Protection des données: l’actualité en Suisse

Comment concevoir des portails web conformes aux exigences de la protection des données

Dans l’administration numérisée, les portails web font l’interface entre l’administration et les citoyens. Les technologies actuelles permettent de mettre à disposition et d’utiliser ces services 24 heures sur 24. privatim, la Conférence des préposé(e)s suisses à la protection des données, a publié un guide indiquant la marcha à suivre pour protéger la vie privée des citoyens et assurer la sécurité de leurs données. Ce document montre, à l’aide d’exemples concrets, quelles exigences légales et techniques sont à respecter.

Avec la publication du guide sur les portails web de l’administration publique, privatim apporte une contribution importante à une conception de guichet virtuel pour les citoyens garantissant le respect de la protection des données en ligne. En effet, la protection et la sécurité des données sont encore trop souvent négligées dans les projets de numérisation, soit à cause du manque de connaissances techniques nécessaires au projet, soit parce que les autorités responsables de la protection des données ne sont pas impliquées.

Pour bénéficier durablement des opportunités offertes par la numérisation, une évaluation continue des risques et la mise en place de mesures de sécurité nécessaires s’impose. Le guide publié par privatim soutient l’administration publique dans la planification et l’exploitation de portails web en montrant qu’avec des mesures juridiques et techniques appropriées, il est possible de mettre en œuvre des solutions numériques aux service des citoyens respectant les dispositions légales en matière de protection des données.

Guide portails web

Contact: Bruno Baeriswyl, préposé à la protection des données du canton de Zurich,
043 259 39 99

L’Etat numérique a besoin de protection des données

Les préposé(e)s cantonaux à la protection des données réclament une augmentation massive des ressources

Poussé par le développement technologique, la numérisation de l’administration publique s’accélère. Les droits et libertés des citoyens et la protection des données risquent d’y être laissés pour compte. En effet, de nombreuses autorités de protection des données ne sont déjà plus en mesure aujourd’hui d’assurer leurs obligations légales de manière adéquate pour manque de ressources. privatim, la Conférence des préposé(e)s suisses à la protection des données, appelle donc à une augmentation massive des fonds alloués aux autorités de protection des données en Suisse.

 Les autorités chargées de la protection des données ont l’obligation légale de conseiller et de contrôler les organismes publics pour assurer la protection des données au sein de l’administration. Pour ce faire, elles doivent prendre position sur les projets législatifs et effectuer un contrôle préalable des traitements de données. Elles doivent sensibiliser le public aux questions de protection des données, former les organismes publics et traiter les plaintes des citoyennes et citoyens. Cependant, de nombreuses autorités cantonales de la protection des données sont si peu dotées, tant sur le plan des compétences professionnelles que sur le plan des finances, qu’elles ne peuvent répondre qu’à une fraction de ces exigences.

Avec la numérisation de l’administration, la situation s’aggrave ultérieurement. L’augmentation massive des volumes de données, la complexité croissante des systèmes informatiques et la dépendance de plus en plus grande à l’égard des technologies numériques entraînent des cyberrisques croissants ainsi qu’un potentiel d’abus de données personnelles et d’identités numériques marqué. Toutefois, les évaluations des risques nécessaires font défaut et les technologies favorables à la protection des données ne sont guère utilisées. Les préposé(e)s à la protection des données ne sont pas explicitement impliqués dans les processus de transition numérique et les fonds supplémentaires qui y sont alloués ne tiennent aucunement compte des besoins des autorités de protection des données.

Compte tenu de la numérisation rapide de l’administration, la protection préventive des données par le biais de contrôles préalables et de contrôles de suivi devient indispensable. Toutefois, les autorités de protection des données manquent de ressources personnelles et donc de compétences professionnelles pour faire face à ces exigences. En tout et pour tout, la protection des données dispose actuellement de 50 postes dans les cantons. S’y ajoutent 26 postes au niveau fédéral. C’est complètement insuffisant pour assurer la protection des données dans l’administration numérique.

Dans une démocratie attachée aux libertés civiles de ses citoyens, cette situation est intenable. Elle est en plus dangereuse, car un déficit de protection des données efficace, risque de miner à terme la confiance des citoyens dans l’Etat. Il manque en plus l’occasion d’exploiter le potentiel de la numérisation pour le bien public.

privatim, la Conférence des préposé(e)s suisses à la protection des données, appelle donc à une augmentation massive des moyens mis à disposition des autorités de protection des données. Afin d’assurer une surveillance efficace de la transition numérique de l’Etat, 200 postes supplémentaires doivent être créés dans les cantons. Ce n’est qu’ainsi que les « autorités de protection des données alibi » deviendraient fonctionnelles et indépendantes et les autorités déjà (partiellement) fonctionnelles aujourd’hui seraient finalement en état d’assurer la protection et la sécurité des traitements de données de manière compétente et efficace.

