Protection des données: l’actualité en Suisse

Services d‘identification électronique

Loi sur les services d‘identification électronique (objet no 18.049)
Prise de position de privatim du 4 octobre 2018

Compte tenu des effets étendus de l’e-ID, privatim prend position comme suit par rapport au projet actuel de la loi fédérale sur les services d‘identification électronique (ci-après: LSIE) :

Le numéro d’enregistrement de l’e-ID

Proposition

L’utilisation et le traitement du numéro d’enregistrement de l’e-ID doit être restreint. Le numéro d’enregistrement de l’e-ID ne doit être utilisé que pour la communication entre la Confédération et les fournisseurs de services d’identification (ci-après: IdP) ou entre les IdP.

Exposé

Le numéro d’enregistrement de l‘e-ID permet d’identifier une personne de manière univoque à travers ses transactions digitales avec toutes les institutions. Dans l’actuel projet de loi, le numéro ne change plus dès l’attribution de l’e-ID et est utilisé de façon illimitée par tous les services. Ceux-ci peuvent donc l’utiliser à d’autres fins. En définitive, on est confronté à une ID univoque, pouvant être utilisée aussi bien par les prestataires des services étatiques que privés. Si l’e-ID obtient la diffusion souhaitée, on doit admettre qu’il crée une «obligation de fait» de son utilisation dans le cadre des transactions digitales. Cela a pour conséquence de conduire à une «utilisation incontrôlée» du numéro d’enregistrement de l‘e-ID avec un risque d’une interconnexion de données personnelles entre les divers systèmes (comme cela est décrit au point 1.2.6.3 du message concernant la loi sur les services d‘identification électronique par rapport à la relation existant entre le numéro d’enregistrement e-ID et le numéro d’AVS, NAVS13).

(lire la suite…)

Aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing

 

Dans le cadre du traitement des données, les organes publics se servent toujours plus de prestations de tiers. Cela conduit à l’utilisation toujours plus fréquente de la technologie de Cloud computing.

Les autorités ne sont pas seulement responsables lorsqu’elles traitent elles-mêmes des données. Elles restent aussi responsables, lorsqu’elles confient le traitement des données à des tiers (sous-traitance du traitement de données). Savoir si la sous-traitance du traitement de données est licite, se détermine en fonction des bases légales applicables (droit de la protection des données et législation spéciale), en fonction d’une analyse des risques et des mesures de protection à prendre. Afin de pouvoir procéder à l’évaluation d’une telle licéité, de nombreuses autorités de protection des données mettent à disposition des aide-mémoire qu’elles ont rédigés.

Si une sous-traitance du traitement de données est licite et si on envisage l’utilisation de la technologie de Cloud computing, il convient encore d’évaluer des risques spécifiques de cette technologie et de prendre les mesures nécessaires permettant de minimiser ces risques.

privatim publie un aide-mémoire destiné à traiter de tels cas. L’utilisation de services de Cloud computing doit toujours être évaluée dans le cas concret. Il convient de procéder à une évaluation complète des risques, compte tenu de la manière de traiter les données, mais aussi en se préoccupant du droit applicable, du for, du lieu du traitement des données (lieu de situation des servers) et de la protection des secrets (cryptage et gestion des clés).

L’aide-mémoire doit aider appréhender les risques spécifiques de l’utilisation de la technologie de Cloud computing, afin de pouvoir décider – dans le cadre d’une évaluation globale – si un tel traitement des données par une autorité paraît admissible ou si, compte tenu des risques qui ne peuvent pas être éliminés ou réduits, on doit renoncer à cette technologie. La décision doit être documentée de manière transparente, afin que l’organe responsable connaisse les risques et qu’il puisse assumer, de manière consciente, les risques résiduels.

Aide-mémoire «Risques et les mesures spécifiques à la technologie de Cloud computing»

Journée de la protection des données 2019 – Trois priorités pour la Confédération et les cantons

À l’occasion d’une présentation aux médias, les autorités de protection des données de la Confédération et des cantons ont abordé les défis communs qui les attendent en matière d’élections, de police et de numéro AVS. Elles ont publié un guide consacré à l’élection du Conseil national cet automne ; par ailleurs, la nouvelle loi, peu connue, sur la protection des données Schengen entrera en vigueur le 1er mars. Une modification législative doit en outre permettre à toutes les autorités d’utiliser systématiquement le numéro AVS.

