données personnelles permettant notamment, d'analyser ou prédire des éléments concernant le travail, la situation économique, la santé, les préférences personnelles, les centres d'intérêts, le comportement, la fiabilité, la localisation ou les déplacements.

[Retour au texte]