A disposition pour répondre à vos questions

En français :

Christian Flückiger, PPDT JU/NE, Bureau de privatim, Tél. 032 420 90 92

En allemand :

Beat Rudin, président de privatim, PPDT BS, Tél. 061 201 16 40

Documentation:

Présentation Claudia Mund, PPDT ZG; Bruno Baeriswyl, PPDT ZH; Beat Rudin, PPDT BS
Convention 108 modernisée (Extrait)

Handlungsbedarf nach Schengen-Evaluation, privatim, digma 2008/2
Estland im falschen Blickwinkel, Bruno Baeriswyl, digma 2018/2 (preprint)
Digitalisierung braucht mehr als Feigenblätter, Beat Rudin, digma 2018/2 (prep

Deux nouveaux projets de loi pour lutter contre le terrorisme : du retard à rattraper dans le domaine de la protection des données

Avec l’avant-projet de la loi fédérale sur les précurseurs de substances explosives (loi sur les précurseurs, LPREX) et l’avant-projet de loi fédérale sur les mesures policières de lutte contre le terrorisme (MPT), le Conseil fédéral entend mettre en œuvre le Plan d’action national de lutte contre le terrorisme du Réseau national de sécurité (RNS). Pour privatim, la Conférence des préposé(e)s suisses à la protection des données, les deux projets présentent des lacunes du point de vue de la protection des données. Le projet MPT, en particulier, ne tient pas assez compte des bases juridiques cantonales. En outre, on peut douter que l’ordonnance proposée par le Conseil fédéral réussisse à créer la sécurité juridique nécessaire et à garantir la légalité du traitement des données par fedpol.

Le Conseil fédéral veut doter les autorités d’instruments efficaces pour lutter contre les attentats terroristes. L’une des mesures proposées est l’obligation d’obtenir une autorisation pour l’achat de substances pouvant être utilisées pour la production d’explosifs. La commercialisation et l’utilisation des précurseurs d’explosifs sont règlementées à l’échelle de l’Union européenne depuis 2014. Il est compréhensible que le Conseil fédéral mette lui aussi en œuvre des dispositions législatives afin que la Suisse ne soit pas le seul pays d’Europe où ces substances sont disponibles sans aucune restriction. En principe, privatim approuve la création d’une base juridique formelle pour règlementer l’accès des particuliers aux précurseurs et le traitement des données y afférents. Toutefois, compte tenu du principe de légalité ou du principe de précision, diverses dispositions sont formulées de manière trop imprécise. Du point de vue de privatim, il y a un grand retard à rattraper. En effet, il faut déjà qu’au niveau juridique formel, tous les termes soient clairement définis et que l’interprétation de chaque disposition soit sans équivoque.

(lire la suite…)

Plan d'action national – les Préposé(e)s à la protection des données doivent y être associé(e)s !

Le 4 décembre 2017, la Confédération ainsi que les représentants des cantons et des communes ont présenté le plan d’action national de lutte contre la radicalisation et l’extrémisme violent. Ce plan contient 26 mesures. En partie, celles-ci prolongeront les nombreux efforts déjà entrepris. Pour d’autres, le cadre juridique devra d’abord être crée.

privatim, la Conférence des préposé(e)s suisses à la protection des données, soutient le principe de ce plan d’action, mais rappelle en même temps que tout échange d’information doit se faire conformément aux prescriptions fédérales et cantonales en matière de protection des données.

privatim demande donc aux responsables de la Confédération et des cantons d’associer les préposé(e)s à la protection des données au processus de mise en œuvre le plus vite possible. Il ne suffit pas de consulter les différentes Conférences des directeurs telle que la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP) ou la Conférence des directrices et directeurs cantonaux des affaires sociales (CDAS), puisque celles-ci ont tendance à baser leur position sur les avis sollicités au sein de leur domaine spécialisé uniquement. Les autorités chargées de la protection des données risquent donc d’être tenus l’écart et les exigences relatives à la protection des données de ne pas être prises en compte.

Réseau national de sécurité :
www.svs.admin.ch/fr/home.html

Plan d’action national :
www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-69082.html

La numérisation a besoin d’une forte protection des données

Lors de cette première journée suisse du digital, les opportunités de la numérisation sont soulignées à juste titre. privatim, la Conférence des préposé(e)s suisses à la protection des données souligne elle-aussi l’importance du passage au numérique pour l’économie suisse. Mais si la numérisation se fait au dépens de la protection de la personnalité des citoyennes et des citoyens, elle risque de mettre en jeu la confiance et l’acceptation indispensables à la réalisation de son potentiel.

La numérisation avance à grands pas, offrant des importantes opportunités à l’économie et à la population suisses. Elle permet aux autorités ainsi qu’aux entreprises de diminuer les coûts et de s’ouvrir à de nouveaux domaines d’activité, d’enrichir la palette de leurs services et de croître. privatim reconnaît donc le potentiel du passage au numérique et son impact sur la place économique suisse.