2019 est une année électorale. Les élections organisées par les cantons pour le renouvellement du Parlement fédéral et des parlements cantonaux se déroulent dans un environnement numérique caractérisé par des procédés de traitement de données qui sont en constante mutation et qui ne restent pas sans effets sur le comportement des électeurs. Avec leur guide du 1er décembre 2018 concernant le traitement numérique de données personnelles dans le cadre d’élections et de votations en Suisse, les autorités de protection des données de la Confédération et des cantons apportent leur contribution à la libre formation de l’opinion des citoyens et des citoyennes et à l’expression fidèle et sûre de leur volonté, garanties par la Constitution.

(lire la suite…)

GUIDE sur l’application de la loi sur la protection des données au traitement numérique de données personnelles dans le cadre des élections et des votes en Suisse

Les cantons organisent eux aussi des élections et des votations fédérales. Les élections présidentielles américaines ont montré que le monde numérisé offre de nouvelles possibilités d’exercer une influence ciblée sur le processus de formation de l’opinion politique. Le guide s’adresse principalement aux partis politiques et aux groupements d’intérêt ainsi qu’aux négociants de données et aux sociétés d’analyse de données auxquels ces derniers ont recours. Il s’agit de montrer à ces acteurs, qui sont essentiellement soumis au droit priveé de la protection des données, les conditions-cadres pour l’adressage ciblé des électeurs. Les autorités de l’Etat responsables de l’organisation des élections et du vote quant à elles sont d’une part tenues d’agir en tant que personnes de contact pour les partis et les groupes d’intérêt. D’autre part, ils doivent être en mesure de juger de ce qu’une divulgation des données à leur disposition peut accomplir.

Vous trouverez le guide publié par le PFPDT, en collaboration avec les préposés cantonales de la protection des données (privatim) ici.

Comment concevoir des portails web conformes aux exigences de la protection des données

Dans l’administration numérisée, les portails web font l’interface entre l’administration et les citoyens. Les technologies actuelles permettent de mettre à disposition et d’utiliser ces services 24 heures sur 24. privatim, la Conférence des préposé(e)s suisses à la protection des données, a publié un guide indiquant la marcha à suivre pour protéger la vie privée des citoyens et assurer la sécurité de leurs données. Ce document montre, à l’aide d’exemples concrets, quelles exigences légales et techniques sont à respecter.

Avec la publication du guide sur les portails web de l’administration publique, privatim apporte une contribution importante à une conception de guichet virtuel pour les citoyens garantissant le respect de la protection des données en ligne. En effet, la protection et la sécurité des données sont encore trop souvent négligées dans les projets de numérisation, soit à cause du manque de connaissances techniques nécessaires au projet, soit parce que les autorités responsables de la protection des données ne sont pas impliquées.

Pour bénéficier durablement des opportunités offertes par la numérisation, une évaluation continue des risques et la mise en place de mesures de sécurité nécessaires s’impose. Le guide publié par privatim soutient l’administration publique dans la planification et l’exploitation de portails web en montrant qu’avec des mesures juridiques et techniques appropriées, il est possible de mettre en œuvre des solutions numériques aux service des citoyens respectant les dispositions légales en matière de protection des données.

Guide portails web

Contact: Bruno Baeriswyl, préposé à la protection des données du canton de Zurich,
043 259 39 99

L’Etat numérique a besoin de protection des données

Les préposé(e)s cantonaux à la protection des données réclament une augmentation massive des ressources

Poussé par le développement technologique, la numérisation de l’administration publique s’accélère. Les droits et libertés des citoyens et la protection des données risquent d’y être laissés pour compte. En effet, de nombreuses autorités de protection des données ne sont déjà plus en mesure aujourd’hui d’assurer leurs obligations légales de manière adéquate pour manque de ressources. privatim, la Conférence des préposé(e)s suisses à la protection des données, appelle donc à une augmentation massive des fonds alloués aux autorités de protection des données en Suisse.