Par contre, privatim refuse catégoriquement toute tentative d’opposer les chances de ce développement au respect des droits citoyens. Certains, en montant la numérisation contre la protection des données, tentent de nous faire croire que le progrès digital est fondamentalement inconciliable avec le droit à la protection de la personnalité et qu’il convient donc simplement d’y renoncer. Une telle attitude méconnaît que sans la confiance et sans l’acceptation de la population, les chances de la numérisation risquent tout simplement d’être anéanties (lire plus).

 

L’utilisation du numéro AVS présente des risques élevés

Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de l’ETH de Zurich montre que les risques pour la protection et la sécurité des données des citoyens associés à cette pratique sont très élevés. Les préposés cantonaux, membres de privatim, la Conférence des préposés suisses à la protection des données, exigent des gouvernements cantonaux de renoncer à l’utilisation du numéro d’AVS comme identifiant personnel universel.

privatim a déjà souligné à plusieurs reprises que le large recours au numéro AVS dans les banques de données de l’administration publique constitue une menace pour les droits fondamentaux des citoyens. L’expertise présentée par le David Basin, professeur de sécurité de l’information à l’EPF de Zurich, précise l’ampleur des risques et montre que ceux-ci augmentent avec l’utilisation toujours plus répandue du numéro de sécurité sociale.

Il suffit en effet de connaître le nom, le prénom et la date de naissance pour identifier 99,98 pourcent de la population de manière univoque. Le fait qu’actuellement plus de 14’000 registres gouvernementaux aient recours en sus au numéro AVS comme identifiant personnel unique facilite la mise en relation des données et augmente le risque de leur utilisation frauduleuse. S’y ajoute le fait que les mesures de sécurité mises en place sont souvent insuffisantes pour protéger ces bases de données les rendant vulnérables aux piratages informatiques. Une fois tombées enter les mauvaises mains, les données dérobées peuvent facilement être liées à d’autres informations sensibles sur les citoyens. (lire la suite…)

Echos d'une manifestation: La fin du secret médical professionnel ?

Un nombre grandissant de médecins externalisent l’administration, l’archivage et la gestion de leurs données de patients à des tiers. Depuis bien d’années se pose donc la question de savoir si cette externalisation de données de santé liées aux patients peut vraiment être compatible avec la protection des données. Lors d’un colloque organisé dans le cadre de sa plénière de printemps à Schaffhouse, privatim a cherché des réponses. Dans notre dossier vous trouverez notre communiqué de presse (en français) ainsi que le résumé des exposés et du podium, les présentations et un article d’opinion paru dans les «Schaffhauser Nachrichten» (la manifestation s’etant déroulée en allemand, ces textes sont disponibles en allemand uniquement).

(lire la suite…)

tous les posts

privatim lit

Protection des données: les PME suisses sont à la traîne

Les PME suisses jugent la protection des données importantes. Mais dans la pratique, très peu sont en mesure de gérer les exigences qui découlent des lois et règlements en la matière. Un constat issu d’une enquête de la Haute école zurichoise des sciences appliquées (ZHAW).

4.10.18, ICT journal

Sécurité numérique : des lacunes pointées du doigt

Un rapport d’experts soumis au Conseil fédéral pointe du doigt les lacunes et formule des recommandations en matière de protection des données, à l’heure où des mesures concrètes sont urgentes.
10.11.18, Le Temps

Données personnelles : Un enjeu de dignité collective

Dans une tribune au « Monde », le juriste Lionel Maurel juge que l’entrée en vigueur de la nouvelle réglementation sur les données personnelles ne règle pas tous les problèmes.

25.05.18, Le Monde

Zuckerberg fait amende honorable devant le Parlement européen

Le patron de Facebook, Mark Zuckerberg, a présenté mardi ses excuses devant le Parlement européen, comme il l’avait fait devant les parlementaires américains, pour les lacunes du réseau social dans la protection des données de ses utilisateurs, illustrées par le scandale Cambridge Analytica. Costume sombre et cravate bordeaux, Mark Zuckerberg est apparu souriant mais un peu raide, assis à côté du président du Parlement, Antonio Tajani, attentif aux questions des chefs de groupes politiques de l’assemblée. L’audition à Bruxelles s’est tenue devant un public restreint mais a finalement été diffusée en direct sur internet, sous la pression de plusieurs formations politiques.

22.05.18, RFI

 

Aucune loi spécifique aux mineurs pour la protection des données

Aux Etats-Unis, YouTube est attaquée par une vingtaine d’associations pour violation de la loi américaine de protection de la vie privée des enfants. En Suisse, il n’existe aucune législation similaire pour protéger les mineurs.

03.05.18, RTS

tous les posts