 Les autorités chargées de la protection des données ont l’obligation légale de conseiller et de contrôler les organismes publics pour assurer la protection des données au sein de l’administration. Pour ce faire, elles doivent prendre position sur les projets législatifs et effectuer un contrôle préalable des traitements de données. Elles doivent sensibiliser le public aux questions de protection des données, former les organismes publics et traiter les plaintes des citoyennes et citoyens. Cependant, de nombreuses autorités cantonales de la protection des données sont si peu dotées, tant sur le plan des compétences professionnelles que sur le plan des finances, qu’elles ne peuvent répondre qu’à une fraction de ces exigences.

(lire la suite…)

Deux nouveaux projets de loi pour lutter contre le terrorisme : du retard à rattraper dans le domaine de la protection des données

Avec l’avant-projet de la loi fédérale sur les précurseurs de substances explosives (loi sur les précurseurs, LPREX) et l’avant-projet de loi fédérale sur les mesures policières de lutte contre le terrorisme (MPT), le Conseil fédéral entend mettre en œuvre le Plan d’action national de lutte contre le terrorisme du Réseau national de sécurité (RNS). Pour privatim, la Conférence des préposé(e)s suisses à la protection des données, les deux projets présentent des lacunes du point de vue de la protection des données. Le projet MPT, en particulier, ne tient pas assez compte des bases juridiques cantonales. En outre, on peut douter que l’ordonnance proposée par le Conseil fédéral réussisse à créer la sécurité juridique nécessaire et à garantir la légalité du traitement des données par fedpol.

Le Conseil fédéral veut doter les autorités d’instruments efficaces pour lutter contre les attentats terroristes. L’une des mesures proposées est l’obligation d’obtenir une autorisation pour l’achat de substances pouvant être utilisées pour la production d’explosifs. La commercialisation et l’utilisation des précurseurs d’explosifs sont règlementées à l’échelle de l’Union européenne depuis 2014. Il est compréhensible que le Conseil fédéral mette lui aussi en œuvre des dispositions législatives afin que la Suisse ne soit pas le seul pays d’Europe où ces substances sont disponibles sans aucune restriction. En principe, privatim approuve la création d’une base juridique formelle pour règlementer l’accès des particuliers aux précurseurs et le traitement des données y afférents. Toutefois, compte tenu du principe de légalité ou du principe de précision, diverses dispositions sont formulées de manière trop imprécise. Du point de vue de privatim, il y a un grand retard à rattraper. En effet, il faut déjà qu’au niveau juridique formel, tous les termes soient clairement définis et que l’interprétation de chaque disposition soit sans équivoque.

(lire la suite…)

Plan d'action national – les Préposé(e)s à la protection des données doivent y être associé(e)s !

Le 4 décembre 2017, la Confédération ainsi que les représentants des cantons et des communes ont présenté le plan d’action national de lutte contre la radicalisation et l’extrémisme violent. Ce plan contient 26 mesures. En partie, celles-ci prolongeront les nombreux efforts déjà entrepris. Pour d’autres, le cadre juridique devra d’abord être crée.

privatim, la Conférence des préposé(e)s suisses à la protection des données, soutient le principe de ce plan d’action, mais rappelle en même temps que tout échange d’information doit se faire conformément aux prescriptions fédérales et cantonales en matière de protection des données.

privatim demande donc aux responsables de la Confédération et des cantons d’associer les préposé(e)s à la protection des données au processus de mise en œuvre le plus vite possible. Il ne suffit pas de consulter les différentes Conférences des directeurs telle que la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP) ou la Conférence des directrices et directeurs cantonaux des affaires sociales (CDAS), puisque celles-ci ont tendance à baser leur position sur les avis sollicités au sein de leur domaine spécialisé uniquement. Les autorités chargées de la protection des données risquent donc d’être tenus l’écart et les exigences relatives à la protection des données de ne pas être prises en compte.

Réseau national de sécurité :
www.svs.admin.ch/fr/home.html

Plan d’action national :
www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-69082.html

La numérisation a besoin d’une forte protection des données

Lors de cette première journée suisse du digital, les opportunités de la numérisation sont soulignées à juste titre. privatim, la Conférence des préposé(e)s suisses à la protection des données souligne elle-aussi l’importance du passage au numérique pour l’économie suisse. Mais si la numérisation se fait au dépens de la protection de la personnalité des citoyennes et des citoyens, elle risque de mettre en jeu la confiance et l’acceptation indispensables à la réalisation de son potentiel.

La numérisation avance à grands pas, offrant des importantes opportunités à l’économie et à la population suisses. Elle permet aux autorités ainsi qu’aux entreprises de diminuer les coûts et de s’ouvrir à de nouveaux domaines d’activité, d’enrichir la palette de leurs services et de croître. privatim reconnaît donc le potentiel du passage au numérique et son impact sur la place économique suisse.

Par contre, privatim refuse catégoriquement toute tentative d’opposer les chances de ce développement au respect des droits citoyens. Certains, en montant la numérisation contre la protection des données, tentent de nous faire croire que le progrès digital est fondamentalement inconciliable avec le droit à la protection de la personnalité et qu’il convient donc simplement d’y renoncer. Une telle attitude méconnaît que sans la confiance et sans l’acceptation de la population, les chances de la numérisation risquent tout simplement d’être anéanties (lire plus).

 

L’utilisation du numéro AVS présente des risques élevés

Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de l’ETH de Zurich montre que les risques pour la protection et la sécurité des données des citoyens associés à cette pratique sont très élevés. Les préposés cantonaux, membres de privatim, la Conférence des préposés suisses à la protection des données, exigent des gouvernements cantonaux de renoncer à l’utilisation du numéro d’AVS comme identifiant personnel universel.

privatim a déjà souligné à plusieurs reprises que le large recours au numéro AVS dans les banques de données de l’administration publique constitue une menace pour les droits fondamentaux des citoyens. L’expertise présentée par le David Basin, professeur de sécurité de l’information à l’EPF de Zurich, précise l’ampleur des risques et montre que ceux-ci augmentent avec l’utilisation toujours plus répandue du numéro de sécurité sociale.

Il suffit en effet de connaître le nom, le prénom et la date de naissance pour identifier 99,98 pourcent de la population de manière univoque. Le fait qu’actuellement plus de 14’000 registres gouvernementaux aient recours en sus au numéro AVS comme identifiant personnel unique facilite la mise en relation des données et augmente le risque de leur utilisation frauduleuse. S’y ajoute le fait que les mesures de sécurité mises en place sont souvent insuffisantes pour protéger ces bases de données les rendant vulnérables aux piratages informatiques. Une fois tombées enter les mauvaises mains, les données dérobées peuvent facilement être liées à d’autres informations sensibles sur les citoyens. (lire la suite…)

tous les posts

privatim lit

L'application «bonus» d'Helsana en partie illégale

Le préposé fédéral à la protection des données se plaignait que l’assureur Helsana et son programme de bonus enfreignaient la loi. Le Tribunal administratif fédéral lui a donné raison.

29.3.19, 20minutes

L’authentification forte de Facebook affaiblit la protection des données personnelles

Les profils des utilisateurs qui renseignent leur numéro de téléphone comme second facteur d’authentification deviennent automatiquement identifiables auprès de tous sur le réseau social.

4.3.19, 01net.com

Protection des données: les PME suisses sont à la traîne

Les PME suisses jugent la protection des données importantes. Mais dans la pratique, très peu sont en mesure de gérer les exigences qui découlent des lois et règlements en la matière. Un constat issu d’une enquête de la Haute école zurichoise des sciences appliquées (ZHAW).

4.10.18, ICT journal

Sécurité numérique : des lacunes pointées du doigt

Un rapport d’experts soumis au Conseil fédéral pointe du doigt les lacunes et formule des recommandations en matière de protection des données, à l’heure où des mesures concrètes sont urgentes.
10.11.18, Le Temps

Données personnelles : Un enjeu de dignité collective

Dans une tribune au « Monde », le juriste Lionel Maurel juge que l’entrée en vigueur de la nouvelle réglementation sur les données personnelles ne règle pas tous les problèmes.

25.05.18, Le Monde

tous les posts